Entrevista a Francisco Valencia, CEO de Secure&IT

El pasado mes de diciembre, Secure&IT, empresa especializada en ciberseguridad, publicó el “Estudio de la Ciberseguridad en España 2023”. Una de las conclusiones del informe revela que el ransomware sigue siendo la principal preocupación del 93,9% de los profesionales encuestados, seguido de la exfiltración de datos (52,1%) y el phishing (50,8%). En esta entrevista, analizamos las principales conclusiones del estudio junto a Francisco Valencia, CEO de Secure&IT, quien explica que la inquietud de las organizaciones es lógica, ya que en los últimos años los ataques de ransomware han aumentado un 200% y ninguna organización, cualquiera que sea su tamaño, está libre de ser atacada.

La inquietud de las organizaciones a este respecto es lógica. Los ataques de ransomware han crecido en peligrosidad y son más dirigidos y, por desgracia, son mucho más frecuentes de lo que pensamos. En los últimos años, estos incidentes han aumentado en un 200% y más de la mitad de las organizaciones han experimentado, en algún momento, un ataque de ransomware.

A esto hay que añadir las consecuencias de un ataque de este tipo. Si hablamos del plano operativo, puede afectar gravemente al funcionamiento de la organización (hasta el punto de paralizar la actividad por completo). Además, el impacto económico también puede ser muy alto: la recuperación y restauración de sistemas y datos, la pérdida de ingresos debido a la inactividad, posibles sanciones por incumplimiento normativo, etc.

Y, por supuesto, el daño reputacional es importantísimo, puesto que el prestigio y la confianza en la organización se ven gravemente afectados. Además, desde una perspectiva legal, un ataque de ransomware puede desencadenar investigaciones regulatorias, sanciones, demandas de clientes afectados y posibles responsabilidades legales si no se ha cumplido con la normativa.

Lo cierto es que ninguna organización, no importa de qué tamaño o sector sea, está libre de ser atacada. Pero, sectores como la salud, la industria y los gobiernos suelen ser los objetivos principales de los ciberdelincuentes. Además, se espera que sectores asociados a la situación geopolítica, como la banca, aseguradoras, administraciones públicas, sanidad, fabricantes de armamento, infraestructuras críticas y líneas aéreas, sean blanco de estos ataques debido a su capacidad para poner en riesgo a un país.

La ciberdelincuencia está creciendo porque es más fácil entrar en ese mundo. Cualquiera puede convertirse en ciberatacante, acceder a la Dark Web y usar programas maliciosos como el ransomware. Los grandes operadores de ciberdelincuencia hacen que sea más fácil para sus “afiliados”, lo que ha llevado a un aumento tanto en la cantidad como en la diversidad de atacantes en todos los niveles: desde el crimen organizado, hasta individuos autónomos que utilizan las nuevas tecnologías para lanzar ataques y, en algunos casos, obtener ingresos. Esta situación, sumada a la tensión geopolítica global, ha generado una amenaza sin precedentes.

Además, el uso te técnicas de Inteligencia Artificial generativa va a ser más frecuente. Se utilizará para engañar a las personas, mediante suplantación de identidad y phishing, entre otros métodos. Estas herramientas también serán capaces de generar malware que pueda evadir las defensas de seguridad establecidas por los proveedores.

La Inteligencia Artificial generativa la emplearán los ciberdelincuentes para suplantación y elaboración de malware. La que nosotros utilizaremos, como defensa, será la Inteligencia Artificial tradicional. La IA tradicional se emplea para diferenciar lo "bueno“ de lo ”malo”, mientras que la generativa puede imitar patrones de escritura y crear contenido falso.

Se prevé que la IA generativa sea empleada para engañar en diversas situaciones, desde la creación de interacciones en video hasta la redacción de correos electrónicos perfectamente adaptados al idioma y estilo de escritura de los usuarios. Además, este tipo de tecnología, especializada en la creación de software, podría también ser aprovechada para la generación de malware altamente sofisticado, capaz de eludir las defensas de los sistemas de seguridad existentes.

Para defendernos ante esta amenaza emergente, se propone la integración de Inteligencia Artificial no generativa en los sistemas de defensa. Esta modalidad de IA se enfocaría en detectar diferencias y marcadores que distingan entre contenido auténtico y generado artificialmente. La ventaja temporal de, aproximadamente, dos décadas que tiene la IA tradicional sobre la generativa ofrece un margen para desarrollar y fortalecer las estrategias de defensa.

En lo que a ciberseguridad se refiere, hemos mejorado, pero todavía queda mucho por hacer. España es uno de los países más ciberatacados del mundo y, a pesar de eso, no se encuentra entre los primeros puestos en cuanto a inversión en ciberseguridad. Todavía es una de las asignaturas pendientes para muchos organismos y empresas, que viven en una falsa sensación de seguridad. Ninguna empresa, por pequeña que sea, es descartada por los ciberdelincuentes. Hoy en día la información vale mucho y los datos de cualquier organización están muy cotizados en el mercado negro.

Pero, las organizaciones deben asumir que la mayor amenaza no son los ciberatacantes, sino los fallos internos. De hecho, los ataques externos solo suponen un 23% del total. El resto se debe, entre otros, a errores humanos, empleados descontentos, competencia desleal, incumplimientos legales o contractuales, falta de medidas técnicas o formación insuficiente. Los factores que generan la mayoría de los problemas en seguridad de la información son, fundamentalmente, tres: la falta de valoración de activos, la escasa comunicación entre los departamentos y una deficiente formación y concienciación de los usuarios.

Muchas veces, esta no es una tarea sencilla por varios motivos: intervienen distintos departamentos y hay que conseguir que estén coordinados; la gestión de riesgos no suele estar en el día a día de los responsables y, además, para una buena gestión de la seguridad de la información, como digo, hay que tener en cuenta tanto los aspectos técnicos como de cumplimiento de procesos.

Por eso, nosotros planteamos la seguridad de la información con una visión 360 grados. Ofrecemos un servicio integral, basado en los estándares y normativas de gestión de la seguridad, que se adapta a las necesidades de cada empresa y que incluye servicios de protección de datos y cumplimiento normativo, procesos corporativos de seguridad, seguridad informática y seguridad gestionada.

Esto permite a las organizaciones hacer un seguimiento constante de la empresa, establecer un plan de actuación, implantar las medidas tecnológicas necesarias, contar con formación y concienciación especializada, etc.

La formación y concienciación en esta área son de vital importancia en el mundo digital actual. Con la creciente dependencia de la tecnología y la proliferación de ciberataques, es necesario desarrollar una “cultura de seguridad” en las organizaciones.

Las estrategias que emplean los ciberdelincuentes van dirigidas, principalmente, hacia el que consideran el eslabón más débil de la cadena de ciberseguridad de cualquier compañía: los empleados. De hecho, según algunos estudios, ocho de cada diez organizaciones han sufrido, al menos, una brecha de seguridad que podría estar relacionada con falta de habilidades y formación de sus empleados. Por eso, apostar por un plan de sensibilización, concienciación y formación continua de los usuarios es un valor seguro.

En nuestro centro avanzado de formación en ciberseguridad, Secure&Academy, ayudamos a las organizaciones a implantar un plan formativo, que permita a los empleados alcanzar las capacitaciones y habilidades suficientes para evitar incidentes de seguridad.