Los hackers siempre juegan y casi nunca pierden. Este año, el botín de sus fechorías cibernéticas alcanzará los 10,5 billones de dólares, según estimaciones de la firma especializada Cybersecurity Ventures. Se trata de una aproximación teórica de esa suerte de impuesto revolucionario que las empresas pagan, porque en pocas ocasiones se revela alguna detención de peso en sus asociaciones delictivas, vinculadas al crimen organizado, a los cárteles del narcotráfico o a unidades invisibles de ejércitos.
No parece que haya solución, a pesar de que Barack Obama declaró antes de su salida de la Casa Blanca que los ciberataques habían adquirido la vitola de “riesgo sistémico”. El cibercrimen es también ya el mayor riesgo declarado por los ejecutivos de multinacionales en las encuestas con las que la firma de consultoría PWC anuncia el pistoletazo de salida en las cumbres de Davos.
Los lobbies financieros y empresariales vienen reclamando a las autoridades políticas que tomen acciones concertadas globales y urgentes capaces de frenar las crecientes fugas de secretos industriales. Esta reivindicación, casi una súplica empresarial, estuvo detrás del primer ejercicio legislativo de Estados Unidos, que reforzó el control de sus agencias de inteligencia.
Pero fueron dos asuntos de especial repercusión geopolítica y daño a la imagen de EEUU los que encendieron la mecha regulatoria: la queja por espionaje de los líderes europeos y la huida a Rusia de Edward Snowden, el ex analista de la CIA y la Agencia Nacional de Seguridad (NSA) que filtró miles de documentos con información clasificada sobre los distintos programas de ciber-espionaje masivo de Washington en 2013.
Desde entonces, el Congreso estadounidense se puso manos a la obra y, dos años más tarde, Obama promulgó la Presidential Policy Directive 28. Aun así, la ciberdelincuencia no dejó de atesorar dinero. El costo para las empresas que Cybersecurity Ventures estima que acarreará este año, los citados 10,5 billones de dólares, supera el volumen combinado de la tercera y cuarta economías del planeta -Japón y Alemania-, más los 1,4 billones de dólares en los que está valorada la española.
El arsenal de datos procedente del sector tecnológico es abrumador. La multinacional IBM alerta de que la factura promedio de cada 'data breach' o incursión en un sistema informático para robar información alcanza los 4,2 millones de dólares en inversiones de escudos para prevenir estos ataques o repelerlos. Es el precio anual por la instauración de autenticaciones, auditorías regulares de seguridad o cursos de formación a empleados que ayuden a reconocer y evitar mensajes fraudulentos.
No es para menos. La National Cyber Security Alliance asegura que más del 60% de las compañías que sufrieron un ciberataque cerraron sus negocios apenas seis meses más tarde. Desde esta asociación privada estadounidense se pone el énfasis en que los ejecutivos apliquen planes operativos de resolución inmediata que incluyan actualizaciones regulares de datos y modelos de restauración de negocios.
Las firmas están lejos de revelar datos de efectividad tranquilizadores. Así lo cree el 33% de los profesionales IT que en una encuesta de Armis calificaron de urgente la necesidad de sus clientes de instalar escudos de verificación de redes corporativas para evitar robos de información en los dispositivos. El 28% recomendaba a los ejecutivos destinar inversiones e instalar sistemas de buenas prácticas para evitar vulnerabilidades en seis meses.
Más de nueve de cada diez ciberataques se siguen produciendo a través de emails, advierten en KnowBe4, por lo que ”se debe extremar la prevención entre sus plantillas”, al ser un fenómeno extendido: el 53% de las compañías experimentaron algún tipo de acto delictivo online en 2022, advierten desde Ponemon Institute. Existen más de 300.000 millones de passwords en uso, según Cybersecurity Ventures, y sus analistas recuerdan que las contraseñas son “el punto más débil de las barreras de seguridad”.
Las pymes son presas especialmente deseadas por los hackers. Siete de cada diez sufrieron estos percances cibernéticos en 2021. Desde Keeper Security inciden en que deben priorizar sus antivirus si quieren adquirir “protección” en un clima muy propenso a los ataques. El coste medio de repeler incursiones de ransomware ascenderá a 11,5 millones por empresa en 2023, con cuatro de cada diez ataques dirigidos a las compañías de menor dimensión.
Aunque el sector privado no es su única diana. Se calcula que el número de ataques a organizaciones sanitarias aumentará un 50% este año. Mientras, las firmas privadas y estamentos públicos del sector aceleran sus procesos de digitalización de datos de pacientes, un desafío que ha captado el interés entre los ciberdelincuentes.
El 67% de estas instituciones se siente amenazada y se declara muy vulnerable. En gran medida -admiten- por su escasa adaptación. Ponemon Institute advierte de que “las entidades sanitarias deberían priorizar sus inversiones en ciberseguridad, incluidos controles de acceso y soluciones en protección de datos de pacientes”, que requieren de mecanismos de encriptado y vigilancia constantes. Dos terceras partes (el 66%) de las firmas públicas y privadas descuentan un ataque on line el próximo año, según esta firma.
Las consecuencias pueden ser desastrosas. El 37% de las compañías que sufrieron algún tipo de ataque por ransomware no logró restablecer sus datos corporativos, según Sophos, multinacional británica de informática.
En Forbes explican que 2023 está escenificando una batalla abierta entre la mejora de la capacidad de resistencia y de seguridad cibernética y los crecientes ciberataques, que mostraron una “inusitada habilidad y sofisticación” por parte de las organizaciones delictivas.
“Es como si el ecosistema digital estuviera en estado de ebullición”, en un momento en el que la Revolución Industrial 4.0, con el Metaverso y la Inteligencia Artificial (IA), se ha desplegado por el sector privado. “ChatGPT, la IA y el Machine Learning (ML) y, en definitiva, toda la I+D+i tecnológica pueden acabar también en manos de los ciberdelincuentes”; en especial, en épocas con una alta convulsión geopolítica como la que acontece tras la invasión de Ucrania.
Una encuesta de Deloitte Center for Controllership ilustra este temor. “En los últimos 12 meses, el 34,5% de los ejecutivos admitieron que sus datos contables y financieros fueron objeto de, al menos, un intento de robo por parte de hackers”. Casi la mitad (el 48,8%) dan por hecho que recibirán otro ataque en 2024.
En International Data Corporation (IDC) se hace hincapié en que la IA está creciendo dentro del mercado de la ciberseguridad a niveles más que notables, del 23,6% en tasa anual, y calculan que en 2027 superará los 46.300 millones de dólares. La IA abre un abanico de opciones para suturar las brechas de seguridad. Pero es un arma de doble filo porque sus anomalías pueden ser fácil y rápidamente identificadas por redes delictivas. Existen actores sospechosos que ya la han utilizado contra pymes, centros de inteligencia e infraestructuras estratégicas.
En EEUU, el Bipartisan Policy Research Center, un think-tank inspirado en la colaboración entre las dos formaciones políticas mayoritarias del país, ha desarrollado un pliego de amenazas cibernéticas sobre las que demócratas y republicanos deberían cooperar destacan varios frentes legislativos. En el orden geopolítico, abogan por reforzar las defensas frente a Rusia y China y aconsejan a las empresas estadounidenses que rebajen sus vulnerabilidades adquiriendo bienes y servicios Made in US. Un proteccionismo comercial que llevan al ámbito armamentístico, con la petición de una división del Ejército dedicada a asegurar los activos de seguridad nacional que puedan sufrir atentados cibernéticos.
También piden velar por “infraestructuras, sectores y finanzas críticos” y por la captación de talento, para reducir los riesgos latentes y “hacer comprender a los ejecutivos” la ardua tarea de implantar políticas digitales de brechas cero. En 2025, habrá 175 zettabytes de datos en el universo digital; es decir, el número 175 seguido de 21 ceros. La firma Gartner avisa de que, en un bienio, el 45% de las empresas sufrirá algún tipo de ataque a sus cadenas productivas.
Joe Biden ha dado orden de resetear las defensas cibernéticas del país, para las que ha involucrado a una docena de agencias federales, bajo un reconocimiento explícito de los enemigos exteriores: “China primero, Rusia, siempre”, resume la comandante en jefe de CiberSeguridad del Centro de Operaciones de Inteligencia Conjuntas, Candice Frost.