Si paráramos a la gente por la calle y le pidiéramos que describiera con palabras a las personas implicadas en el mundo de la cibernética, seguramente surgirían palabras como: innovadores, empresarios, millonarios, frikis... y delincuentes. Esta última, por supuesto, se refiere a los que pertenecen al mundo de los estafadores y defraudadores, a los que llamamos ciberdelincuentes.
Muchos ciberdelincuentes son, por desgracia, todas las palabras anteriores: innovadores, emprendedores, millonarios (tal vez), frikis y, obviamente, delincuentes.
En cierto modo, también son innovadores ágiles, que cambian su modus operandi con rapidez y eficacia cada vez que disminuyen sus beneficios. La evolución del ransomware es un buen ejemplo: de extorsionar a consumidores individuales o dispositivos individuales, a perturbar empresas enteras, filtrando datos y amenazando con venderlos o exponerlos. Los ciberdelincuentes, o al menos algunos de ellos, son innovadores en su forma de pensar y emprendedores en su pasión por ganar dinero.
He aquí algunas cifras que ayudan a ilustrar este punto: se espera que la ciberdelincuencia cueste a las empresas 10,5 billones de dólares en 2025. Esta cifra incluye los beneficios obtenidos por los ciberdelincuentes a través de diversos medios, ya sea estafando a un consumidor o pidiendo rescate, por ejemplo, a un hospital tras haber interrumpido sus operaciones. La amenaza para las empresas es real y cada vez ocupa más titulares: un ejemplo de ello es el reciente ataque de ransomware a Change Healthcare, que les costó 900 millones de dólares, y espera que esperan que esta cifra aumente hasta los 1.600 millones.
Estas cifras asustan y, mientras que las empresas grandes pueden ser capaces de absorber estos costos, los negocios más pequeños podrían quedar en la difícil situación de no sobrevivir económicamente. Las organizaciones más pequeñas no son inmunes a los ciberataques; por ejemplo, la escuela Finham Park, situada en Coventry (Reino Unido), con una población estudiantil de 1.500 alumnos, ha sido atacada tres veces por ciberdelincuentes.
El comportamiento humano es un factor importante en los ciberataques que en su mayoría comienzan con alguna forma de ingeniería social. Durante 15 años, las organizaciones nacionales de ciberprotección de todo el mundo han insistido en el mensaje “utilice contraseñas seguras y no haga clic en los enlaces”, con un éxito limitado. Los ciberdelincuentes siguen perfeccionando el arte del engaño y logran embaucar a sus víctimas para que faciliten credenciales, transfieran fondos o ejecuten malware adjunto a un correo electrónico. La formación en ciberseguridad sirve para recordar a los empleados los peligros, pero cualquier cambio importante de comportamiento requerirá probablemente una nueva generación de empleados formados en las ciberamenazas y en las mejores prácticas para evitarlas.
Otro problema para muchos equipos de TI y ciberseguridad es la avalancha interminable de hallazgos de vulnerabilidades. Todos los dispositivos y software necesitan parches con regularidad, y a veces de forma precipitada debido al descubrimiento de una vulnerabilidad que está siendo explotada activamente. La base de datos CVE de vulnerabilidades conocidas sigue creciendo año tras año y esto hace que la gestión de parches sea un reto importante. La automatización de la gestión de parches alivia el problema hasta cierto punto, pero es probable que cada organización tenga un dispositivo desconocido y sin parches conectado en algún lugar; el ciberdelincuente solo tiene que encontrarlo para explotarlo.
El panorama se vuelve más complejo a medida que tanto los defensores como los atacantes recurren a la automatización y a las herramientas de IA para mejorar su eficacia. Los defensores llevan tiempo utilizando la IA, por ejemplo, para tamizar grandes cantidades de datos, identificar anomalías, priorizar alertas y automatizar respuestas. Mientras tanto, los atacantes se benefician de las herramientas de desarrollo para construir y ofuscar malware, la elaboración de contenidos para campañas de phishing y similares. Aunque no se ha publicado ningún ejemplo concreto de ataque generado por IA (es decir, en el que la IA lleva a cabo de forma autónoma todas las fases de un ataque sin intervención humana), es razonable afirmar que los ciberataques cuentan con la ayuda de la IA.
Esta es la razón por la que muchas empresas y organizaciones más pequeñas están recurriendo a los seguros contra ciberriesgos, tanto para protegerse contra el coste de un ciberincidente como para utilizar los servicios posteriores al incidente que ofrecen las aseguradoras. A medida que crece la adopción del ciberseguro, es probable que se considere de forma similar a como se considera cualquier amenaza inesperada, como el incendio y el robo. El aumento de los requisitos de ciberseguridad exigidos por las aseguradoras puede conducir a mejoras significativas de la postura de ciberseguridad. Sin embargo, el ciberseguro también puede indicar a los ciberdelincuentes que la organización está dispuesta a pagar rescates, ya que no es a su costa.
Este blog es el segundo de una serie dedicada al ciberseguro y su importancia en esta era cada vez más digital. El primer blog está disponible aquí. Obtenga más información sobre cómo las organizaciones pueden mejorar su asegurabilidad en nuestro último whitepaper, Prevent. Protect. Insure.