"La lista de 'hackeos' de alto perfil es bastante deprimente, parece demasiado fácil y las empresas deben despertar"

La inteligencia artificial (IA) es un arma de doble filo. Lo hemos escuchado una y mil veces, pero las empresas no están avanzando al mismo ritmo que la tecnología para protegerse de sus peligros, y cuando es conocido que los ciberdelincuentes no se rigen por ninguna regla, éstas quedan en evidente desventaja en este nuevo orden. 

Así lo advierte Joel Stradling, director de Investigación de Seguridad Europea en IDC, en una entrevista con CSO. Con más de 22 años de experiencia como analista en el ámbito de la ciberseguridad, Stradling apunta a un aumento de los ciberataques –y de la sofisticación de éstos- gracias a la IA en 2023. “El reto sigue siendo muy grande en términos de lo que está disponible en manos de los atacantes. La IA está permitiendo una mayor sofisticación en el phishing, haciéndolos más difíciles de detectar. Al mismo tiempo, está permitiendo a los criminales que no tienen mucho conocimiento técnico en torno a la seguridad o TI montar ataques", comenta. 

En 2024, el panorama pinta incluso más negro. Los ciberataques seguirán aumentando gracias a la automatización y la IA, planteando un gran desafío para las empresas y administraciones públicas. “Creo que el tipo más grave de ciberataque pasa a ser el patrocinado por un Estado-nación o un grupo terrorista”, dice el analista. Las dos grandes crisis geopolíticos actuales (Israel vs Hamás y Rusia vs Ucrania) se suman a otros actores como Hezbolá en el Líbano y Siria y a los gobiernos de Irán, China, Corea del Norte y Estados Unidos, que han propiciado ciberataques por parte de hackers que están a uno u otro lado de los conflictos. “Es un ‘ojo por ojo”, asegura Stradling. 

“¿En qué situación quedan las pequeñas empresas? No es fácil. Hay todo un ecosistema de grupos de ciberdelincuentes, que tienen recursos humanos, tienen nóminas, hacen negocios entre ellos y cooperan. Y la respuesta tiene que ser igualmente fuerte para proteger los activos”, explica. “La lista de hackeos de alto perfil es bastante deprimente, pero parece demasiado fácil y las empresas deben despertar y asegurarse de que invierten adecuadamente en personal, procesos y tecnología para proteger sus activos cibernéticos”, agrega. 

La IA y la automatización son dos cosas en las que las organizaciones están fuertemente invirtiendo en esta materia. Stradling destaca que, “con la ayuda de sus proveedores y asesores, [las empresas] están desplegando herramientas e innovaciones cada vez más sofisticadas para ayudar a proteger los activos informáticos de las empresas”. Pero advierte: será tarea de los profesionales de seguridad proteger esos activos de IA, ya que serán el objetivo de los ciberdelincuentes. “La ironía está en aprovechar la IA para hacerlo”.  

Retos de la ciberseguridad, más allá de las amenazas 

Los ciberdelincuentes y las nuevas herramientas con las que cuentan para llevar a cabo sus planes maliciosos son una cosa. Las empresas también se enfrentan a otros desafíos y cambios en el panorama de la ciberseguridad, que deberán tener en cuenta al momento de idear sus estrategias.

Uno de estos retos es la grave escasez de talento cualificado. “Es muy difícil encontrar y contratar a la gente, pero también retenerlos, por lo que las empresas necesitan tener programas de formación” para elevar las capacidades de sus actuales empleados.  

En esta línea, otro desafío a tener en cuenta según Stradling es que “la cultura de los CISO está muy quemada. Si no se producen infracciones, todo sigue igual. Pero cuando las cosas suceden, el CISO es el principal responsable, por lo que es un trabajo de alta presión. Vemos que el estrés y el agotamiento son un problema grave dentro de la industria y un riesgo cibernético en sí mismo”. Por eso, una empresa ‘iluminada’ entenderá que el trabajo del CISO conlleva un mayor desgaste y se asegurará de apoyarlo para evitar un burnout. 

“Vemos que el estrés y el agotamiento son un problema grave dentro de la industria” 

Asimismo, el rol del CISO se ha transformado y ahora es visto como un facilitador del negocio, por lo que, en lugar de limitarse a proteger los activos de seguridad de la empresa, tiene que ayudarle a alcanzar algunos objetivos estratégicos. De ahí que veamos que el perfil del CISO haya pasado de uno extremadamente técnico a uno más orientado a los negocios. “Es posible que la persona que dirige la seguridad no proceda del ámbito de la seguridad; hemos visto a personas que vienen del ámbito del marketing, las operaciones, la evaluación de riesgos o incluso ventas. Es una sorpresa, pero estamos asistiendo a ese cambio y esperamos que continúe en 2024”, sostiene el analista de IDC. 

Finalmente, Stradling menciona un último reto que, esta vez, incumbe a los proveedores de soluciones de ciberseguridad: la consolidación del mercado. La cantidad de proveedores está disminuyendo al tiempo que las grandes empresas compran a las más pequeñas. Las propias empresas también están tratando de consolidar el número de proveedores que tienen en sus pilas de seguridad. “Una gran empresa puede tener 80 proveedores de seguridad en su parque y están tratando de reducirlo, de modo que un sólo proveedor les proporcione un montón de herramientas de seguridad”, acota. 

Legislación: "demasiado poco y demasiado tarde" 

A fines del año pasado, el Consejo de la Unión Europea –presidido por España- y el Parlamento Europeo llegaron a un acuerdo en torno a la Ley de Inteligencia Artificial, que se espera sea aprobada este año por la UE. Con todo, se espera que establezca unas reglas claras para los players del mercado y que regule los posibles riesgos para la sociedad de esta tecnología. 

A pesar de ser la primera normativa que regula la IA en el mundo, para Stradling ésta es “demasiado poco y [llega] demasiado tarde”. La IA, dice, “es una especie de montaña rusa que está ganando impulso y los responsables políticos no están en ella. Son como cuando conduces por el campo de noche y ves un conejo mirando los faros que se acercan”. 

La crítica viene de cerca, destaca, ya que IDC trabaja con ENISA y el Parlamento Europeo en el asesoramiento para la definición de estas políticas. Pero si quienes las hacen son “un grupo de gente como yo, blancos, con sobrepeso, de más de 50 años, posiblemente sea la gente equivocada para aplicar una política de IA. Mi hijo tiene 20 años y está en la universidad, esa es la generación que posiblemente debería elaborar las políticas en torno a la IA y resolverlo todo”. 

No obstante, el problema está aquí y ahora y, para el analista, la responsabilidad de proteger a las personas de tecnologías como la IA recae en los gobiernos y en los hiperescalares. “Los gigantes de la tecnología, en mi opinión, no están siendo lo suficientemente responsables" y ejemplifica con un caso que es tan actual como cercano: el de los niños en el pueblo de Almendralejo, en Extremadura, que crearon imágenes pornográficas con IA en base a fotos de sus compañeras de clase y luego las extorsionaron con su publicación. “Es un delito, pero ¿cómo se les acusa? ¿Quién es culpable? ¿Qué norma han infringido? De nuevo, los hiperescalares como Google, Microsoft, Amazon o Facebook alojan ese contenido. ¿Por qué no se les castiga por ello? ¿Dónde está la línea ética y por qué nuestro Gobierno y nuestras agencias de protección no pueden proteger a esas niñas?", se pregunta Stradling. 

Hay una luz al final del túnel. Durante los próximos seis meses, Bélgica presidirá el Consejo de la UE y ha declarado que su prioridad será la ciberseguridad. Stradling cree que las políticas que se priorizarán estarán muy centradas en los marcos legales que deben cumplir las empresas para desarrollar su actividad. En ese sentido, destaca los marcos de seguridad NIST2 y DORA que obligan a las organizaciones, entre otras cosas, a seguir los principios de zero trust y a gestionar el riesgo cibernético. También está pendiente la Ley de IA, que incluirá medidas para la protección de los datos.  

El real reto está en el cumplimiento. “Habrá que asegurarse que en cada país, pero también en el conjunto de la UE, las agencias estén preparadas para hacer cumplir el NIST2, porque las empresas tienen dificultades para aplicarla. ¿Quién va a evaluarla y comprobar si las empresas la cumplen? Y si no la cumplen, no existen actualmente los sistemas necesarios para gestionarla o hacerla cumplir, por lo que creo que aquí es donde se centrará la atención a nivel gubernamental”, pondera Stradling.