Las presiones económicas aumentan los riesgos de ciberseguridad; una recesión los amplificaría aún más
Las amenazas internas y el nivel de éxito de los ataques, unidos a los esfuerzos de las empresas por reducir costes, han perjudicado históricamente a los programas de ciberseguridad y es probable que vuelvan a hacerlo.
Siguen multiplicándose las predicciones sobre si la economía mundial entrará en recesión o cuándo. Aunque no se produzca pronto, la volatilidad económica, la cautela en los planes de gasto de las empresas y los despidos de empleados ya están en juego. Para los directores de seguridad, estas noticias auguran un camino más difícil.
Los CISO nunca lo han tenido fácil: sin duda, se han enfrentado a retos desmesurados en los últimos años trabajando para proteger un panorama tecnológico y de datos cada vez más amplio y distribuido. Al mismo tiempo, han tenido que enfrentarse a actores maliciosos cada vez más organizados, con más recursos y más sofisticados. Sin embargo, la historia ha demostrado que una coyuntura económica desfavorable puede acarrear retos y riesgos adicionales, dificultando aún más una batalla ya de por sí ardua, y los responsables de seguridad deben prepararse para este escenario.
"Los riesgos aumentan y los hackers saben cómo aprovecharse de ello", afirma Matt Miller, director de servicios de ciberseguridad de la empresa de servicios profesionales KPMG.
Históricamente, en las recesiones aumentan los ataques
Algunas estadísticas históricas dan una idea de lo que nos espera. El secretario general de Interpol, Jürgen Stock, dio la voz de alarma en un informe de 2020 en el que afirmaba que "los ciberdelincuentes están desarrollando y potenciando sus ataques a un ritmo alarmante, aprovechando el miedo y la incertidumbre provocados por la inestable situación social y económica creada por la COVID-19".
Si nos remontamos más atrás, en Estados Unidos, las cifras del FBI del comienzo de la Gran Recesión también muestran un repunte a medida que la economía se hundía. El Centro de Denuncias de Delitos en Internet (IC3) del FBI registró 336.655 denuncias de delitos online en 2009, un 22,3% más que en 2008. Teniendo en cuenta estas tendencias pasadas, algunos advierten de lo que podría ocurrir en el futuro. "Los piratas informáticos van a aprovechar cualquier momento en que tengamos una superficie de ataque porosa", afirma Karen Worstell, estratega senior de ciberseguridad y asesora de seguridad CxO de VMware.
En un informe de 2022 de KPMG sobre madurez tecnológica e incertidumbre empresarial, Prasad Jayaraman, director de servicios de ciberseguridad de la compañía en Estados Unidos, lanza una advertencia sobre los crecientes riesgos, diciendo: "Desde la invasión rusa de Ucrania a la interrupción general de la COVID-19 a la incertidumbre económica generalizada, la volatilidad y, por lo tanto, el riesgo cibernético y la inseguridad, han aumentado a nivel mundial. Las organizaciones han visto un aumento de las amenazas de actores maliciosos en estados delincuentes a una escala y complejidad que sólo puede ocurrir a través del patrocinio estatal".
Mientras tanto, un informe sobre ciberseguridad global en 2023 del Foro Económico Mundial concluyó que el 93% de los líderes cibernéticos y el 86% de los líderes empresariales piensan que es "moderadamente probable" o "muy probable" que la inestabilidad geopolítica global conduzca a un evento cibernético catastrófico de gran alcance en los próximos dos años. Y el 80% de los ejecutivos empresariales que respondieron a un informe de febrero de 2023 sobre la mano de obra de ciberseguridad durante una recesión de la asociación de certificación (ISC)² dijeron que creen que un debilitamiento de la economía aumentará las amenazas cibernéticas.
La economía y los riesgos de seguridad
La volatilidad económica crea una confluencia de factores que pueden aumentar los riesgos de seguridad y, al mismo tiempo, afectar negativamente a las defensas, según los expertos en la materia. "¿Se producen más ataques durante una recesión y tiempos económicos difíciles? La respuesta corta es sí. Y las razones son complejas", afirma Sérgio Tenreiro de Magalhães, director de programas de ciberseguridad del Champlain College Online.
Para empezar, las propias organizaciones pueden estar aumentando los riesgos con sus respuestas a las presiones económicas. Las encuestas han revelado que los directores generales de todo el mundo buscan contener los costes y reducir el gasto discrecional, lo que puede llevar a que el gasto se estanque o no siga el ritmo de la inflación.
La infrafinanciación de un departamento puede tener un impacto en cascada: los trabajadores de las unidades de negocio tienen menos tiempo para la formación en seguridad y es más probable que tomen atajos para hacer su trabajo. Obligado a hacer más con menos, el departamento de TI puede alargar aún más la vida de los sistemas heredados y necesitar más tiempo para aplicar parches críticos.
Del mismo modo, los equipos de seguridad pueden tener menos para invertir en nuevas tecnologías que podrían acelerar la detección y la respuesta (que ya es alta, un informe de IBM de 2022 sobre el coste de las brechas descubrió que las organizaciones tardaban una media de 207 días en identificar una brecha y otros 70 días en contenerla). "Probablemente no se disponía de suficiente presupuesto o personal, por lo que se está forzando a hacer más con menos de lo que se hacía en el pasado, y eso es un verdadero reto", afirma Jeff Pollard, analista de Forrester.
Los despidos aumentan los riesgos de seguridad
Según el informe de (ISC)², el 85% de los ejecutivos encuestados cree que los despidos serán necesarios a medida que la economía se ralentice. "Sabemos que los despidos o la pérdida de puestos de trabajo predicen los riesgos internos, lo que aumenta las probabilidades de que se produzcan incidentes de seguridad. A lo largo de los años hemos visto que esto ha ocurrido", afirma Pollard.
Pollard y otras personas afirman que los despidos suelen aumentar los incidentes con información privilegiada, que ya representan el 20% de las filtraciones de datos a escala mundial, según el Informe sobre filtraciones de datos 2022 de Verizon, por varias razones. Los trabajadores despedidos (especialmente los que trabajan a distancia al menos una parte del tiempo, un número que ha aumentado significativamente) pueden tener datos corporativos en dispositivos personales. Y es probable que gran parte de esos datos permanezcan con ellos en sus dispositivos si reciben la carta de despido. "Durante la pandemia, los datos fueron a parar a muchos sitios. Por lo tanto, hay una distribución de datos, y esos datos están en dispositivos que quizá no controlas", afirma Pollard.
Al mismo tiempo, los trabajadores despedidos pueden sentirse motivados por la ira o por su situación económica personal para devolver el golpe a sus antiguos empleadores. Incluso algunos empleados restantes, que vieron cómo despedían a compañeros, pueden sentirse motivados para actuar. Además, el daño que pueden infligir (por su cuenta o vendiendo información o acceso a un grupo de hackers) puede ser significativo, afirma Pete Nicoletti, CISO para las Américas de Check Point Software. "Si quieres venderte, vas a poder venderte. Antes era difícil, ahora es fácil. Antes, podías llevar lo que podías llevar en tu maletín. Hoy puedes llevar terabytes. Y si trabajas en una red o tienes acceso a un directorio activo, puedes hacer todo tipo de locuras", afirma.
Los ataques ya están en su momento más alto
Estas dinámicas se suman a un número de ataques que ya es récord. Según Check Point Research, el "volumen global de ciberataques alcanzó un máximo histórico en el cuarto trimestre, con una media de 1.168 ataques semanales por organización". También descubrió que los ciberataques globales aumentaron un 38% en 2022, en comparación con 2021. "Si creemos que los despidos y las recesiones económicas aumentan las amenazas internas, parecería sensato que también viéramos un aumento en la actividad de los hackers", dice Clar Rosso, CEO de (ISC)².
A pesar de las expectativas de un mayor riesgo en caso de que la economía se tambalee, Rosso señala algunas señales esperanzadoras para los CISO. Señala que el estudio de (ISC)² sobre líderes empresariales de la llamada 'C-suite' mostró que los ejecutivos no están dispuestos a recortar el personal de ciberseguridad. El estudio reveló que solo "el 10% de los encuestados prevé reducciones en los equipos de ciberseguridad, frente a una media del 20% en otras áreas".
El estudio encontró además que "una vez que las reducciones de personal se han completado y las organizaciones se preparan para volver a contratar personal, los trabajadores de ciberseguridad están en la parte superior de la lista para la reinversión." Sin embargo, los CISO no deberían confiar en informes tan alentadores para navegar por la incertidumbre económica actual o por cualquier volatilidad económica futura. Worstell afirma que, en su lugar, los CISO deberían redoblar sus esfuerzos en los aspectos fundamentales de la estrategia de seguridad: reforzar los programas de detección y respuesta, así como los programas de aplicación de parches, aumentar los esfuerzos de formación y concienciación, y deshacerse de la deuda técnica.
"La diferencia entre una buena seguridad y una seguridad sobresaliente es 'hecho' y 'hecho hecho', lo que significa que está probado, validado y demostrado. Significa que tenemos pruebas de que se ha hecho. Es la diferencia entre algo bloqueado y demostrar que está bloqueado", explica Worstell.
Priorizar en función del riesgo actual
A partir de ahí, aconseja a los CISO que se aseguren de priorizar en función de los riesgos actuales de la organización, actualizando la estrategia de seguridad en función de los cambios que la empresa tenga que hacer en respuesta a la economía. Y centrarse en la gestión de cuentas y el control de acceso, garantizando los niveles de acceso adecuados y que sólo tengan acceso los empleados actualmente autorizados.
Los responsables de seguridad dicen que los CISO también deben apoyarse en el alto nivel de apoyo a la ciberseguridad que indica el informe de (ISC)², estando preparados para comunicar el valor que aporta la seguridad y diseñando estrategias de seguridad que permitan tanto la agenda general de la organización como los planes ideados por los departamentos individuales.
"Esa capacidad de comunicar bien", añade Rosso, "ayudará mucho a preservar los recursos necesarios durante una recesión económica".
