Ciberseguridad pasado y futuro

Ciberseguridad pasado y futuro

Coordinador del Máster en Ciberseguridad

---

Artículo de opinión publicado en El Correo

---

Hace 20 años hablábamos de seguridad informática o seguridad de la información. Hoy en día el término ha evolucionado y hablamos de ciberseguridad, un concepto mucho más amplio y en el que hacemos referencia a todo tipo de dispositivo digital que puede verse comprometido en un ataque. Las empresas tienen que seguir protegiendo sus documentos y bases de datos, pero también nuevos sistemas como: los controles de acceso electrónicos en puertas, sistemas de climatización, ascensores, entornos de video vigilancia, sistemas de control industrial y un largo etcétera.

La realidad es que ha medida que avanzamos en los procesos de transformación digital nuestra dependencia de la tecnología es cada vez mayor. Se han identificado ya posibles escenarios de nuevos ciberataques: pensemos en un hospital, en todos los dispositivos que se utilizan para diagnosticar, monitorizar y curar a los pacientes ¿qué ocurriría si son atacados y el personal sanitario no puede utilizarlos? O un grupo terrorista que comprometa buena parte de los sistemas de climatización en una gran ciudad y decida poner todos a la máxima potencia al mismo tiempo ¿cuál sería el impacto sobre las líneas de distribución eléctrica? Vayamos ahora al mundo del automóvil, tenemos vehículos cada vez más “inteligentes” e hiperconectados. Se han demostrado ya ataques a automóviles actuales en los que el hacker, desde su casa, tomaba el control del vehículo y podía desde poner en marcha el limpiaparabrisas hasta activar los frenos o parar el motor ¿qué ocurriría si alguien lanza un ataque de ese tipo sobre una autopista en hora punta? Todo esto simplemente para ilustrar que la ciberseguridad hoy en día va más allá de proteger unos datos de mi empresa.

¿Dónde nos encontramos hoy? Si echamos un vistazo a la prensa veremos que cada vez son más las noticias sobre ciberataques: una planta de depuración de aguas en Florida, un oleoducto en Estados Unidos, el servicio estatal de empleo, varios ayuntamientos, algunas grandes empresas. Pero lo que vemos en los medios de comunicación es sólo la punta del iceberg, son muchas las pequeñas y medianas empresas que están sufriendo incidentes (algunas de las cuales acaban cerrando o mandando a sus trabajadores a casa durante semanas o meses). Este incremento tiene una doble explicación. Por una parte, la dependencia de las empresas en la tecnología hace que cualquier incidente tenga consecuencias serias para su funcionamiento. Por otra parte, los ataques informáticos en los años 90 tenían como objetivo principal la obtención de notoriedad por parte del atacante, sin embargo, ahora los ataques tienen un objetivo económico y estos ataques ha dado paso al mundo del cibercrimen. Un negocio muy lucrativo que mueve más dinero que las drogas en todo el mundo.

Puede que uno de los tipos de ataques que más preocupa ahora, por su impacto y virulencia, es el del ransomware. Pero sabemos que en poco tiempo vendrán otros ataques distintos a medida que tengamos más controlados los actuales y ya no sean rentables para los atacantes. Por lo tanto, esto es una competición que no tiene fin, en la que los delincuentes van a ir siempre por delante nuestro (es más fácil atacar que defender) y vamos a tener que estar siempre adaptando nuestros mecanismos de protección. 

Todo esto nos tiene que llevar a un cambio cultural en nuestras empresas y en la sociedad. La ciberseguridad ya no es un juego o una travesura, es algo que puede generar un problema muy serio en nuestra organización o afectar a valores fundamentales de las personas. ¿Realmente somos conscientes de todo ello? 

En ocasiones tengo la sensación de que nuestro comportamiento es similar al de los animales de la selva. Tomemos el ejemplo de una manada de cebras que se encuentran pastando tranquilamente. De repente un león se lanza sobre el grupo y todas huyen para ponerse a salvo. El león acaba devorando al más débil del grupo y acto seguido podemos contemplar una estampa en la que el león está comiéndose a su presa mientras el resto de las cebras han vuelto para seguir pastando como si nada hubiese ocurrido (al día siguiente volverá a ocurrir lo mismo). Si seguimos sin tomar medidas y pensando que es un problema que sólo afecta a otros llegará un día en que seremos nosotros la víctima.

El cambio cultural que mencionaba anteriormente requiere un compromiso por parte de la Dirección de las empresas, que, aunque no entiendan los detalles técnicos deben ser capaces de valorar los riesgos existentes. Y necesitamos sobre todo formación y capacitación. No hablo únicamente de la formación de profesionales cualificados en ciberseguridad, si no también de formación a los niveles básicos del usuario final. En el mundo de la ciberseguridad deberíamos seguir el ejemplo del ámbito de la salud. Hoy en día transmitimos desde la educación infantil hábitos de vida saludables en cuanto a la alimentación, ejercicio físico, etc. Esos hábitos se transmiten también a adolescentes, jóvenes, adultos y a la tercera edad. En paralelo tenemos profesionales del ámbito de la salud que nos ayuden a tener una buena salud y a curarnos cuando enfermamos. Finalmente están los científicos y empresas que investigan y desarrollan nuevas terapias y medicamentos para que nuestra calidad de vida sea cada vez mejor. 

Todo esto tenemos que llevarlo también al ámbito de la ciberseguridad y formar a todo el mundo, desde la infancia hasta la vejez, en el manejo adecuado de la tecnología y las buenas prácticas para evitar sufrir un incidente. Los profesionales en ciberseguridad los necesitamos en las organizaciones (como el médico de empresa), pero también en empresas especializadas en ciberseguridad que nos asistan cuando hay un incidente. No nos olvidemos que estamos en una carrera constante con los cibercriminales y necesitamos también que se investigue e innove en nuevas técnicas de protección. Con este enfoque estaremos realmente preparados para hacer frente a los retos futuros en materia de ciberseguridad.