¿Qué pasa que la ciberseguridad esta tan de moda? ¿Por qué aparecen tantas noticas de ciberseguridad últimamente? Estas y muchas preguntas similares se han hecho últimamente y las respuestas terminan siendo distintas, pero hoy lamentablemente todas ciertas.
La verdad es que no es un tema de moda, hace más de 20 años que se viene hablando de la seguridad en las comunicaciones, seguridad Informática, seguridad en la información y ahora ciberseguridad. Todas tienen sutiles diferencias una con la otra, pero en general representan lo mismo: cómo nos podemos proteger y recuperar ante incidentes en las tecnologías que cada día vamos adoptando como sociedad. Y en esto último está la clave, ya que la tecnología cambia, evoluciona y avanza a velocidades impensables y cada paso que da la tecnología es una puerta nueva que se abre para sufrir un incidente. En definitiva, la superficie de ataque cada vez se aumenta más rápido.
¿Es entonces momento de darse por rendido? Muchas personas y organizaciones se paralizan y ante situaciones complejas prefieren desconocer del riesgo y “ser más felices”, pero realmente no es el camino. Tampoco es momento de frustrarse por no poder tener toda la inversión necesaria, ni por no contar con todo el equipo o conocimientos suficientes. Sí hay que establecer una estrategia clara, objetivos concisos y apetitos de riesgos; es decir, hasta dónde puedo aceptar y hasta dónde no.
Los primeros pasos son un poco más difíciles cuando se entra en el camino de la evolución en materia de ciberseguridad, y muchas veces los ratios para avanzar en este ‘journey’ son muy favorables (con poca inversión se logran grandes cambios). Pero al mismo tiempo no hay que desmotivarse cuando una organización ya logra un nivel de madurez alto y sobre el cual el ratio de inversión vs evolución cambia rotundamente, requiriendo grandes inversiones para lograr pocas mejoras y niveles ideales de ciberseguridad.
La realidad es que muchas organizaciones están sufriendo ataques, muchas más de las que se conocen públicamente. Eso sucede porque además de la incorporación de tecnologías sin pensar en la seguridad, se suman que los atacantes son cada vez más evolucionados, focalizados y especializados, poseen más financiamiento y dedicación que las organizaciones. Ellos tienen la posibilidad de llegar a cualquier lugar desde sus teclados, cuentan con la anonimidad de la red, de las criptomonedas (y ya no solo una, sino que cientos de monedas con las que es posible operar) y el Blockchain que les permiten mover grandes sumas de dinero fácil e instantáneamente. Al igual que en el fútbol, un delantero (el atacante) solo tiene que meter un gol para pasar adelante, con que solo encuentre una vulnerabilidad en la tecnología, en los procesos o en las personas ya logra su cometido; esto ocurre al mismo tiempo que los equipos de ciberseguridad de las organizaciones tienen que estar atajando miles de pelotas todo el tiempo, y lamentablemente eso no se ve.
Esto nos lleva a otro problema: hoy los equipos de ciberseguridad o seguridad de la información están agotados psicológica y físicamente. La constante presión que se vive en el entorno, con las crecientes responsabilidades que se agregan a sus espaldas y la cantidad inmensa de horas adicionales que tienen que dedicar a preparar sus defensas, monitorear a los atacantes y dar respuestas a los distintos niveles de la organización, hace que la labor se vuelva muy desgastante. Y de esto también se aprovechan los atacantes que, generalmente, realizan sus ataques un viernes a la noche, cuando el equipo llega cansado a sus casas luego de otra semana intensa y que ante el llamado a la madrugada los despierta bajo la frase “tienes que venir a la oficina estamos con un incidente, nos hackearon”. Así, cansados, estresados y llenos de adrenalina, se dirigen como bomberos a intentar apagar otro incendio. Es entonces que en las noticias y redes sociales se sale a hablar (muchas veces sin el conocimiento profundo de la situación) de lo mal que estaba esto o aquello, pero pocas veces se sale a apoyar al grupo de personas que está dejando todo por recuperar la operación, conteniendo el ataque y mitigando los impactos. Debemos proteger más a los equipos de ciberseguridad, que son los arqueros del equipo -la organización- y que de igual manera son los primeros en ser cambiados ante un incidente en el cual pudiendo ellos ser parte de la cause, no es de exclusiva responsabilidad. Muchas veces son los ejecutivos los que no ven el valor en la ciberseguridad, que solo lo consideran un gasto y hasta una pérdida constante de dinero.
En conclusión, lo que se ha conocido públicamente es solo la punta del iceberg. Los atacantes ven un negocio muy rentable en sus acciones, una superficie de ataque que crece segundo a segundo; esto ocurre al mismo tiempo que hay escasez de profesionales e inversión en ciberseguridad que junto a la lentitud de implementación de las tecnologías de protección, detección y recuperación, hacen el momento ideal para que las organizaciones estén más expuestas.
Y como detalle final, todos los atacantes comparten o venden muchas de sus herramientas de ataque, mientras que por el otro lado no todas las organizaciones comunican que tuvieron un incidente, previniendo así que el resto de las organizaciones de la industria puedan preparase para evitar el mismo incidente. Debemos continuar apoyando a los profesionales de ciberseguridad, invertir en su capacitación constante, acompañarlos con una cultura organizacional en ciberseguridad, y buscar la mejor manera de darles las herramientas para que puedan hacer su mejor trabajo y proteger la confidencialidad, integridad y disponibilidad de las organizaciones y sus personas.