Octubre es el mes de la ciberseguridad, un momento para concienciar sobre un tema que preocupa cada vez más a ciudadanos, empresas y gobiernos, dado el aumento de la ciberdelincuencia.
Hace unas décadas, los atracos a bancos eran casi cotidianos:
El negocio era, por así decirlo, demasiado bueno para los ladrones. Era demasiado fácil huir con el dinero de los Bancos
En 2022, por primera vez en la historia, Dinamarca registró cero atracos a bancos. Pero los delincuentes de la era digital están encontrando nuevas formas de robar, al tiempo que los ciberataques por parte de agentes estatales se han hecho más comunes y visibles.
En la actualidad, el desarrollo digital ha adquirido una mayor dimensión, ya que los riesgos de ciberseguridad socavan la confianza en la transformación digital y generan importantes costes económicos y sociales. La ciberseguridad se está convirtiendo en una gran prioridad, como muestran las cifras: las estimaciones de la OCDE sugieren que el coste de los incidentes de seguridad digital oscila entre 100 000 millones y 6 billones de USD al año; la protección de los usuarios frente a los ciberataques fue la principal prioridad seleccionada por el 30 % de los ciudadanos europeos para la década digital de 2030; los ciberataques en LATAM y el Caribe aumentaron un 600 % (el 10 % de los ciberataques en todo el planeta) en 2022, contabilizándose 360.000 millones de intentos de ciberataque, según las estadísticas de Fortinet.
Y a diferencia de otras decisiones de inversión, el mayor éxito en la protección de la ciberseguridad es silencioso, cuando los ataques no tienen éxito. Esto conlleva la dificultad añadida de definir lo que constituye un éxito de ciberseguridad, que permita facilitar la toma de decisiones en términos de obtención de recursos para mejorar la resiliencia, protección y respuesta. No se trata de un simple retorno de la inversión. Y la ciberseguridad no es sólo una cuestión tecnológica, sino política, cultural y empresarial.
Aumento de la madurez del enfoque de ciberseguridad en LATAM
Este mes, Telefónica ha acogido en Madrid el LATAM CISO Summit 2023, un encuentro para empresas, líderes de ciberseguridad y responsables políticos de Latinoamérica para compartir experiencias y prepararse y hacer frente a los ciberriesgos de forma eficaz. Para la ocasión se publicó un informe sobre la situación de la ciberseguridad y recomendaciones para la región.
La rápida digitalización está poniendo a prueba la resiliencia de los servicios e infraestructuras privados y públicos, lo que a su vez significa que la ciberseguridad debe integrarse en la política de modernización de un país. Como mejor práctica, algunos países (por ejemplo, Panamá) incluso reservan entre el 10% y el 20% del presupuesto de apoyo público de cada proyecto de transformación digital para la ciberseguridad, con el fin de promover la ciberseguridad desde el diseño.
La región de América Latina es, en todo el mundo, una de las más vulnerables a los ciberataques, según el índice de seguridad global de la UIT. Pero existe un amplio espectro de madurez en ciberseguridad entre los países, como se puso de manifiesto en la cumbre.
Lecciones aprendidas en América Latina
En 2022, Costa Rica se convirtió en un escaparate y una lección para aumentar la prevención y el desarrollo de capacidades de seguridad en todos los países: Costa Rica tuvo que declarar el estado de emergencia, cuando sus organismos gubernamentales fueron víctimas de una operación de ransomware de una banda rusa de ciberdelincuentes, que provocó la paralización de un día para otro de servicios gubernamentales críticos (por ejemplo, operaciones aduaneras, impago de los salarios de los profesores, pérdida de acceso a los historiales médicos de los pacientes o a las citas médicas). La cooperación interestatal en materia de seguridad y la asistencia solicitada a varios países, entre ellos Estados Unidos, España e Israel, se convirtieron en un elemento clave para hacer frente a los problemas. Tras este duro aprendizaje, Costa Rica se está consolidando como líder regional en ciberseguridad.
En septiembre de 2023, en Colombia (y otros países de la región), más de 50 entidades estatales y empresas privadas se vieron afectadas por un ataque de ransomware contra el proveedor de servicios de Internet IFX Networks, con un gran impacto en los servicios públicos. Este hecho ha vuelto a poner de manifiesto la importancia de unas medidas de ciberseguridad adecuadas para la resiliencia de los servicios gubernamentales, la importancia de las cláusulas de seguridad en los contratos más allá de un enfoque de precio más bajo ofertado, y la necesidad de un marco regulatorio apropiado.
Los países y las empresas deben acelerar su protección de la ciberseguridad inspirándose en ejemplos de buenas prácticas, actualizando sus marcos normativos y explorando las lecciones aprendidas en otras regiones, estableciendo estrategias de ciberseguridad y organismos técnicos independientes, aumentando la cooperación entre países y entre agentes públicos y privados rompiendo silos, colaborando con socios privados y haciendo uso de los Centros de Operaciones Digitales especializados (SOC/DOC) para agilizar la respuesta a las crisis, invirtiendo en el desarrollo de capacidades (incluido el capital humano), aumentando la concienciación, luchando eficazmente contra la ciberdelincuencia y, con un compromiso fundamental con los derechos humanos, protegiendo la privacidad y garantizando la claridad y la previsibilidad en el acceso a la información digital.
Revisión de los marcos normativos europeos en materia de ciberseguridad
Europa es una de las regiones con las políticas de ciberseguridad más maduras, con estrategias de ciberseguridad, ciberagencias independientes con competencias técnicas claramente definidas, marcos normativos y directrices de ciberseguridad para mejorar las prácticas, un marco de certificación, procesos de cooperación y programas para la innovación, y apoyo al desarrollo de cibercapacidades, despliegue y el desarrollo de competencias. Basándose en las lecciones aprendidas y en el nuevo panorama de las ciberamenazas, Europa está actualizando estos marcos.
Por nombrar algunos de los marcos futuros más importantes:
- La Directiva NIS2 sobre medidas para un elevado nivel común de ciberseguridad en toda la Unión se aplicará a las empresas consideradas esenciales o importantes en 18 sectores críticos, a partir del 18 de octubre de 2024. La transposición a los marcos nacionales está en curso. Amplía el ámbito de aplicación de las normas de ciberseguridad a nuevos sectores y entidades, para seguir mejorando la capacidad de resiliencia y de respuesta ante incidentes. Cerrar la brecha en la seguridad de la cadena de suministro y aumentar la coordinación de la notificación y respuesta a incidentes sigue siendo un reto.
- En consonancia con la Directiva NIS2 y debiendo ser transpuesta en la misma fecha, la Directiva de Resiliencia de Entidades Críticas (CER) establece obligaciones para que los Estados miembros de la UE tomen medidas específicas, a fin de garantizar que los servicios esenciales para el mantenimiento de las funciones vitales de la sociedad o las actividades económicas se presten sin obstáculos. Los Estados miembros tendrán que identificar las entidades críticas para los sectores establecidos en la Directiva CER antes del 17 de julio de 2026.
- La propuesta sobre requisitos de ciberseguridad para productos con elementos digitales, conocida como Ley de Ciberresiliencia (CRA), con normas de ciberseguridad para disponer de productos de hardware y software más seguros. La resiliencia aumentará si se logra una mejor asignación de responsabilidades en materia de ciberseguridad a lo largo de toda la cadena de valor y requisitos armonizados. Entrará en vigor 24 meses después de su aprobación.
- El recién aprobado Reglamento DORA sobre resiliencia operativa digital para el sector financiero, aplicable a partir de enero de 2025, también pondrá a prueba la protección de la cadena de suministro. Incluye disposiciones sobre contratos, normas de seguridad, gestión de riesgos, derechos de acceso, inspección y auditoría sobre proveedores, formación y sensibilización sobre riesgos y resiliencia para el personal y estructuras de gobernanza para la gestión de la seguridad, entre otras.
¿Cómo avanzar hacia marcos globales de lucha contra las ciberamenazas?
Una de las experiencias más antiguas en la lucha contra la delincuencia global fue la lucha contra la piratería. La segunda mitad del siglo XVII fue la Edad de Oro de la piratería. En el siglo XVIII, la tolerancia hacia los piratas y los asaltantes apoyados por los estados se estaba agotando. Y las naciones europeas reforzaron sus armadas para ofrecer mayor protección a los comerciantes y dar caza a los piratas. El excedente de marineros cualificados proporcionaba una gran reserva que también podía reclutarse en las armadas nacionales. Sin una base segura y con la creciente presión de las fuerzas navales coordinadas, los piratas perdieron fuerza.
Y, al igual que ocurría con los bucaneros del siglo XVII, la naturaleza sin fronteras de la economía digital dibuja un complejo panorama jurídico y operativo para la ciberseguridad. La cooperación internacional está en el centro de una persecución eficaz. Se requiere un enfoque colectivo y de colaboración entre múltiples partes interesadas para encontrar formas y soluciones eficaces para abordar los problemas de ciberseguridad y luchar contra las ciberamenazas y los ciberdelincuentes.
Desde mayo de 2021, los Estados miembros de la ONU negocian un tratado internacional contra la ciberdelincuencia, revisando la Convención de Budapest. Y como establece la CCI en su informe sobre ciberseguridad, para aumentar la seguridad, es esencial mejorar la cooperación para luchar contra la ciberdelincuencia y aplicar normas de comportamiento responsable de los Estados, respetando los derechos humanos, a fin de reducir los ciberataques.
Actuemos juntos para debilitar el interés económico de la «piratería» y desmantelar a los actores de las amenazas.
¿Cuáles son las preocupaciones de políticas públicas en materia de ciberseguridad para el futuro?
El campo es amplio y será objeto de varios posts. Por nombrar sólo algunos de los temas para avanzar hacia un ciberespacio libre y seguro:
- Buenas prácticas para aumentar la resiliencia frente a los ciberataques, especialmente el ransomware, el ataque más extendido.
- Aumentar la protección de la cadena de suministro y armonizar los marcos. Somos tan fuertes como nuestro eslabón más débil.
- Garantizar una mayor protección de las infraestructuras críticas y los servicios esenciales.
- Tecnologías que cambian las reglas del juego en ciberseguridad: del cloud a la inteligencia artificial.
- ¿Ciberseguridad en los dispositivos terminales? El Internet de las Cosas y los dispositivos contribuyen la creación de un mundo interconectado.
- Mejorar la creación de capacidades de ciberseguridad, desbloquear recursos financieros, reducir la brecha de competencias en ciberseguridad y mejorar la cultura de ciberseguridad.
- Avanzar hacia marcos interoperables, incluido el tratamiento de vulnerabilidades y la comunicación responsable, equilibrando las obligaciones de información.
- Mantener el enfoque multilateral en la gobernanza contra la ciberdelincuencia.
- Las normas de la SEC sobre gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes por parte de empresas públicas, en vigor en diciembre de 2023, para la comunicación de incidentes de ciberseguridad «materiales» y descripción de procesos.
- El ciberseguro, el sector de mayor crecimiento en los mercados mundiales de seguros que puede influir en el futuro panorama de la ciberseguridad.
- El reto del auge de las agencias de calificación de ciberrating, que carecen de transparencia, fiabilidad y solidez y que, a diferencia de las agencias financieras, no están reguladas.