En un mundo en el que todo está conectado, el ciberriesgo acecha en todas partes

En los últimos doce meses, el 43% de las organizaciones en Francia han sido víctimas de un ciberataque, según la consultora Asterès. ¿Cómo están abordando las empresas los riesgos cibernéticos? A continuación, el análisis de David Ofer, presidente de la Federación Francesa de Ciberseguridad.

¿Cuáles son las líneas definitorias del ciberriesgo?

Varios estudios realizados lo describen como un fenómeno en auge. La cifra de ataques con fines lucrativos comunicados a la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) en 2023 supera en un 30% a la del mismo periodo de 2022. También ha constatado este repunte la unidad de lucha contra la ciberdelincuencia de la fiscalía de París.

“Los piratas van un paso por delante de los gobiernos y de las empresas”

Más allá de las cifras esgrimidas por unos y otros, lo cierto es que, en un mundo en el que todo está conectado, el ciberriesgo acecha en todas partes. La invasión digital de nuestra vida diaria, tanto personal como profesional, ha abierto un amplio campo de posibilidades a una nueva generación de delincuentes y criminales, dispuestos a aprovechar los fallos de los sistemas informáticos para paralizar el funcionamiento de las organizaciones, usurpar identidades y buscar el nuevo grial de las sociedades modernas: los datos. Particulares, empresas, asociaciones, instituciones, autoridades locales … Hoy en día, nada está a salvo de estos bandidos del ciberespacio.

¿Es posible que la inteligencia artificial cambie las cosas en esta nueva guerra?

Los algoritmos permiten a los actores de la prevención y la protección comprender e identificar mejor las fuentes de los ataques, así como los puntos vulnerables. Son un aliado precioso en la protección de datos y la detección de los intentos de ataque. Muchos servicios sensibles, como el ejército y la policía, utilizan la IA para mejorar el análisis de algunos datos. Pero la IA también les es útil a los delincuentes, ya que permite una mayor sofisticación de los ataques, por ejemplo mediante los famosos deepfakes de los que tanto han hablado los medios de comunicación.

¿Los delincuentes no van un paso por delante respecto a los medios de defensa y de respuesta?

En la carrera contrarreloj entre una amenaza que se profesionaliza y una defensa que se organiza, el combate es desigual. Los piratas, al “invertir” ―literalmente― en cibernética, van un paso por delante de gobiernos y empresas, que durante mucho tiempo han visto la ciberseguridad como una partida de gastos. El mito del hacker encapuchado que trabaja solo en su garaje ya no se corresponde con la realidad. Ahora los ciberataques están orquestados a escala internacional por organizaciones criminales cada vez más sofisticadas, con objetivos establecidos con precisión y graves consecuencias para la seguridad y la economía de los países.

¿Qué sectores de actividad son los más amenazados?

Últimamente, el sector de la sanidad está siendo uno de los más afectados por los ataques, y la razón es que abarca actividades que pueden ser vitales para los ciudadanos y conserva datos personales extremadamente cualificados y, por tanto, muy monetizables. En el punto de mira de los atacantes también hay otros sectores cuya paralización impactaría en el funcionamiento de la sociedad: entidades territoriales, sector energético y, especialmente, telecomunicaciones y transporte. Hoy en día el riesgo se centra principalmente en las cadenas de suministro. La globalización de los mercados y la proliferación de la subcontratación están sobreexponiendo claramente las cadenas de abastecimiento. En Estados Unidos sufren ataques recurrentes, mientras que las cadenas de suministro francesas también empiezan a verse afectadas.

Cuál es la posición y la función de la Federación Francesa de Ciberseguridad en el ecosistema de la seguridad digital?

Hoy en día, son varios los agentes que se ocupan de la cibernética en Francia. La ANSSI se centra más específicamente en los operadores de servicios esenciales y los grandes grupos o grandes entidades territoriales. Cybermalveillance.gouv se creó para informar y tener en cuenta (con recursos financieros limitados) las denuncias de particulares y empresas. En cuanto a las microempresas y pequeñas y medianas empresas, las pequeñas entidades, muy numerosas en Francia, los mensajes se diluyen y los directivos y representantes electos se encuentran a menudo indefensos ante una información en la que no se sienten incluidos. Hay multitud de cuestiones relacionadas con la ciberseguridad que requieren una mayor difusión: red territorial para las microempresas y pequeñas y medianas empresas, formación de los jóvenes, puentes interprofesionales, acceso a un ciberespacio controlado, etc. Este es el ámbito que hemos querido completar con la Federación Francesa de Ciberseguridad, creada hace cuatro años a iniciativa de representantes electos, especialistas en seguridad digital, empresas, entidades y cámaras de comercio. Nuestro objetivo es aunar las acciones de información, prevención y protección del tejido económico mediante un enfoque ciudadano independiente, libre de cualquier interés comercial. A diferencia de numerosos clubes y asociaciones que han invertido en el ecosistema para defender intereses privados, nosotros no vendemos productos ni servicios, y seguimos un planteamiento estrictamente de interés general y utilidad pública.

¿En qué punto están las empresas en materia de prevención?

Una vez más, hay una gran brecha entre los grandes grupos, que pueden movilizar más medios y recursos, y el tejido de las microempresas y pequeñas y medianas empresas, que no saben a quién dirigirse, qué medidas tomar o qué organizaciones desplegar.

“Más del 60% de las pymes no disponen de un responsable de ciberseguridad”

En 2023, la Federación realizó una encuesta que mostraba que más del 60% de las pymes no disponían de nadie que se encargara de la ciberseguridad, y que solo el 25% había contratado un seguro. Es urgente que el tema de la ciberseguridad se desprenda de su tropismo técnico para llegar a las empresas con términos sencillos y comprensibles. En la guerra contra la criminalidad, la clave es el dinero. La aceleración de los avances digitales no va acompañada de un aumento de los gastos en seguridad. Hoy en día, por la falta de conocimientos sobre el tema, las microempresas y pequeñas y medianas empresas no están dispuestas a destinar el presupuesto que requieren los medios de protección adecuados.

Suele señalarse a menudo el desfase entre la necesidad de competencias técnicas de las empresas y la falta de talento disponible en el mercado…

Creo sinceramente que las cosas son más complejas y que el tema de los recursos no puede reducirse solo a este desajuste entre demanda y oferta. Durante estos últimos años la formación en ciberseguridad ha experimentado un gran desarrollo. Pero se da una situación paradójica: por un lado, en algunas carreras no se cubren todas las plazas; por otro, las empresas no cuentan con suficientes puestos dedicados a la seguridad digital y tienden a buscar titulados hipercualificados con 5 años de estudios, aunque parte de sus necesidades sean otras. Una vez más, las cuestiones vinculadas a la ciberseguridad no deben reducirse a su dimensión técnica. Justamente con la intención de ampliar el abanico de perfiles y de acompañar a las empresas, la Federación Francesa de Ciberseguridad acaba de crear el trabajo de asistente en ciberseguridad.

¿En qué consiste?

La función de los asistentes en ciberseguridad consiste en ponerse en contacto con los usuarios de la empresa, comunicarles las reglas de ciberhigiene, y comprobar que se entienden correctamente y se cumplen las políticas de seguridad. El objetivo es reducir las superficies de ataque, disminuir el riesgo e informar de los puntos críticos a los departamentos implicados. Al mismo tiempo, hemos creado un título formativo para este trabajo de asistente en ciberseguridad, con un plan de estudios de 400 o 600 horas abierto a jóvenes que hayan acabado el bachillerato o a personas que busquen reciclarse profesionalmente.

¿El actual arsenal jurídico es suficiente para prevenir y regular el riesgo?

Sí, en gran medida es suficiente para dotar de un marco legal al ámbito de la seguridad (véase el recuadro). Frente a la magnitud de lo que está en jugo, la urgencia no está en la respuesta reglamentaria. Hay que definir los servicios esenciales a proteger, consolidar el ecosistema de prevención y protección, regular las responsabilidades a lo largo de toda la cadena de valor cibernética, desarrollar la cobertura de los seguros, y quizás, antes que nada, sensibilizar y formar a todos los niveles. El trabajo por hacer es ingente. Por último, no hay que olvidar que el RGPD incluye una parte dedicada a la ciberseguridad que, si se aplicara, ahorraría muchos problemas a las empresas.

Un robusto arsenal jurídico

La ley Godfrain de 1988 sanciona el acceso ―o el intento de acceso― sin autorización a los sistemas de tratamiento automatizado de datos (STAD). En estos últimos años, se han elaborado múltiples documentos para dar respuesta a cada situación concreta. La Digital Operational Resilience Act (DORA), introducida por la Unión Europea, ha reforzado la ciberseguridad en los servicios financieros. La directiva Network and Information Security (NIS 2), transpuesta a la legislación francesa en 2024, permitirá a la ANSSI aumentar el nivel de ciberseguridad de miles de instalaciones en varios sectores de actividad que a partir de ahora serán objeto de regulación.

10/07/2024