El 2024 será un año muy retador para México en materia de ciberseguridad con hasta 88 por ciento de las organizaciones públicas y privadas con algún grado de vulnerabilidad. Las empresas y los gobiernos estarán bajo el asedio de este tipo de delincuencia, pero también las personas en lo individual, con una ingeniería social exacerbada, mucho más precisa y hasta la confianza en la democracia podría ponerse en entredicho ante la previsión de que las campañas electorales se llenen de “deepfakes”.
En medio de este panorama, sigue pendiente la eventual aprobación en el Congreso de la Unión de la Ley Federal de Ciberseguridad que presentó el 26 de abril el diputado Javier López Casarín, presidente de la Comisión de Ciencia, Tecnología e Innovación de la Cámara Baja, documento al que, además, varias organizaciones hicieron numerosas observaciones en un posicionamiento publicado en septiembre y el cual obligó al legislador a “hacer ajustes”, para atender los señalamientos en materia de derechos humanos.
Al respecto, el diputado Javier López Casarín advirtió recientemente en un evento de las comisiones unidas de Tecnología del Congreso, que si bien es necesario atender las preocupaciones de la industria, no podemos olvidar que “los delitos cibernéticos ya no los comete un muchacho con sudadera con capucha desde el sótano de su casa, sino que forman parte de grupos delictivos altamente sofisticados, organizados y peligrosos”.
Para aportar una visión constructiva a esta discusión, a mediados de diciembre el Consejo Nacional de la Industria Maquiladora y Manufacturera de Exportación, INDEX, entregó al Congreso de la Unión una propuesta sobre los puntos centrales que, a su consideración, debe contemplar la Ley de Ciberseguridad: atender criterios internacionales, impulsar que México se sume a acuerdos globales o regionales en la materia y garantizar plenamente la seguridad de la información y los derechos humanos en casos de investigación.
Mientras tanto, México terminará el 2023 entre los países con más ciberataques en América Latina, la firma especializada Fortinet estima que tan sólo en la primera mitad de este año se registraron 14 mil millones de intentos, con potenciales pérdidas de hasta 155 mil millones de dólares, en tanto, el gigante tecnológico Microsoft calcula que los ciberdelitos en entornos empresariales crecieron 38 por ciento entre 2022 y 2023, tendencia que continuará al alza en los próximos meses.
Esta última cifra coincide con lo señalado en el Reporte de Ciberseguridad 2023 de Check Point Research, según el cual el número de ciberataques en el mundo se incrementó 38 por ciento entre 2021 y 2022 en promedio en todos los sectores, con un especial aumento en el sector salud, donde se disparó hasta 74 por ciento.
La industria de la salud registró en ese periodo mil 463 intentos de ataques semanales por organización a nivel global, mientras las instituciones financieras y bancarias acumularon mil 131 ataques semanales; las instituciones educativas y de investigación con 2 mil 314 ataques semanales y los gobiernos e instituciones castrenses, que sufrieron mil 661 ataques cibernéticos por semana en el mundo.
Frente a este panorama, los expertos coinciden en que el avance de la inteligencia artificial traerá consigo tales retos en materia de ciberseguridad, que ya no es posible abordar por separado una y otra, como lo señaló Sissi de la Peña, especialista en regulación digital de la Academia Mexicana de Ciberseguridad y Derecho Digital (AMCID) en entrevista con Consumo TIC, al aclarar que la IA tiene un gran potencial para desarrollar exponencialmente toda clase de industrias, pero al mismo tiempo, puede facilitar la comisión de innumerables delitos cibernéticos.
Alfonso Jiménez, director de estrategia y marketing de Huawei Cloud Latam, comparte esta visión. En entrevista señaló que la inteligencia artificial y la ciberseguridad “llevan más de 70 años cada una partiendo su pastel de cumpleaños año con año”.
Sin embargo, en un mundo hiperconectado ha cobrado un nuevo significado. Ahora el back to back y el end to end de la seguridad informática de la data transaccional es una actividad de 24 por 7 por 365 días. “No puede parar y no debe parar”.
Prueba de que la IA se puede ser más eficiente en su vertiente negativa que en la positiva en materia de seguridad es que, de acuerdo con el “Informe sobre tendencias de amenazas de phishing 2023” presentado por Egress, compañía especializada en ciberseguridad, hoy, 7 de cada 10 herramientas de inteligencia artificial son incapaces de detectar si un chatbot escribió un correo de phishing, forma que se utiliza para delitos cibernéticos como la suplantación de identidad, invasión al software de seguridad, extorsión asociada con temas sexuales y el aprovechamiento ilegal de las redes sociales de personas, entre otros.
En este panorama, destaca la información de Imperva, empresa fabricante de soluciones de seguridad digital para aplicaciones críticas, según la cual, en el futuro cercano, se calcula que entre el 70 y el 80 por ciento de tráfico en la red, proceda de bots que, como se señaló anteriormente, en su mayoría es imposible reconocer, aún con uso de inteligencia artificial.
En términos de riesgo cibernético para las empresas, la firma especializada en transformación digital Novntiq, identifica que los cuatro tipos más comunes para las empresas de todos los rubros son el malware bancario; el ransomware; el spyware y el adware, todos ellos con potencial de generar pérdidas millonarias.
En ese sentido, Felipe Méndez, arquitecto de soluciones de ciberseguridad de IQSEC, indicó en entrevista con Consumo TIC, que lo mejor será “prepararnos para lo peor, esperando lo mejor”, bajo el principio de que la ciberdelincuencia en verdad está muy organizada y genera ataques masivos que muchas veces tienen a los empleados de las compañías como sus principales víctimas, ante descuidos que cometen por falta de capacitación en esta materia.
De ahí que Juan Sebastian Buendía, vicepresidente senior de equipo rojo y cumplimiento de Octupus, adelantó que el próximo año, los ataques digitales contra los ciudadanos serán más sofisticados y crecerán, sobre todo con una ingeniería social mucho más precisa, gracias a que las herramientas de inteligencia artificial serán cada día más potentes para obtener información más detallada de cada persona.
Además, “a nivel técnico, los atacantes tendrán más facilidades para defraudar a las empresas” y en términos sociales, las deep fake (o construcciones de información falsa con fotos, videos y voces verdaderas de actores políticos), inundarán el ambiente electoral, lo cual obliga a los ciudadanos a ser más responsables y cuidadosos para corroborar siempre la información, antes de creerla y, por supuesto, de replicarla.
Sobre este último punto, Elena Estavillo, directora del Centro i para la sociedad del futuro, señaló que en efecto los deep fakes inundarán el ambiente electoral mexicano en 2024, cuando estarán en juego además de la Presidencia de la República, miles de otros cargos de elección popular.
Esto puede minar la confianza en la democracia, algo que los mexicanos damos por hecho, gracias al largo, costoso y arduo trabajo que nos ha tomado como sociedad construir organismos electorales profesionales y confiables, que ahora podrían verse rebasados si las personas no asumen su responsabilidad individual de corroborar la información que se les presente, tomando datos de fuentes confiables, en lugar de simplemente reproducir contenidos que circulen en redes, pero que tengan dudosa procedencia.
C$T-GM