En 2025, el número de ciberataques en México creció cinco veces, además de ser cada día más intensos e invasivos, por lo cual es necesario pasar de un enfoque reactivo a uno predictivo, tomando en cuenta que la delincuencia cibernética ya es un negocio altamente sofisticado y redituable.
En ese sentido, el tradicional Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés), con el que se solían proteger las organizaciones y que monitoreaba la actividad de amenazas para actuar en cuanto fuera necesario, debe de evolucionar a un nuevo modelo, donde se prevea lo que viene, se aplique la ciberinteligencia y se use la IA con fines de protección.
Erick Flores, coordinador del Centro de Operaciones de Ciberriesgo (CROC, por sus siglas en inglés) de la empresa de ciberseguridad IQSEC, advirtió que llegó la hora de cambiar el enfoque, ante el incremento en la sofisticación, organización y capacidades de los actores maliciosos.
Durante una visita de ConsumoTIC a las instalaciones del nuevo CROC de IQSEC, Flores explicó que mientras los SOC tienen un enfoque reactivo, el CROC es predictivo, con monitoreo constante de la actividad de sus clientes, combinando expertos y herramientas de Inteligencia Artificial, que detectan a tiempo actividad inusual y atajan los riesgos antes de materializarse.
Por supuesto esto implica que las empresas contratantes del servicio, deben tener muy claro cuál es el nivel de riesgo que están dispuestos a asumir y deben permitir al personal del CROC cierto margen de decisión e incidencia para tomar acciones inmediatas, sin esperar aprobaciones, porque ese lapso puede ser la diferencia entre prevenir y sufrir un problema serio.
El CROC propone un modelo que transforma la operación tradicional de seguridad en una plataforma estratégica capaz de convertir cada amenaza en una decisión de negocio, basado en una metodología de siete puntos:
Identificación de activos y apetito de riesgo; modelado de amenazas; cuantificación del riesgo; fusión de inteligencia; riesgo extendido y terceros; automatización, priorización y respuesta; evidencia, auditoría y mejora continua.
En cuanto las empresas usuarias del CROC definen los parámetros de esos siete puntos y dan acceso a los especialistas para tomar el control en casos de emergencia (a cualquier hora y cualquier día), es mucho más fácil detener el ataque antes de que ocurra o bien minimizar las consecuencias en caso de que no se pueda frenar.
A su vez, Sergio Navarro, director de Arquitectura y Preventa de IQSEC, destacó que además de esta metodología de siete puntos, lo más importante es entender las necesidades de ciberseguridad desde el punto de vista del negocio de sus clientes.
Por ejemplo, si una empresa dice que lo más importante que tiene es la continuidad de la producción y luego enlista una serie de pasos en orden decreciente hasta llegar, por ejemplo, a la distribución del producto terminado, el CROC actuará primero y con más ímpetu en todo aquello que pueda afectar a la producción y con menos urgencia en las demás áreas, aunque sin descuidar ninguna.
Sin embargo, una de las grandes claves es calcular el costo económico que implica cada escenario de ataque. “Una vez que nuestros clientes tienen claro cuánto dinero les puede costar cada ataque, por lo general toman muy pronto la decisión de cómo y en qué orden proteger sus activos, empezando por su prioridad uno, hasta llegar a lo que menos delicado consideran”.
Esto tiene que ver con el llamado “apetito de riesgo”, es decir, cuánto están dispuestos a arriesgar los clientes en materia de ciberseguridad.
Y aunque la delincuencia está usando con éxito las herramientas de Inteligencia Artificial para cometer ilícitos, la protección no se le puede dejar únicamente a esa tecnología: se requiere de una combinación entre talento, procesos y herramientas.
En todo caso, lo importante es cambiar el enfoque, porque la delincuencia también cambia; está organizada, tiene herramientas y recursos.
Incluso actúa en “capas”, es decir, los verdaderos creadores del software malicioso, le venden a delincuentes menores ciertas herramientas para penetrar distintas partes de una organización y cuando todos lo han logrado, entonces los delincuentes mayores toman el control y orquestan todo el delito.
De esa forma, si la estafa se descubre en las primeras fases, quienes enfrentan a la justicia son los delincuentes menores y si se tiene éxito, el delincuente mayor solo le paga una parte a sus cómplices y se queda con la ganancia grande, porque fue él quien diseñó y maneja todo el entramado.
De ahí que la forma de defenderse también tiene que cambiar, acorde con estas y otras formas de operar de la delincuencia.
C$T-GM
