La delincuencia cibernética ya es capaz de penetrar sistemas de defensa en menos de un minuto, está altamente organizada, vende métodos de ataque al mejor “postor”, domina herramientas sofisticadas de IA que facilitan su trabajo ilícito y genera productos de phishing e ingeniería social de gran eficiencia.
Ante este panorama, México se ubica entre los países más atacados del mundo en materia de ciberseguridad, según las distintas métricas disponibles, a pesar de que las inversiones en este tema llegarán a 3 mil 050 millones de dólares en este año, incluso por arriba de países como Japón donde se invertirán 2 mil 750 millones de dólares, por ello la recomendación es cambiar de enfoque.
La empresa de ciberseguridad IQSEC, advirtió que la madurez organizacional en México en la defensa contra ataques cibernéticos es profundamente desigual: mientras algunas empresas operan con robustos sistemas automatizados de monitoreo constante, otras todavía dependen de defensas manuales muy básicas condenadas a ser rebasadas.
De acuerdo con el estudio “CROC-RM7: la nueva forma de decidir en ciberseguridad”, preparado por la firma de origen mexicana, los sectores más atacados son tecnológicos (23 por ciento); consultoría y servicios profesionales (15 por ciento); industria (12 por ciento); ventas al menudeo (11 por ciento); servicios financieros (10 por ciento); salud (9.0 por ciento); telecomunicaciones (7.0 por ciento); y gobierno (6.0 por ciento).
Tras revisar a fondo la realidad de la ciberseguridad en nuestro país, IQSEC identificó los principales retos en la materia: el error humano sigue siendo el detonador más común, con contraseñas débiles, clics indebidos y ligas maliciosas que son abiertas por el personal de las empresas sin precaución.
También se observa que falta formalidad en los procesos de ciberseguridad, talento insuficiente o inadecuadamente capacitado, y la coordinación entre áreas es débil o nula. Por otro lado, la ciberseguridad enfrenta obstáculos culturales, pues muchas personas se resisten a seguir políticas y prefieren evadir controles en sus actividades diarias.
Asimismo, la mayoría de los equipos directivos no son especialistas en ciberseguridad y toman decisiones por intuición. Esto provoca que las inversiones resulten tardías y se establezcan estrategias reactivas, una vez que ocurrieron los ataques cibernéticos.
Muchas empresas han cambiado su mentalidad a partir de las malas experiencias: sufrir ataques de ransomware, fugas de datos o fraudes de diversos alcances, fue lo que impulsaron inversiones que antes se consideraban prescindibles ante el criterio de “a mí no me va a pasar, o ¿qué le puede interesar a los delincuentes de mi pequeña empresa?”
Sin embargo, una vez que ocurren los ataques, las empresas comienzan a preguntarse sobre los riesgos que implican un ciberataque en términos de la continuidad del negocio, la reputación, el cumplimiento normativo y la relación con los clientes.
De acuerdo con el estudio, el crecimiento de la ciberdelincuencia es universal y muy rápido, pues el Reporte Global e Amenazas de CrowdStrike detalló que hoy, la vulnerabilidad de sistemas puede tardar entre 51 segundos y 48 minutos; los hackers adoptan el phishing de voz (vishing); phishing de devolución de llamada e ingeniería social de los servicios de asistencia para ingresar a las redes que tienen por objetivo.
En la red oscura o “dark web”, los delincuentes venden credenciales válidas robadas, “negocio” que crece a un ritmo del 50 por ciento anual y los entornos de nube son muy codiciados por la delincuencia por la gran cantidad de datos que concentran y su escalabilidad. En el último año, los ataques a entornos de nube subieron 26 por ciento.
Esto explica por qué las inversiones en ciberseguridad crecen en el mundo, con Estados Unidos a la cabeza en el orden de los 13 mil millones de dólares en este año, seguido por China con 12 mil 620 millones de dólares; Inglaterra con 600 millones de libras esterlinas; Alemania con 10 mil millones de euros; Australia con 6 mil 200 millones de dólares y México con 3 mil 050 millones de dólares, según cifras de la consultora The Competitive Intelligence Unit (The CIU).
Al respecto, Sergio Navarro, director de Arquitectura y Preventa de IQSEC señaló que “el reto ya no se limita solo a identificar riesgos, sino a transformarlos en decisiones que previenen incidentes. Persisten vacíos metodológicos, falta de criterios unificados y una madurez fragmentada que no refleja el riesgo real del negocio”.
Por eso, se propone una ruta de “resiliencia digital” que incluye traducir la ciberseguridad al lenguaje del negocio, con métricas que reflejan el impacto económico; simplificar la oferta tecnológica; fortalecer procesos internos mediante mediciones de hábitos, cumplimiento y efectividad y adoptar modelos basados en riesgo que permitan anticiparse a los ataques.
C$T-GM
