La cita del ‘Arte de la guerra’ del antiguo general chino Sun Tzu (544-496 a.C.) se refiere a estar perfectamente preparado para la guerra mientras se hace todo lo posible por evitarla. Esto incluye establecer mecanismos de defensa lo suficientemente impresionantes como para que un agresor potencial se lo piense dos veces antes de actuar. 2.500 años después, lo mismo puede decirse de la ciberseguridad o seguridad digital: invertir en defensa ayuda a mantener a raya al enemigo y es mucho menos costoso que ir a la guerra.
Invertir en defensa ayuda a mantener a raya al enemigo y es mucho menos costoso que ir a la guerra
Hoy, la ciberdelincuencia es una industria madura que pone en peligro a individuos y organizaciones, a diario. Todos los años, en octubre, se celebra el Mes Europeo de la Ciberseguridad (ECSM ), cuyo objetivo es promover la seguridad online y aumentar la conciencia digital en toda la Unión Europea.
Coordinada por ENISA desde 2012, la campaña anual está diseñada para educar a los ciudadanos y a las empresas acerca de las posibles amenazas digitales, compartir buenas prácticas, promover la higiene cibernética, la seguridad digital y las medidas de defensa.
Índice de temas
Seguridad digital, peligro inminente
En su viaje hacia la era digital, las organizaciones de todo el mundo han ido aumentando su dependencia de la tecnología.
La velocidad de esta revolución digital durante la última década puede parecer vertiginosa, aunque la tendencia está lejos de remitir: la inteligencia artificial, el aprendizaje automático, el ‘Edge Computing‘ interoperable y otras tecnologías autónomas no hacen más que acelerarla.
Mientras que las soluciones digitales suelen adoptarse con mucha facilidad, las medidas de seguridad, incluso aquellas que se actualizan frecuentemente, luchan por mantenerse al día frente a los avances en el frente de la delincuencia.
Las medidas de seguridad, incluso aquellas que se actualizan frecuentemente, luchan por mantenerse al día frente a los avances en el frente de la delincuencia
Los fraudes cibernéticos, desde infracciones menores a ataques a escala mundial que afectan a miles de millones de usuarios, van en aumento. Un muy bienvenido conjunto de directivas de la UE para mejorar la resiliencia digital lanzadas a finales de 2022 (DORA , NIS2 y CER ) está estableciendo el marco jurídico necesario, pero la amenaza inmediata para las organizaciones puede ser devastadora.
Cifras asombrosas
Según un estudio realizado por Surfshark , durante el primer semestre de 2023 se registraron un total de 153.984.716 filtraciones de datos en todo el mundo; esto equivale a casi 600 filtraciones de datos por minuto, 24 horas al día, 7 días a la semana.
En España, solo durante el segundo trimestre se filtraron 3.724.924 cuentas, el mayor número por país registrado en Europa durante ese periodo.
España ocupa el tercer puesto en filtraciones de datos per cápita en el segundo trimestre, solo por detrás de Rusia y Estados Unidos
El estudio muestra que, a escala global, España ocupa el tercer puesto en filtraciones de datos per cápita en el segundo trimestre, solo por detrás de Rusia y Estados Unidos (78/1000, 106/1000 y 147/1000, respectivamente).
Como ejemplo, el ciberataque al Ayuntamiento de Sevilla el pasado mes de septiembre viene a demostrar que las consecuencias pueden ser graves: un mes después, los trámites digitales de los ciudadanos seguían sin funcionar al 100%. Más de 4.000 ordenadores de 175 localidades habían sido infectados. Aunque se pudo evitar la filtración de datos personales y no hubo ningún pago de rescate, el gobierno local estima que el coste de restablecer plenamente las operaciones asciende a unos 5 millones de euros, más o menos en línea con el coste medio por violación de datos registrado en todo el mundo (4,45 millones de dólares) en 2023.
Be smarter than a hacker
Este año, el lema del Mes Europeo de la Ciberseguridad, ‘Sé más inteligente que un hacker’ , ha buscado concienciar a los usuarios.
Los seres humanos siguen siendo el eslabón más débil de la cadena de seguridad digital, ya que los estudios muestran que más del 80% de las violaciones de datos registradas se deben a errores humanos (incluido el mencionado hackeo en Sevilla): la mala gestión de contraseñas, la configuración incorrecta, el uso de software obsoleto y/o no autorizado y la falta de destreza digital de los empleados son algunas de las causas más comunes.
Los seres humanos siguen siendo el eslabón más débil de la cadena de seguridad digital
Las consecuencias pueden ser graves, ya que la detección de errores basados en la destreza tiende a ser lenta: IBM reporta que, por término medio, las infracciones basadas en phishing (debidas mayoritariamente a la falta de concienciación en materia de seguridad) tardan 213 días en identificarse y 80 días en resolverse ; esto significa que el daño potencial puede ser enorme.
La triste realidad es que cualquier entidad, independientemente de su tamaño o actividad, puede ser objeto de un ciberataque.
Por ello, la educación digital de los empleados es vital, ya que fomenta el pensamiento crítico y la capacidad de identificar posibles señales de alarma (como, por ejemplo, solicitudes inesperadas, ofertas que transmiten una sensación de urgencia o que son sospechosamente generosas).
Entre las cuestiones que deben abordarse con urgencia se encuentran la seguridad de los datos relacionados con el trabajo desde casa
La escasez de especialistas en ciberseguridad en España señalada recientemente por INCIBE puede ser una oportunidad para los profesionales de TI. Por otra parte, las organizaciones deben establecer políticas corporativas digitales claramente definidas.
Entre las cuestiones que deben abordarse con urgencia se encuentran la seguridad de los datos relacionados con el trabajo desde casa, la práctica de las TI en la sombra sin las configuraciones/protocolos de seguridad adecuados y el uso de canales de comunicación inseguros.
Invertir en seguridad digital puede ser la mejor defensa contra el fraude digital: al proteger los datos sensibles de miradas indiscretas, las empresas cumplen la normativa europea de protección de datos (GDPR) y se mantienen al margen de titulares potencialmente negativos. Visto así, puede que Sun Tzu tuviera razón.