Cerramos un año marcado por el incremento de los ciberataques, tanto a empresas privadas como a organismos públicos. Lamentablemente famosos han sido algunos como los sufridos por el SEPE o el Congreso de los Diputados y todo apunta a que, durante el año que acabamos de estrenar, la tendencia no dejará de crecer.

Por ello, la ciberseguridad se presenta como un objetivo prioritario para el Sector Público, que no deja de incrementar su inversión en tecnologías y estrategias que le ayuden a mantenerse a salvo de los ciberdelincuentes.

Desde la Administración General del Estado hasta el último ayuntamiento de cualquier municipio, la ciberseguridad se presenta como una pieza clave en la digitalización de nuestros organismos. En este sentido, la compañía ESET ha repasado algunos de los principales retos a los que se enfrenta la ciberseguridad en la actualidad, así como los que se están gestando para el futuro. Muchos de ellos, ya en la agenda de los responsables de TI, los CIOs y los CISOs de nuestras entidades públicas.

-Crecimiento de la ciberdelincuencia

Costes reputacionales pero también económicos. Según un informe de Cybersecurity Ventures, se prevé que los costes mundiales de la ciberdelincuencia crezcan un 15% anual entre 2021 y 2025 y podrían alcanzar los 10,5 billones de dólares al año. Esto es más que los beneficios obtenidos por todo el comercio de drogas ilegales juntos.

El crecimiento puede atribuirse al importante aumento de la actividad de los grupos de ciberdelincuentes y de los grupos respaldados por el gobierno. Al mismo tiempo, la superficie de ataque está aumentando como consecuencia de los procesos de transformación digital impulsados por el avance de un mundo cada vez más digitalizado.

Escasez de talento

La escasez de personas cualificadas para satisfacer la creciente demanda de profesionales del sector sigue aumentando y no es algo a lo que la Administración Pública escape, como reconoce el propio INCIBE. Existe un déficit mundial de mano de obra en ciberseguridad de 3,4 millones de personas y el 70% de las organizaciones tienen puestos de ciberseguridad sin cubrir, según un estudio de Cybersecurity Workforce Study. Muchos gobiernos están trabajando para reducir este déficit, y grandes empresas como Google, Microsoft o IBM están poniendo en marcha diversas iniciativas destinadas a formar y capacitar a las personas en materia de seguridad.

Mientras tanto, el Foro Económico Mundial, junto con varias empresas, lanzó una plataforma de educación en línea dirigida a individuos y organizaciones llamada Cybersecurity Learning Hub. El objetivo de este proyecto es formar y mejorar las competencias de los profesionales de la seguridad para que más personas puedan acceder a puestos de trabajo de calidad en este vibrante campo.

Inclusión y Diversidad

Junto a la escasez de talento especializado en ciberseguridad, otro desafío al que se enfrenta el sector es conseguir que la plantilla sea más diversa e inclusiva. Es necesario desarrollar iniciativas y políticas para atraer una mayor participación de los grupos infrarrepresentados y las minorías.

Como señalan desde ESET, no se trata sólo de una cuestión de valores, sino también de que los niveles más altos de inclusión y diversidad se asocian a una mayor innovación, rendimiento y productividad, todo ello clave para el crecimiento de cualquier organización. No hace falta decir que atraer a los grupos infrarrepresentados a la ciberseguridad puede ayudar a reducir la falta de profesionales de seguridad más cualificados.

-Trabajo remoto e híbrido

La transformación digital acelerada por la pandemia del COVID-19 también ha dejado claro a las empresas que deben priorizar la seguridad. En el caso del trabajo remoto o el modelo laboral híbrido, también presente en la Administración Pública, las organizaciones ya no pueden confiar únicamente en el fortalecimiento de su perímetro interno mediante su infraestructura tecnológica local. Al contrario, deben asegurarse de que los empleados que acceden a los sistemas de la empresa de forma remota tienen la formación y la tecnología adecuadas para evitar los riesgos que los ciberdelincuentes están tan interesados en explotar.

El crecimiento de la dark web

El enorme crecimiento de la actividad delictiva en la dark web en los últimos años, especialmente tras el inicio de la pandemia, es un gran reto y refuerza la importancia de realizar actividades de inteligencia sobre amenazas también en estos rincones oscuros de Internet.

La vigilancia de la dark web ayuda a los especialistas en ciberseguridad a prevenir los ataques, a entender cómo piensan los estafadores y los grupos de ciberdelincuentes, qué vulnerabilidades se comercializan, qué herramientas maliciosas utilizan los atacantes para acceder a los sistemas de las organizaciones o para estafar a las personas, o qué información sobre una organización circula en estos mercados clandestinos.

Nuevas tácticas de ciberdelincuencia

Los ciberdelincuentes no dejan de buscar nuevas formas de atacar a los organismos y así tendencias como el crecimiento de nuevas formas de ingeniería social obligan a las organizaciones a mantenerse al día con los nuevos y cambiantes escenarios de ataque y a transmitir este conocimiento a su personal.

Por ejemplo, según ESET, una variedad de phishing que ha experimentado un crecimiento explosivo últimamente es el llamado callback phishing, una táctica que combina el phishing tradicional basado en el correo electrónico con el phishing basado en la voz (también conocido como vishing) y que se utiliza para obtener acceso a los sistemas de las organizaciones y desplegar malware, como el ransomware, en sus redes.

Mientras tanto, la capacidad de utilizar el Machine Learning para la creación de voces sintéticas ha avanzado mucho. El número de ataques en los que los estafadores utilizan herramientas basadas en el lenguaje lineal para imitar en tiempo real la voz de un alto cargo de la empresa y convencer a un empleado de que transfiera dinero a una cuenta bajo el control de los atacantes es una amenaza importante.

Ransomware

Este ataque sigue siendo un reto importante que requiere que las organizaciones den prioridad a la preparación. Esto incluye disponer de las herramientas necesarias para contrarrestar los ataques de ransomware, organizar programas completos de formación en materia de seguridad y estar preparados para la recuperación en caso de que se produzca un desastre.

De 2020 a 2021 el número de ataques de ransomware se duplicó y el ransomware sigue siendo una plaga cuando casi nos adentramos en 2023. De hecho, si observamos la evolución de este tipo de amenazas en los últimos cinco años, está claro que todavía queda mucho camino por recorrer antes de que el negocio del ransomware deje de inyectar dinero en la industria del cibercrimen.

El metaverso

En 2026, señalan desde ESET, el 25% de la población mundial pasará al menos una hora al día en este mundo virtual donde ya hay organismos públicos que tienen presencia, como es el caso del Gobierno de Navarra. Algo que convierte la seguridad en el metaverso en un reto para el futuro al que hay que comenzar a dar soluciones hoy mismo.

Estos mundos virtuales compartidos para socializar, jugar y en los que circularán diversos bienes darán lugar, sin duda, a un gran número de ataques y estafas. Además, las innovaciones tecnológicas no siempre se desarrollan teniendo en cuenta temas como la seguridad y la privacidad, ya que el tiempo de comercialización es prioritario para el mundo empresarial.

Mejor educación y concienciación

Un reto fundamental al que siempre se enfrentará el sector es una mejor educación y concienciación sobre los riesgos de ciberseguridad existentes. Con la gran penetración de Internet y la evolución de la tecnología a nivel mundial, la superficie de ataque se ha ampliado considerablemente en la última década o dos.

Sin embargo, este cambio no ha ido acompañado de acciones que traten de concienciar sobre los riesgos y las medidas de precaución a una escala suficientemente grande. A menudo se dice que los empleados son el eslabón más débil de las ciberdefensas de cualquier organización, pero el personal puede convertirse también en la primera línea de defensa. Así, en 2023, según ESET será necesario seguir fomentando una cultura que inspire al personal a mantenerse alerta y con la ciberseguridad en mente.

Ya puedes descargar totalmente gratis el Nº8 de nuestra revista

Revista número 8 de ByTIC: ¿Qué aporta la tecnología 5G a la Administración Pública?

ByTIC Media