Por Marcello Zillo, líder de Seguridad de AWS para América Latina.
Predecir las tendencias en ciberseguridad no es sencillo, dado que los avances tecnológicos, el agitado panorama de la ciberdelincuencia, las nuevas tecnologías y la rápida evolución de las prácticas y normativas de protección de datos pueden provocar acontecimientos transformadores en cualquier momento.
Aun así, he elaborado cinco predicciones para la ciberseguridad en 2024, de acuerdo a los acontecimientos durante 2023 y el escenario en Latinoamérica y el mundo. También aporto datos de investigaciones recientes, tendencias y una pizca de corazonadas basadas en mi experiencia apoyando a empresas de los más diversos segmentos en la creación de estrategias de protección durante casi tres décadas. Además, incluyo algunos consejos, que espero sinceramente que ayuden a que mis predicciones no se cumplan.
Predicción 1: La identidad digital será el activo más deseado
De chicos a grandes, tienen cosas en común y entre ellas está la identidad digital. Ya sea una dirección de correo electrónico, un usuario de redes sociales o el acceso a un sitio web gubernamental. Si tu identidad digital se ve comprometida, la persona que la posea puede suplantarla. Además, según una investigación llevada a cabo por la empresa brasileña Apura Cyber Intelligence, solo en 2023 se descubrió que se habían filtrado más de 11,000 millones de credenciales digitales, ya fuera en la Web tradicional, en la Deep Web o en la Dark Web.
- Primer consejo: Protege tu identidad digital utilizando algo más que una simple contraseña, mecanismos de autenticación multi factor. La gran mayoría de redes sociales, correo electrónico y mensajería ofrecen un segundo factor de autenticación. Si tu proveedor no lo ofrece, mi sugerencia es: cambia de proveedor.
- Segundo consejo (unos de mis más usados): Existen servicios que monitorizan si tus credenciales digitales han sido filtradas, y si esto ocurre, te notifican. Esto ayuda a tomar las medidas de protección adecuadas.
- Tercer consejo: Si vas a utilizar una contraseña, no utilices la misma para todos los sitios. Existen sistemas de almacenamiento de contraseñas, para que no tengas que recordarlas todas. Además, existe un software (algunos gratuitos) conocido como bóveda de contraseñas, que te ayuda a almacenarlas de forma segura.
Predicción 2: La ciberseguridad será un tema aún más importante en las reuniones de directivos, ya que los incidentes seguirán aumentando.
A principios de este año, el Foro Económico Mundial presentó el Informe sobre Riesgos Mundiales 2024. Este informe analiza los riesgos más graves que podrían tener un impacto importante durante la próxima década y, como viene siendo habitual desde hace años, la ciberseguridad aparece entre los diez primeros riesgos, ya sea en un escenario a dos años (4º puesto de la lista) o a diez años (8º puesto).
Las empresas y los usuarios más digitalizados aumentan lo que técnicamente llamamos la "superficie de ataque". La superficie de ataque no se reduce, sino todo lo contrario, por lo que la cuestión de la ciberseguridad exige un enfoque responsable por parte de la alta dirección de las organizaciones. Con unas normativas sobre privacidad y protección de datos cada vez más exigentes y punitivas, la cuestión debe formar parte de la planificación estratégica corporativa.
Mi consejo es si la ciberseguridad se considera sólo una cuestión "técnica" en su organización, replante ese mindset. La ciberseguridad va mucho más allá de la instalación de soluciones tecnológicas, se trata de un profundo cambio cultural. Crear una cultura de seguridad digital sólida depende de un trabajo a medio y largo plazo.
Predicción 3: La ciberseguridad y la Inteligencia Artificial serán gemelas inseparables
En 2023, de cada diez presentaciones sobre tecnología, probablemente 11 de ellas mencionen de alguna manera la Inteligencia Artificial. Es más, la popularización de la IA ha hecho que el tema vaya más allá de la tecnología, aterrizando en las áreas de negocio de las empresas y en nuestra vida cotidiana.
En resumen, la IA ya nos está ayudando a crear productos y experiencias digitales más seguros. Ya seas un profesional de la tecnología, de la ciberseguridad o incluso un usuario, estos dos temas irán de la mano, como gemelos inseparables. Los proyectos de adopción de IA sin tener en cuenta los aspectos de seguridad están condenados al fracaso, y del mismo modo, los proyectos de ciberseguridad sin considerar el uso intensivo de la IA también estarán condenados al fracaso.
Mi consejo es evaluar cómo se interrelacionan la ciberseguridad y la IA en tu organización.
Predicción 4: Seguirá siendo primordial hacer bien las cosas básicas
Según el Informe 2023 de Verizon sobre filtraciones de datos, las tres causas principales de los incidentes cibernéticos fueron el robo de credenciales, los ataques de ingeniería social y la explotación de vulnerabilidades. En otras palabras, las empresas siguen fallando en lo básico. Y para 2024, no es probable que el panorama cambie. Al fin y al cabo, como suelo decir, haciendo lo básico no se consigue nada, por eso a veces es más fácil pensar en grandes inversiones en diversas tecnologías que en crear un proyecto de bajo coste para implantar un segundo factor de autenticación.
Consejo: Si el plan estratégico de seguridad de tu empresa no establece claramente cómo aborda la copia de seguridad de los datos, la protección de las copias de seguridad, la garantía de resiliencia de los datos, la implantación de un segundo factor de autenticación, las políticas de formación y seguridad para los usuarios y una estrategia de pruebas y parches frecuentes para las vulnerabilidades, ten cuidado. Un plan de seguridad no sólo debe contener grandes inversiones en nuevas tecnologías que utilicen la mejor IA. Un buen plan de seguridad equilibra aspectos de innovación con el conservadurismo necesario para aplicar controles tradicionales.
Predicción 05: Pix seguirá siendo un objetivo popular para los defraudadores
Empecemos hablando del escenario brasileño y de sus peculiaridades. Desde su creación, el PIX en Brasil ha facilitado su uso, popularizando las transacciones rápidas y sin comisiones y aprovechando la bancarización de una parte de la población que no tenía acceso a transacciones sin coste. El PIX se ha convertido en un ejemplo para todo el mundo y en un objetivo para los defraudadores. Según una investigación realizada por Apura Cyber Intelligence, sólo en 2023 se identificaron nueve familias de malware (virus informáticos) creadas para realizar transacciones PIX no autorizadas, es decir, virus que infectan los teléfonos móviles y ordenadores de los usuarios con el objetivo de realizar transacciones no autorizadas o manipular las transacciones durante su ejecución.
A pesar de tantas campañas de difusión y concienciación de los usuarios por parte de bancos y empresas en general, miles de personas fueron víctimas de este tipo de fraude en 2023.
En 2024, el fraude no se detendrá, los usuarios maliciosos seguirán buscando objetivos potenciales, ya sea para llevar a cabo el fraude utilizando PIX o cualquier otro medio. Así que vamos con los consejos para tratar de evitar el riesgo de que se produzcan estos casos.
- Tercer consejo: Ningún banco o institución llama pidiendo que acceda a un sitio para actualizar sus datos urgentemente. Desconfía de cualquier llamada de este tipo.
- Segundo consejo: Mantén siempre actualizado tu dispositivo móvil y tu computadora con las últimas versiones del sistema operativo y nunca instales nada que no sea de la tienda oficial.
- Tercer consejo (éste lo vengo utilizando desde hace tiempo): Define una frase secreta que te ayude a identificar que la persona que te habla es realmente tu padre, madre o amigo.
- Cuarto consejo: Habla del riesgo de fraude con tu círculo cercano, la mejor forma de educar y concienciar es hacer que el tema forme parte de la vida cotidiana de la gente.
- Quinto consejo: Sospecha siempre; en caso de duda, llama a la institución, a la persona que le llama, en definitiva, desconfía de cualquier urgencia desmedida.
Con esto concluyen mis predicciones para 2024 en ciberseguridad, con la esperanza de que la puesta en práctica de estos consejos acabe con todas las predicciones y me obligue a cambiar mi bola de cristal en 2025.