CTO de Riesgos Humanos

El futuro de la ciberseguridad lo definirán las personas, no sólo la tecnología. A medida que evolucionan las amenazas, el riesgo humano -las elecciones, los hábitos y la cultura dentro de las organizaciones- determinará más que nunca la capacidad de recuperación.

En esta sección de preguntas y respuestas, Andy Fielder examina cómo los líderes pueden anticiparse a los retos del mañana y crear una mentalidad de seguridad que perdure.

¿Cuáles cree que son las ciberamenazas más importantes a las que se enfrentan las organizaciones hoy en día?

Las amenazas más importantes no han cambiado necesariamente, pero han evolucionado para hacerse más sofisticadas y más difíciles de defender. El ransomware sigue siendo una preocupación importante hoy en día, pero lo que llama la atención es lo profesionalizado que se ha vuelto. Estos grupos operan ahora como empresas legítimas de SaaS, con equipos técnicos, mesas de asistencia y operaciones estructuradas. Ese nivel de organización ha facilitado que más gente se involucre, y el incentivo financiero es enorme. Algunas estimaciones sugieren que los ingresos de la ciberdelincuencia, en todos sus tipos, rivalizan con el tamaño de la economía de Rusia. Con ese tipo de rendimiento, no es de extrañar que el crimen organizado siga invirtiendo fuertemente en este espacio.

El robo de credenciales es otra amenaza importante. La mayoría de las organizaciones disponen de controles técnicos razonables para protegerse de los ataques habituales, por lo que los atacantes se dirigen cada vez más a las credenciales de los usuarios. Al comprometer plataformas no empresariales en las que la gente reutiliza contraseñas, pueden recopilar datos de acceso y utilizar bots para validar cuáles funcionan. Estas credenciales suelen almacenarse y utilizarse posteriormente en ataques dirigidos. Es un enfoque metódico que elude las defensas tradicionales y resulta muy eficaz.

La tercera área de preocupación es el compromiso de los proveedores. Las empresas ya no pueden pensar en sí mismas como entidades aisladas. Los atacantes entienden que los proveedores suelen tener posturas de seguridad más débiles y explotan esa brecha de confianza. Hemos visto casos muy sonados en el comercio minorista y la automoción en los que las brechas se han producido a través de un proveedor, no de la empresa. Una vez dentro, los atacantes pivotan hacia el objetivo principal. Es un claro recordatorio de que la ciberseguridad debe extenderse más allá de la organización a todo su ecosistema.

¿Cómo han evolucionado estas amenazas en los últimos años y qué está impulsando ese cambio?

El mayor cambio ha sido la profesionalización de la ciberdelincuencia. Antes era algo que la gente hacía por diversión: un adolescente en su dormitorio intentando demostrar que podía entrar en su casa. Eso sigue ocurriendo, pero lo que realmente ha cambiado es el auge de las operaciones estructuradas y organizadas. Estos grupos funcionan ahora como empresas propiamente dichas, con equipos, infraestructura y objetivos. Ese nivel de organización ha hecho que los ataques sean más escalables, más selectivos y mucho más peligrosos.

La actividad dirigida por los Estados también se ha intensificado considerablemente. La guerra cibernética se ha convertido en una herramienta reconocida para la perturbación económica y geopolítica, una forma que tienen las naciones de influir o causar daños sin necesidad de un conflicto físico. La amenaza que esto supone es ahora muy diferente. Es estratégica, está bien financiada y a menudo tiene como objetivo socavar las infraestructuras nacionales o las grandes empresas.

Al mismo tiempo, la mejora de los controles técnicos ha obligado a los atacantes a cambiar sus tácticas. Es más difícil atravesar los cortafuegos y las protecciones de los puntos finales, por lo que el foco de atención se ha trasladado al comportamiento humano. La ingeniería social se ha convertido en una de las formas más fáciles y eficaces de entrar. Si un atacante puede engañar a alguien para que le entregue sus credenciales o reunir suficiente información personal para hacerse pasar por él, puede eludir las protecciones técnicas. Una vez dentro, parecen un usuario legítimo, y la detección sólo se produce cuando comienza la actividad sospechosa. Este cambio de los sistemas a las personas es una de las evoluciones más significativas que hemos visto.

A la luz de estos cambios, ¿cómo han tenido que replantearse las organizaciones su enfoque de la ciberdefensa?

Ahora se pone un verdadero énfasis en la cadena de suministro. Las empresas están reconociendo que sólo son tan seguras como los proveedores y socios en los que confían. Eso significa comprender quiénes son esos proveedores, cómo gestionan su propia seguridad y exigirles responsabilidades. El compromiso de los proveedores es uno de los puntos de entrada más probables para un ataque hoy en día, y ese cambio ha obligado a las empresas a ampliar su objetivo defensivo más allá de sus propios muros.

Al mismo tiempo, se ha producido un cambio de mentalidad en torno a los controles técnicos. Antes, si uno disponía de sólidos cortafuegos, un buen Centro de Operaciones de Seguridad (SOC) y las herramientas adecuadas, se sentía razonablemente seguro. Pero los atacantes se han adaptado. Van tras las credenciales, lo que significa que pueden saltarse todas esas capas de protección. En la actualidad, la mayoría de las infracciones tienen su origen en un error humano: alguien que hace clic en el enlace equivocado, comparte un dato incorrecto o reutiliza una contraseña.

A diferencia de los controles técnicos, que se comportan de forma coherente, las personas son imprevisibles. Todos tenemos diferentes apetitos y hábitos de riesgo, y esa variabilidad es difícil de gestionar. Esto ha llevado a un mayor reconocimiento de que la ciberseguridad ya no es sólo una cuestión técnica, sino humana. La seguridad ya no es responsabilidad exclusiva de TI; es trabajo de todos. Este cambio de la tecnología primero a las personas primero es uno de los cambios más importantes que hemos visto.

De cara a un futuro de 3 a 5 años, ¿qué amenazas emergentes cree que plantearán el mayor desafío?

La IA ya está cambiando el juego en ambos lados. Defensivamente, podemos utilizar la IA para identificar patrones, detectar comportamientos anómalos y cortar el ruido para poner de relieve las amenazas reales. Pero los delincuentes están utilizando la misma tecnología para hacer sus ataques más convincentes y eficaces.

Por ejemplo, el phishing. Solía ser fácil de detectar debido a la mala ortografía y gramática. Ahora, la IA puede crear mensajes que parezcan completamente legítimos, lo que los hace mucho más difíciles de identificar. Esto sólo se volverá más sofisticado. Cada vez es más importante que la gente entienda cómo aparecen estas amenazas para que no las descubran.

Mirando más allá (de 5 a 15 años), la computación cuántica cambiará las reglas del juego. Romperá los métodos de encriptación que actualmente protegen la banca, las criptodivisas y mucho más. Es una perspectiva desalentadora porque gran parte de aquello en lo que confiamos para la confianza digital podría verse comprometido. Aunque todavía falta bastante, es una amenaza a la que finalmente tendremos que enfrentarnos.

Están surgiendo normas PQC (criptografía post cuántica) que ayudarán a proteger en un mundo cuántico. Las empresas deben empezar a comprender su huella criptográfica y planificar su transición a la PQC para estar preparadas.

¿Qué medidas prácticas pueden tomar las organizaciones para prepararse contra los riesgos cambiantes?

La clave es la resiliencia: asumir que se producirá un incidente y prepararse en consecuencia. Eso significa disponer de herramientas de detección sólidas, como las plataformas SIEM, que agregan los registros de todos los sistemas y utilizan la IA más el análisis humano para detectar las amenazas en una fase temprana.

También se trata de probar los planes de recuperación ante desastres y de respuesta ante incidentes para que todo el mundo conozca su papel. ¿Cómo aislará los sistemas afectados? ¿Quién se comunica con las partes interesadas? ¿Tiene especialistas forenses de guardia?

Una organización bien preparada puede detectar, contener y recuperarse rápidamente, y comunicar con transparencia. Esto genera confianza, porque los clientes comprenden que nadie es inmune a los ciberataques.

Otro principio clave es «desplazarse a la izquierda», lo que significa integrar la seguridad desde el principio del diseño del producto o del desarrollo del sistema en lugar de atornillarla más tarde. Construir con seguridad desde el diseño es mucho más eficaz.

¿Existe alguna normativa reciente o futura que pueda remodelar la forma en que las organizaciones gestionan el riesgo de ciberseguridad?

Sí, sobre todo desde la UE. La Ley de Resiliencia Operativa Digital (DORA) está teniendo un impacto significativo. Pone un fuerte énfasis en la gestión del riesgo de los proveedores, responsabilizando a terceros y asegurándose de que las organizaciones comprenden la postura de seguridad de toda su cadena de suministro.

La Ley de Ciberresiliencia (CRA) de la UE se centra en el software y los dispositivos IoT, garantizando que los productos digitales sean seguros por diseño durante todo su ciclo de vida. Conlleva importantes sanciones por incumplimiento: 15 millones de euros o el 2,5% de la facturación global. Es probable que se aplique a partir de 2027, por lo que los proveedores de SaaS deben empezar a prepararse ya.

¿De qué manera está transformando la inteligencia artificial el panorama de la gestión de riesgos?

La IA está transformando la gestión del riesgo tanto a la defensiva como a la ofensiva.

En el lado defensivo, analiza la enorme cantidad de datos que generan nuestros sistemas, detectando anomalías, destacando riesgos y automatizando el triaje para que los analistas humanos puedan centrarse en la contención.

En el lado ofensivo, los delincuentes utilizan la IA para probar sistemas, generar deepfakes y ejecutar sofisticadas campañas de phishing, smishing e ingeniería social. Por eso la educación es esencial. La gente debe aprender lo realistas que pueden ser estas amenazas, experimentar simulaciones y verificar las fuentes en lugar de confiar en lo que ven en línea. La concienciación y la validación son cruciales.

¿Podrá la automatización sustituir algún día por completo al criterio humano en la respuesta a los incidentes cibernéticos?

No. La automatización acelera la detección y hace aflorar la información adecuada, pero el juicio humano es esencial.

Cada organización tiene diferentes apetitos de riesgo y contextos. Lo que es crítico para un banco puede no serlo para un minorista. La automatización apoya la toma de decisiones, pero no puede replicar la comprensión matizada que aportan los humanos.

El mejor enfoque combina la automatización y el conocimiento humano: uno no puede sustituir al otro.

¿Cómo pueden las organizaciones capacitar mejor a su personal para que sea la primera línea de defensa?

Empieza por la cultura. La seguridad debe ser responsabilidad de todos, no sólo de un equipo específico. Cuando los empleados se sienten implicados en la protección de la organización y de sí mismos, toda la postura mejora.

La educación y las herramientas adecuadas son vitales, pero la cultura impulsa el comportamiento. Alejarse de los enfoques punitivos y, en su lugar, recompensar los buenos hábitos de seguridad es mucho más eficaz. No se quiere una cultura del miedo, sino responsabilidad compartida y concienciación.

En última instancia, capacitar a las personas para proteger a la organización también las capacita para protegerse a sí mismas en su vida personal.

Los riesgos cibernéticos no se quedan quietos. Usted tampoco debería hacerlo. Obtenga más información en el blog de MetaCompliance.