Las claves de la ciberseguridad: concienciación, protección y respuesta
La ciberseguridad es para las empresas mucho más que una cuestión de futuro o una de las facetas de la transformación digital; es una necesidad vital de la que ningún proyecto de emprendimiento está exento, pues de ella dependen los activos de la compañía, su operatividad y la misma privacidad de sus empleados y clientes. La creciente sofisticación de los ciberataques, ahora impulsada por la entrada en acción de la inteligencia artificial (IA), obliga a una carrera constante contra las mutaciones del malware, los fraudes por internet y los asaltos a centrales de datos.
Impulsa Empresa ha tenido la oportunidad de hablar con José Rosell, socio director de S2 Grupo, una de las referencias en materia de seguridad digital. El experto ofrece unas directrices claras a la hora de abordar los blindajes para luchar contra la ciberdelincuencia: “saber quiénes somos, qué hacemos y qué tenemos de valor, para poder protegerlo”.
Índice
- Diseñar una política de ciberseguridad
- Definir qué se quiere proteger
- Protección, detección y respuesta
- Copias de (verdadera) seguridad
- Nuevas amenazas en ciberseguridad: retos en la era de la IA
- Herramientas y recursos para mejorar la seguridad en software e IA
Diseñar una política de ciberseguridad
Rosell pone énfasis en la identificación del proyecto mismo con las tareas de protección de su patrimonio digital: “Una política de seguridad dice quiénes somos y qué tenemos de valor, especialmente en cuanto a activos digitales”, sostiene.
Una política que, para Rosell, tiene que “marcar el rumbo” y mandar un mensaje claro al personal y a los clientes, tanto presentes como potenciales. “Si tenemos información sensible de personas, tenemos que transmitir que nos preocupamos por ello”, explica. “La política de ciberseguridad tiene que determinar lo que hay que proteger, analizando los riesgos y estableciendo los marcos de actuación”. Es, por tanto, el “documento clave” para empezar a trabajar en el desarrollo de la gestión de los protocolos de detección y respuesta, de modo que un incidente no inicie una escalada hasta convertirse en un trastorno crítico.
Definir qué se quiere proteger
Hay tantos enfoques de seguridad digital como sectores de actividad, ya que los bienes no son los mismos y, las salvaguardas, tampoco: “Si la compañía se dedica a la I+D, tendremos bajo nuestra responsabilidad patentes y doctorados; en otras ocasiones, como es el caso del área de las manufacturas, serán sistemas de control industrial”. En este sentido, debemos “saber qué tipo de compañía somos para inventariar los activos que debemos proteger, pues en base a ese conocimiento diseñaremos la política de ciberseguridad”, expone Rosell.
Una vez esclarecidos los activos a proteger, los recursos y las prioridades, toca implicar al capital humano en la causa: “Concienciar a nuestros compañeros es fundamental, una de las mejores inversiones posibles en materia de protección”.
Protección, detección y respuesta
Los medios básicos de protección, según nuestro interlocutor, “se presumen, como el valor en un soldado”. Sin embargo, ni el antivirus ni el firewall son garantía de nada si los centinelas no están en su puesto. “Los sistemas de vigilancia tienen que estar activados 24 horas al día, siete horas a la semana”. Una detección temprana es clave para la gestación de una respuesta eficiente.
Esta respuesta depende también de conocer de antemano el impacto que el incidente puede tener sobre la actividad productiva. Por otro lado, Rosell subraya que la reacción no es sólo una cuestión técnica, sino de dirección: “Toda la empresa tiene que responder, no sólo el departamento informático”.
El profesional opina que, en estos tiempos en que el trabajo en remoto y las herramientas de teletrabajo se han generalizado, es más importante que nunca que los accesos tengan todos los filtros posibles: “Por una parte, una VPN que garantice que la información que viaja por internet esté cifrada; y por otro lado, un doble factor de autenticación que permita que el usuario y contraseña que nos pueden robar no sean suficientes para acceder a nuestros activos en el caso de que nos los sustraigan”.
A este respecto, el director de S2 Grupo considera que una política fuerte de contraseñas en la empresa es otra de las columnas maestras de su visión de la ciberseguridad y recuerda que, para ser “robusta”, debe contener “al menos 14 ó 15 caracteres diferentes”.
Copias de (verdadera) seguridad
“Muchas empresas han tenido incluso que cerrar sus puertas a causa de la poca atención a esta medida”, advierte nuestro entrevistado. Una copia de seguridad —de auténtica seguridad— no es, en modo alguno, una simple replicación de datos que se guarda en un disco duro. “Eso ya lo saben los malos, y van a descifrar esa copia” —previene—, “una respuesta adecuada a la incidencia incluye la garantía de poder recuperar la copia, y poder hacerlo a tiempo”.
Por consiguiente, la política corporativa tiene que marcar cómo se realiza la copia, durante cuánto tiempo hay que mantenerla y dónde hay que almacenarla. Según Rosell, esta no puede estar en línea, “sino en una ubicación segura que garantice el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD)”. La copia de seguridad, remarca el experto, “es nuestra garantía de poder continuar el negocio en caso de un incidente grave”.
A estos consejos hay que añadir un correcto uso de la tecnología de la empresa y la necesidad de mantenerse informado sobre los nuevos riesgos, y las formas de combatirlos, que van surgiendo. De hecho, con la popularización de la IA, las amenazas cibernéticas son más numerosas y también más peligrosas.
Nuevas amenazas en ciberseguridad: retos en la era de la IA
Los modelos basados en inteligencia artificial están construidos sobre grandes conjuntos de datos y suelen adolecer de falta de transparencia, lo que supone un gran desafío de seguridad en las empresas. Las amenazas, además, son cada vez mayores y más sofisticadas.
Ataques de phishing impulsados por IA
Hasta ahora, los ataques de phishing, esto es, correos electrónicos, mensajes de texto o llamadas donde los ciberdelincuentes se hacían pasar por personas u organizaciones para solicitar información confidencial, eran relativamente fáciles de detectar. Solían contener faltas ortográficas y gramaticales y no utilizaban el tono habitual de la identidad suplantada. Sin embargo, con la IA generativa es muy sencillo generar un correo de phishing sin faltas y con el estilo adecuado.
Además, la IA también puede estudiar la información disponible sobre una determinada persona, por ejemplo, en redes sociales, para generar un mensaje con el que pueda ganarse su confianza. Por ejemplo, el ciberdelincuente puede hacerse pasar por el CEO de una empresa de suscripción que tiene contratada la víctima para solicitar una transferencia bancaria.
Deepfake attacks
Los ataques de phishing a veces contienen deepfakes, que son contenidos audiovisuales en los que se utiliza el aspecto o la voz de una persona en una situación ficticia. Con estas creaciones, los atacantes se hacen pasar por alguien cercano a la víctima para pedirle dinero o una información confidencial.
Con la rápida evolución de la inteligencia artificial, los deepfakes son cada vez más realistas y, por tanto, difíciles de detectar. En ocasiones, también se utilizan para chantajear a la persona y organización afectadas.
Malware evolutivo basado en IA
El uso de la IA no solo permite la creación de malware, o software malicioso, de forma más rápida y precisa, sino que además posibilita el malware evolutivo, que se adapta a los mecanismos de defensa de los sistemas atacados para evitar ser detectado.
Por ejemplo, un virus puede entrar en un entorno sandbox (construido para pruebas de seguridad) y modificar su comportamiento para que el análisis de malware no detecte su presencia.
Ransomware potenciado por IA
Un tipo de malware es el ransomware, que cifra los archivos o sistemas atacados y pide un rescate para ‘liberarlos’. Con el uso de la inteligencia artificial, este ransomware puede ejecutarse de manera mucho más rápida, lo que lo hace más peligroso. Asimismo, puede ser capaz de detectar los archivos críticos para cifrarlos primero, o atacar únicamente a estos, y que la necesidad de obtener la clave de descifrado por parte de la víctima sea más acuciante.
Ataques de fuerza bruta optimizados con IA
Los ataques de fuerza bruta son aquellos destinados a descifrar contraseñas o claves de cifrado, y, con el avance de la inteligencia artificial, pueden lograrlo en menor tiempo. Y es que los algoritmos basados en IA se entrenan con grandes conjuntos de datos para detectar patrones y predecir comportamientos, por lo que les resulta más sencillo adivinar qué contraseñas utilizamos.
Por eso, el generar contraseñas robustas, que sean complejas y combinen diferentes tipos de caracteres, es más necesario que nunca para proteger los datos personales y de la empresa.
Exploración automatizada de vulnerabilidades
Las vulnerabilidades o fallos de seguridad en los sistemas son más fáciles de detectar con la inteligencia artificial. Su capacidad de detección de patrones y datos anómalos, y también de adaptarse en tiempo real al entorno, permite que los ataques de los ciberdelincuentes sean más rápidos y certeros, y que generen de forma automática los exploits que les permiten infiltrarse.
Herramientas y recursos para mejorar la seguridad en software e IA
Si la inteligencia artificial sirve para lanzar ciberataques más precisos y avanzados, también es clave del otro lado, ya que permite sistemas de prevención, defensa y respuesta más seguros. Así, gracias a las aplicaciones de inteligencia artificial en las empresas podemos tener un acceso más confiable a los archivos y sistemas operativos, las amenazas se combaten de forma automática y los mecanismos de respuesta actúan de forma más rápida, entre otras mejoras.
Sin embargo, no hay que fiarlo todo a la tecnología. Como comentaba José Rosell más arriba, la concienciación de los profesionales también es crucial para protegerse de los hackers.
Formación y cursos recomendados
El primer paso para concienciarse de la importancia de cuidar la seguridad de los accesos, los archivos y los sistemas es formarse. Conocer qué amenazas desarrollan los ciberdelincuentes y qué pasos podemos dar para evitarlas en nuestro día a día es fundamental.
En este sentido, Santander X ofrece a startups y scaleups el curso Protección de Software y Estrategias de Seguridad en IA, que aborda los activos intangibles y la propiedad intelectual en el mundo tecnológico y propone recomendaciones en el uso de la IA dentro de la empresa. Esta formación, desarrollada en colaboración con la consultora ClarkeModet, especialista en propiedad industrial e intelectual, está disponible hasta el 15 de mayo de 2025.
La IA ha llegado a las empresas para quedarse, y depende de todos los profesionales utilizarla de manera correcta, ética y, sobre todo, segura.