La visión de un mundo totalmente conectado y digitalizado, de un ubernet interrelacionado que abarca negocios, gobernanza y ocio, viene cargada de promesas de innumerables beneficios sociales. Seamos quienes seamos, a todos nos dicen que avanzaremos hacia una forma de vida más rápida, productiva y satisfactoria.

Espero que sea así. Si dirige un negocio, como hacemos en Abdul Latif Jameel, puede personalizar sus productos y servicios para dirigirse a los clientes con una precisión sin precedentes. Si gestiona un servicio público, puede responder a los datos de usuario en tiempo real y asignar recursos en consecuencia para garantizar un desarrollo fluido. Si es un paciente, su estado de salud se puede supervisar de forma remota y le pueden recetar tratamientos al instante, como algunas de las innovaciones en tecnología sanitaria de las que se habla en este artículo de Abdul Latif Jameel Health. Y, si es un consumidor, puede gestionar sus compras online y recibir sus pedidos con una puntualidad asombrosa, casi como si la tienda le hubiera leído la mente.

A decir verdad, la tienda quizás le haya leído la mente. Al menos en cierto modo. Quizás analizó sus hábitos de consumo, hizo un seguimiento de su rastro de datos y extrajo conclusiones sobre usted, incluso antes de que visitase su página web.

Analicemos esta situación en mayor profundidad.

¿Qué pasaría si un día la tienda sufre una filtración de datos y el conocimiento que tiene sobre usted cae en manos de partes menos honradas?

Vayamos un poco más allá.

Podría esperar que “el sistema” (bancos, legisladores, departamentos de justicia, etc.) acudiera en su ayuda, pero… ¿y si ellos mismos se han debilitado por culpa de los continuos ciberataques y han perdido su capacidad de defenderle?

Para algunos, el sueño de una transición digital es más bien una pesadilla. Esa sensación de miedo la comparten millones de personas al darse cuenta de que la transformación en una sociedad digital no está exenta de peligros. Las investigaciones demuestran que la transición digital de nuestro trabajo, nuestro hogar y nuestra gobernanza conlleva numerosos riesgos y un gran potencial de explotación.

Sin embargo, parece improbable que estos recelos vayan a detener la transición. El estudio Digital Business Study 2023, que encuestó a casi 1000 líderes de TI en América del Norte, APAC y EMEA, mostró que el 93 % de los responsables de la toma de decisiones estaban apostando por estrategias de negocio digitales[1] e invirtiendo activamente en tecnologías como plataformas nativas en la nube, mallas de ciberseguridad, inteligencia de decisiones e IA (inteligencia artificial) generativa.

Si deseamos cosechar las extraordinarias recompensas del viaje digital que estamos emprendiendo debemos identificar los obstáculos con antelación y, cuando sea posible, hacer los preparativos oportunos para neutralizar el riesgo. La amenaza es real: alrededor del 85 % de las organizaciones afirmaron ser víctimas de al menos un ciberataque exitoso en 2021 y el coste medio de una filtración de datos alcanzó los 4,24 millones de USD.[2]

La previsión puede ayudar a garantizar que la próxima transformación digital sea democrática, segura y para el beneficio de muchos, en lugar de solo para unos pocos. Solo así podremos disfrutar de la eficiencia de nuestra nueva realidad conectada, activa y unida.

Cuantificación de la matriz de riesgos

No deberíamos emprender ningún viaje hacia la digitalización sin antes comprender profundamente los riesgos asociados ni sin contar con estrategias para minimizar sus impactos.

La empresa internacional de asesoría empresarial Deloitte ha identificado las áreas de riesgo clave que las organizaciones están destinadas a encontrarse al llevar a cabo su transformación digital.[3]

  • Tecnología: preparar para el futuro una tecnología que es inherentemente vulnerable a los fallos y a la rápida obsolescencia. Los riesgos incluyen problemas de compatibilidad, escalabilidad y precisión.
  • Ciberprotección: fortalecer las propiedades digitales contra accesos no autorizados y mantener la confidencialidad a través de un sistema integrado.
  • Fuga de información: la complejidad de garantizar la integridad de los datos en todo un ecosistema durante su uso, transferencia y almacenamiento.
  • Terceros: cualquier organización que trabaje con socios externos está expuesta a riesgos relacionados con el intercambio de datos y la integración tecnológica.
  • Privacidad: los datos personales sensibles relativos a empleados y clientes deben tratarse con el máximo cuidado y es necesario incluir controles sobre la elección y el consentimiento.
  • Análisis forense: los sistemas y los datos deben estar abiertos al escrutinio en caso de fraudes o violaciones de seguridad, y las pruebas recopiladas deben ser lo suficientemente sólidas como para poder utilizarse en los tribunales.
  • Cumplimiento normativo: la experiencia interna debe ser suficiente para garantizar que las operaciones cumplan con las leyes nacionales y cualquier normativa específica de la industria.
  • Resiliencia: las tecnologías estrechamente entrelazadas son la base de muchas empresas modernas, pero los fallos en una parte del sistema pueden propagarse rápidamente y afectar a la disponibilidad de servicios completos.

A pesar de estos peligros evidentes, un estudio mostró que solo el 29 % de los encuestados considera que sus organizaciones tienen una estrategia de seguridad de datos “completa”, mientras que el 41 % afirma que está “en desarrollo” y un 23 % admite que no han pasado de la etapa de “planificación”.[4]

Algunas de estas áreas de riesgo, especialmente aquellas en torno a dependencias digitales y vulnerabilidades cibernéticas, indican posibles caminos hacia una resiliencia más sostenible, por lo que merece la pena explorarlas con mayor detalle.

La evolución de la piratería: del malware al ransomware

La convergencia de varias plataformas tecnológicas dentro de una “Web 3.0” descentralizada (una nueva generación de Internet que incorpora conceptos como la tecnología de cadena de bloques y la economía tokenizada) genera “un panorama de ciberamenazas más complejo y un número cada vez mayor de puntos de fallo críticos”.[5]

Los peligros no son solo financieros, también plantean desafíos para pilares fundamentales, como la infraestructura vital y la cohesión social. Por desgracia, no hay una solución sencilla. El Foro Económico Mundial (FEM) advierte de que “las crecientes amenazas cibernéticas están superando la capacidad de las sociedades para prevenirlas y gestionarlas de manera eficaz”.

Destaca el ejemplo de la biblioteca de software Log4j, que a finales de 2021 recibió más de 100 intentos de piratería por minuto poco después de la exposición de un fallo de seguridad crítico. Los ataques demostraron la vulnerabilidad contagiosa del código de acceso libre. El año anterior, el ataque a SolarWinds Orion afectó al software de gestión y supervisión de TI, rompiendo a su vez las defensas de las cadenas de suministro de ciberseguridad globales, así como de cientos de miles de empresas[6].

La actividad maliciosa en línea está fuera de control y los ciberdelincuentes se enfrentan a pocas barreras de entrada y escasas posibilidades de ser juzgados. En 2020, los informes de malware aumentaron un 358 %, mientras que los casos de ransomware aumentaron un 435 %.[7] Este mismo periodo se cuadriplicó la cantidad de criptomonedas capturadas por ransomware.

Los hackers también pueden chantajear a sus víctimas a través de filtraciones de datos y ataques distribuidos de denegación de servicio (DDoS), utilizando recursos para atacar las operaciones en línea de una organización desde múltiples ubicaciones remotas.

Hasta la fecha, las víctimas de la explotación digital han incluido servicios públicos, sistemas sanitarios y empresas que gestionan una gran cantidad de datos, que hoy en día son la mayoría.

El problema no se resolverá por sí solo. El malware impulsado por IA podría aumentar exponencialmente las sumas de dinero extorsionadas, lo que supone una mayor amenaza tanto en términos de reputación como financieros. Como analizamos en nuestro anterior artículo de Abdul Latif Jameel Perspectives, no es de extrañar que la encuesta de percepción de riesgos globales (GRPS) clasifique los “fallos de ciberseguridad” entre los 10 principales riesgos acuciantes, ni que el 85 % de la Comunidad de Liderazgo en Ciberseguridad del FEM crea que representan una gran preocupación para la seguridad pública.[8] A nivel regional, los “fallos de ciberseguridad” se clasifican como uno de los cinco principales riesgos en Asia Oriental, el Pacífico y Europa. De hecho, cuatro países (Reino Unido, Irlanda, Australia y Nueva Zelanda) lo declaran el riesgo número uno.

Las futuras trayectorias tecnológicas están suscitando preocupación. La informática cuántica pronto podría ser lo suficientemente potente como para romper las claves de cifrado, destruyendo así el cortafuegos que protege los datos financieros y personales desde hace mucho tiempo. Asimismo, el metaverso proporcionará más puntos de acceso para pirateos y filtraciones de datos. Está previsto que el comercio digital en el metaverso supere los 800 000 millones de USD para 2024, así que es inevitable que estos ataques se vuelvan más agresivos.[9]

Protección a precios desorbitados

Tanto dentro del sector público como del privado, la mitigación de los riesgos de la transformación digital tiene un precio, que resulta desproporcionado para aquellos con menos recursos. Las pymes se ven obligadas a gastar más del 4 % de sus presupuestos en ciberseguridad, mientras que los competidores más grandes, que se benefician de economías de escala, invierten alrededor del 1-2 %. Ahora que el ransomware ocupa cada vez más titulares, los ciberseguros amenazan con encarecerse y alcanzar precios prohibitivos para muchos. En el tercer trimestre de 2021, los costes de los ciberseguros aumentaron un 96 % en EE. UU. y un 73 % en el Reino Unido.[10]

Entonces, ¿qué estrategias pueden poner en marcha las empresas y los gobiernos para mermar los riesgos de la transformación digital al mismo tiempo que siguen aprovechando al máximo sus innumerables oportunidades?

Fortalecer las defensas contra el dilema digital

Es importante proteger la integridad de sus sistemas. En otras palabras, mantener alejados a quienes no deben estar allí y evitar las interferencias no deseadas de partes malintencionadas.

Hay varias estrategias que se están posicionando como defensas fiables. Entre ellas se encuentra un proceso conocido como “endurecimiento”, que abarca varias técnicas para reducir la vulnerabilidad entre servidores y ordenadores:

  • Endurecimiento de la red: proteger la infraestructura digital con cortafuegos basados en hardware y software que incluyan prevención de intrusos y controles de alerta.
  • Endurecimiento del sistema operativo: eliminar servicios obsoletos y cuentas no esenciales, al mismo tiempo que se garantiza que la configuración de seguridad cumple con los estándares de la industria.
  • Endurecimiento de los sistemas remotos: garantizar que los sistemas y dispositivos remotos tengan protocolos de acceso tan sólidos como sus equivalentes internos, y que estos se examinen con frecuencia para detectar amenazas emergentes.
  • Endurecimiento de la base de datos: emplear controles de acceso, cifrado y ajustes de seguridad avanzados para que las bases de datos críticas sean menos propensas a las filtraciones maliciosas.
  • Endurecimiento de las aplicaciones: ajustar la configuración de aplicaciones de terceros para evitar ataques de scripting, como los macros.

Para garantizar una protección continua contra los riesgos digitales, todos estos protocolos requieren que se lleven a cabo pruebas de vulnerabilidad con frecuencia. Los beneficios son muchos: mayor seguridad, sistemas con un rendimiento más alto e incluso una optimización del cumplimiento y la auditoría.

Las cifras demuestran el valor de priorizar la seguridad. Un estudio muestra que más de la mitad de las organizaciones han sufrido una filtración de datos a través de fuentes externas con acceso remoto, mientras que el 61 % de las infracciones de seguridad explotaron una vulnerabilidad conocida para la que había un parche disponible que aún no se había implementado.[11]

¿Cómo sería una política digital segura? Según expertos como Dick Schrader, especialista en seguridad informática de la empresa de software estadounidense Netwrix, una estrategia digital segura debería cumplir los siguientes puntos:

  • Eliminar la tecnología vieja y poco utilizada regularmente de los servidores.
  • Proteger las plataformas, redes y aplicaciones individualmente contra los accesos no autorizados.
  • Requerir una autenticación multifactor (MFA) para cada usuario de la computación en la nube, independientemente del tiempo/los costes de productividad.
  • Custodiar los datos en todo un ecosistema, centrándose en la clasificación, la retención, el procesamiento y el cifrado
  • Considerar la integración tecnológica de terceros, la dependencia de las operaciones y la resiliencia del proveedor parte de un paquete de transformación digital integral.
  • Dar prioridad a la privacidad y gestionar los datos personales según principios de consentimiento, notificación, elección y precisión.
  • Respetar los marcos normativos y evidenciar las infracciones forensemente.
  • Garantizar la resiliencia mediante una planificación adecuada para la continuidad del negocio, la gestión de crisis y la recuperación ante desastres de TI.

Es poco probable que un enfoque cerrado y aislacionista fomente los cambios generalizados que se necesitan. La cooperación entre empresas y naciones puede revelar soluciones aplicables a casi todas las organizaciones, por ejemplo, con ayuda de prometedoras tecnologías emergentes, como la cadena de bloques y la computación cuántica.

Dentro de la comunidad empresarial, los líderes deben recibir formación sobre los problemas relacionados con la ciberseguridad y los debates sobre la ciberresiliencia deben convertirse en un tema habitual de los consejos de administración.

Sobre todo, no debería emprender ninguna transformación digital sin la aprobación del segmento más importante de cualquier organización: sus clientes. Si no están listos para la transición, o si se ven obligados a adoptar sistemas y servicios que perjudican su experiencia, es probable que encuentren otra opción que satisfaga sus necesidades.

Una de las amenazas imprevistas de la transformación digital quizás sea simplemente equivocarse y alejar a socios previamente satisfechos en el proceso.

Proteger una era dinámica de progreso humano

El cambio acelerado al teletrabajo ha estimulado una tendencia que llevaba en marcha las últimas dos décadas. Se distingue por una creciente dependencia de los sistemas digitales y una explosión en el número de tecnologías intermediarias, incluidos servidores en la nube, interfaces de programación de aplicaciones (API), etc. cada una con sus propios riesgos y susceptibilidades. Al mismo tiempo, la demanda de tecnologías interconectadas continúa expandiéndose.

Los factores externos, y aparentemente incontrolables, sirven para exacerbar los peligros potenciales. A nivel gubernamental, la ampliación de las brechas geopolíticas merma los esfuerzos internacionales coordinados que podrían salvaguardar la seguridad digital de cara al futuro. Los ciberataques transfronterizos y las campañas de desinformación continuas son cada vez más frecuentes, y los controles establecidos no son suficiente para contrarrestar su propagación. Las leyes y los mecanismos de aplicación incoherentes entre naciones rivales no logran disuadir los delitos cibernéticos.

En un mundo cada vez más “VUCA” (volátil, incierto, complejo y ambiguo, del inglés volatile, uncertain, complex and ambiguous), las empresas privadas suelen tener que hacer cábalas para anticiparse a los cambios en las lealtades internacionales. Las empresas deben valorar la posibilidad de trasladar el tratamiento de datos a jurisdicciones con un mejor control de la privacidad.

No hacer nada contra los riesgos de la transformación digital podría tener consecuencias que van mucho más allá del destino de las organizaciones individuales. ¿Qué pasaría si un devastador troyano criptográfico, autorreplicable y en constante mutación, para así evitar los remedios, comenzara a controlar los principales servidores gubernamentales o comerciales, invirtiendo de manera efectiva el progreso digital logrado en los últimos años? ¿Y si la tendencia hacia la infraestructura de TI privada y las criptomonedas obstaculiza los esfuerzos normativos para proteger los sistemas financieros y los datos privados? ¿Y si el ciberespionaje desalienta la inversión en I+D, dejando a la sociedad estancada en tierra de nadie debido a la falta de confianza comercial?

Con el tiempo, la transición digital abarcará todos los organismos públicos y negocios, independientemente del sector o tamaño, pero ciertos sectores deben ser conscientes de sus responsabilidades adicionales. Si trabajamos en un ámbito donde triunfar requiere un conocimiento íntimo de los clientes, por ejemplo, en el comercio minorista o el marketing, nuestro camino hacia el mundo digital conlleva tanto riesgos como recompensas. Nunca antes habían existido tantas oportunidades para recopilar datos monetizables, pero tampoco tanta presión para mantener esos conocimientos personales fuera de las manos equivocadas.

“En nuestra sociedad cada vez más profundamente conectada, la confianza digital es vital para la innovación y la prosperidad a largo plazo”, dice Mo Chaara, director digital de información de Abdul Latif Jameel. “Las tecnologías fiables son la base sobre la que podemos construir una sociedad más justa, más transparente y más unida. A menos que sigamos trabajando para fortalecer la confianza y reducir los riesgos inherentes a la transformación digital, la promesa y el potencial de una de las eras más emocionantes y dinámicas del progreso humano podrían echarse a perder”.

 

[1] https://resources.foundryco.com/download/digital-business-executive-summary

[2] https://blog.netwrix.com/2023/02/22/system-hardening/

[3] https://www2.deloitte.com/content/dam/Deloitte/in/Documents/risk/in-ra-managing-risk-digital-transformation-1-noexp.pdf

[4] https://resources.foundryco.com/download/digital-business-executive-summary

[5] https://www.weforum.org/reports/global-risks-report-2022/in-full/chapter-3-digital-dependencies-and-cyber-vulnerabilities/

[6] https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know

[7] https://www.weforum.org/reports/global-risks-report-2022/in-full/chapter-3-digital-dependencies-and-cyber-vulnerabilities/

[8] https://www.weforum.org/reports/global-risks-report-2023/

[9] https://www.bloomberg.com/professional/blog/metaverse-may-be-800-billion-market-next-tech-platform/

[10] https://www.marsh.com/bg/en/services/insurance-market-and-placement/insights/global_insurance_market_index.html

[11] https://blog.netwrix.com/2023/02/22/system-hardening/