Hackear el rumbo de un avión o el funcionamiento de un marcapasos ya es posible, según los testimonios de dos reconocidos “piratas informáticos”. Hugo Teso, consultor y piloto, aseguró en 2013 haber creado una aplicación para Android a través de la cual podía tomar el control del aparato y cambiar su rumbo y altitud. Barnaby Jack murió el año pasado en San Francisco una semana antes de protagonizar una conferencia en la que había adelantado que iba a demostrar cómo hackear un marcapasos y desfibriladores implantables. Podría parecer ciencia ficción, pero son riesgos a los que la sociedad de hoy, cada vez más interconectada y dependiente de la tecnología, podría enfrentarse.
“Los ciberriesgos ya no solo impactan de manera virtual, sino que, con la proliferación de sistemas tecnológicos (ordenadores, móviles, tabletas, wereables, aparatos domésticos, etc.) y la constante interconexión a Internet, las amenazas han pasado al terreno físico”, señala Diego Bueno, director responsable del área de Information, Protection and Business Resilience de KPMG en España. La sociedad podría verse afectada por ellos, pero el principal punto de mira está en las empresas: las compañías hoy no solo son dependientes tecnológicamente en sus sistemas de facturación o contables, sino que normalmente su completa operativa depende de ello. “El desarrollo tecnológico que se ha vivido en las últimas décadas era necesario, pero si no se protegen convenientemente estos avances podemos encontrarnos ante graves situaciones de desprotección”, continúa Diego Bueno. “La forma en la que se ha construido la industria de la informática, comunicaciones y redes ha sido extremadamente veloz, pero la protección no se ha desarrollado al mismo ritmo”, concluye.
Ya desde el año 2012, el World Economic Forum viene poniendo de manifiesto en su informe anual Global Risks la importancia de que la ciberseguridad sufra una mayor evolución acorde con los trepidantes avances tecnológicos. En su edición de 2014 menciona el riesgo de desintegración digital: “la resiliencia del ciberespacio ante los ataques ha sido probada, pero las dinámicas del mundo online siempre han sido mucho más fáciles de atacar que de defender. Es necesario desarrollar nuevas ideas sobre cómo preservar, proteger y controlar por el bien común el ciberespacio”. En su lista de principales riesgos tecnológicos para 2014, el organismo incluye la descomposición de infraestructuras de información y de sistemas críticos, el aumento a gran escala de los ciberataques y la incidencia masiva del fraude y robo de información.
Del ataque a la defensa
Las primeras que comenzaron a protegerse frente a las ciberamenazas fueron las empresas: “en el plano sectorial, la banca siempre ha tenido grandes inversiones en ciberseguridad, pues tradicionalmente han sido los más atacados, aunque se dice que, en este aspecto, solo hay dos tipos de empresas: las que han sido hackeadas y las que no saben que han sido hackeadas. Ningún sector está libre de ciberriesgos”, explica Diego Bueno. Tanto es así que el concepto de ciber-resiliencia cada vez toma más fuerza: la continuidad de los negocios es cada vez más dependiente de la capacidad de la empresa para controlar los incidentes de seguridad y garantizar la disponibilidad de los sistemas.
Pero, con el tiempo, la protección frente a amenazas cibernéticas ha alcanzado nivel de Estado. En 2011, la Ley de Infraestructuras Críticas estableció un conjunto de medidas para dotar a todas las infraestructuras críticas del país (los sectores considerados estratégicos son, entre otros, el agua o la energía, por las graves consecuencias que podría tener tanto económicamente como en la vida del ciudadano un corte prolongado en el suministro) de unos mecanismos de protección frente a amenazas externas, y la regulación avanza de forma creciente. En febrero de este año, el Gobierno constituyó el Consejo Nacional de Ciberseguridad , formado por expertos del Centro Nacional de Inteligencia (CNI), así como de diversos ministerios, con el objetivo de garantizar el uso seguro de las redes y sistemas de información, fortaleciendo las capacidades de prevención, detección y respuesta a los ciberataques. Hoy, otros muchos órganos, organismos e instituciones en España se ocupan ya de los ciberiesgos: el Consejo de Seguridad Nacional, el Instituto Nacional de Tecnologías de la Comunicación (INTECO), el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) y el Centro Nacional de Inteligencia (CNI), entre otros.
“Es importante que las empresas tengan claros e identificados los riesgos a los que están expuestas y, para ello, es crucial que exista una figura dentro de la organización que se preocupe por ellos”, asegura Diego Bueno. En los últimos años, se ha creado la función de seguridad de la información dentro de algunas compañías, “una función que ha evolucionado y que incluso ha llegado a separarse del departamento de sistemas”, comenta este experto en ciberseguridad. Además están ganado en importancia los comités de seguridad de la información donde están presentes, además del departamento de sistemas, el departamento jurídico, recursos humanos, auditoría…”.
En todo caso, Diego Bueno recuerda las tres principales características de la seguridad de la información: confidencialidad (accesos y modificaciones controladas de los sistemas), integridad, (garantizar que la información no pueda ser modificada por personas no autorizadas) y disponibilidad (posibilidad de acceder a la información cuando sea necesario). “A estas características básicas se suman otras dos: la trazabilidad (poder realizar un seguimiento completo de los cambios que ha sufrido la información) y no repudio (que se pueda conocer con seguridad quién ha realizado cierta acción en el sistema)”, concluye Diego Bueno.
Deja un comentario