Empresas y administraciones públicas necesitan fortalecer sus tecnologías de ciberseguridad ante el incremento de los ciberataques y los nuevos riesgos que implican la inteligencia artificial y la computación cuántica. Así se ha puesto de manifiesto en un encuentro con expertos organizado por la Asociación Española de Empresas de Consultoría (AEC), que ha reunido a especialistas en ciberseguridad de once grandes consultoras pertenecientes a esta organización, así como del Instituto Nacional de Ciberseguridad (INCIBE) y del Real Instituto Elcano.
En una jornada informativa dedicada a los nuevos desafíos y las últimas tendencias en seguridad digital, los expertos han coincidido en que la acelerada transformación digital que se experimenta tanto en el sector público como en el privado requiere de un mayor esfuerzo en ciberseguridad, incluyendo la adopción de planes integrales de protección, atención a riesgos en las cadenas de proveedores, incorporación de talento especializado y adaptación a las nuevas regulaciones nacionales y europeas.
En el plano tecnológico, los especialistas han subrayado que el uso cada vez más extendido de la inteligencia artificial generativa debe acompañarse de nuevas medidas de seguridad. Las consultoras ya están utilizando la IA para prevenir y detectar ataques, pero al mismo tiempo su uso generalizado ha multiplicado los riesgos, facilitando a los cibercriminales herramientas de mayor eficacia y complejidad. Del mismo modo, la revolución de la computación cuántica está abriendo una nueva era para la criptografía y el cifrado de las comunicaciones, con el potencial de volver obsoletos los sistemas de protección vigentes.
Al inicio de la sesión, José María Beneyto, presidente de la AEC, ha afirmado que “la seguridad de los datos, los sistemas y las infraestructuras críticas son un pilar esencial para la competitividad y la sostenibilidad de nuestras empresas y administraciones. Aquí es donde las consultoras aportan toda su experiencia para anticiparse a los riesgos, dar tranquilidad a la sociedad y desarrollar estrategias de protección y resiliencia.”
En cuanto a las asignaturas pendientes que persisten a la hora de integrar la ciberseguridad en la transformación digital, Agustín Muñoz-Grandes, Managing director de Accenture Security en España y Portugal, ha señalado que “la transformación digital segura es posible si se trabaja desde el inicio en una correcta evaluación de riesgos tecnológicos y de impacto en negocio, con planes de transformación que lleven la seguridad embebida por diseño y desde el inicio y que velen por garantizar la continuidad de negocio y la resiliencia operativa. Planes que cubran desde el desarrollo seguro de soluciones hasta la implementación de las medidas de detección, respuesta y recuperación ante incidentes de ciberseguridad».
Por su parte, Xavier Gracia, socio responsable de Ciberseguridad de Deloitte, ha indicado que “la mayor complejidad del entorno geopolítico y la digitalización sitúan a los servicios esenciales como el objetivo principal de los ciberatacantes. Por ello, el marco normativo pone especial foco en proteger estos servicios críticos: por un lado, aumentando los requisitos de regulación para las organizaciones, como NIS2, para todos los sectores esenciales, o DORA, principalmente para el sector financiero; por el otro, aumentando las responsabilidades de los órganos de gobierno de las organizaciones”.
En este sentido, Joaquín Castellón, director de Ciberseguridad y Defensa de Izertis ha incidido en “la importancia de establecer planes integrales que alineen la seguridad con el negocio, de manera específica para cada empresa, sus planes de transformación digital y su propia cultura de ciberseguridad”. “No se debe obviar además la importancia de contar con personas y perfiles cualificados para desarrollar estos planes de seguridad”, ha añadido.
Además, José Manuel de la Puente, Cybersecurity & SecDevOps Manager de VASS, ha subrayado la necesidad de “securizar desde el inicio todos los componentes de las cadenas de suministro y todas las tecnologías que estén actualmente en desarrollo dentro de la compañía para evitar ataques”. Además, indicó que “serán necesarios nuevos planes de formación a nivel estatal y empresarial. En este sentido, la formación de los equipos es fundamental para anticiparnos y protegernos de cualquier ataque cibernético”.
Los ataques más frecuentes
Los ponentes han analizado también los ataques más habituales y desafiantes para las compañías, destacando el crecimiento de los de motivación económica, como ransomware y phishing, así como la creciente amenaza de cibercriminales cada vez más organizados. Sobre este aspecto, José Luis Rojo de Luque, socio de Ciberseguridad en Consulting de EY, ha afirmado que “en una era dominada por ciberataques cada vez más sofisticados y lucrativos, nuestra misión trasciende la protección convencional: la clave es redefinir la resiliencia digital con soluciones que no solo contrarrestan las amenazas emergentes, sino que también empoderen a las empresas para enfrentar y superar los desafíos que plantea el cibercrimen. La innovación y la inversión en ciberseguridad en las empresas son esenciales para garantizar que las organizaciones estén siempre capacitadas para hacer frente a grupos de ciberdelincuentes globales”.
Manuel Calderón-Palacios, director de Ciberseguridad de Inetum, refuerza esta idea ya que “en un contexto en el que la digitalización es el motor de la transformación empresarial, la ciberseguridad se ha convertido en una prioridad estratégica para las compañías y, a medida que los escenarios de amenazas se amplían y se hacen cada vez más complejos, las empresas requieren una mayor flexibilidad para fusionar tecnologías que puedan ayudarles a identificar mejor sus riesgos. Es importante ir un paso por delante de las posibles amenazas a la seguridad y reforzar así la resiliencia empresarial”.
Para Rubén Muñoz, director en el área de Technology Risk y Ciberseguridad de KPMG en España, “los ciberataques corporativos vienen motivados principalmente por una finalidad económica o disruptiva. Nuestros equipos tienen la capacidad de prevenir, proteger y dar respuesta a estas situaciones y debemos trabajar en una dualidad digital con las compañías para evitar y dificultar ataques mayores”.
Por su parte, Álvaro Fraile, director de Ciberseguridad de Ayesa, ha insistido en que “en el entorno digital actual, estar preparados para la respuesta a incidentes es esencial. La ciberresiliencia, clave para minimizar el impacto de los ataques, permite a las organizaciones recuperarse rápidamente y continuar operando. No se trata solo de evitar amenazas, sino de reaccionar eficazmente cuando estas ocurren. Las empresas que invierten en ciberresiliencia garantizan su continuidad y fortalecen su posición frente a futuras crisis”.
Impacto de la Inteligencia artificial y la computación cuántica
La inteligencia artificial está transformando tanto las capacidades de ataque como de defensa en ciberseguridad, mientras que la computación cuántica también se presenta como un arma de doble filo. Al respecto, Andrés de Benito, Head of Cybersecurity de Capgemini ha señalado que “cuando la computación cuántica sea una realidad, de un día para otro todos los controles desplegados no van a ser efectivos, vamos a encontrar en una situación de indefensión. Por ello, las empresas deben empezar a prepararse desde ya, para que toda su infraestructura sea criptográficamente ágil”.
En este contexto, Miguel Ballesteros, director de Innovación en Ciberseguridad de Cipherbit-Grupo Oesía ha añadido que «la IA se ha vuelto una tecnología clave para mejorar la ciberdefensa de cualquier organización gracias a la ampliación de capacidades de protección, detección y respuesta, como el aprendizaje automático para identificar vulnerabilidades, autenticación y control mediante evaluación continua o incluso predicción de ciberincidentes».
Por su parte, Juan Carlos de Miguel, Associate Partner IBM Consulting, Cybersecurity Services, ha resumido: “Las empresas consideran que tecnologías como la GenAI y la computación cuántica son una ventaja competitiva y generan nuevas oportunidades para sus negocios, pero también como un reto que garantice que los modelos de inteligencia artificial y análisis de datos funcionen sin sesgos. En lo que a ciberseguridad se refiere, también se ven impactadas por esta doble vertiente: mejorarán sensiblemente las capacidades de protección y respuesta ante ciberamenazas, pero a su vez requerirán ciertas transformaciones, como medidas de protección adicionales para su uso”.
El INCIBE detecta 83.517 incidentes en 2023
Luis Hidalgo, responsable del Gabinete de Dirección de Relaciones Institucionales y Eventos de INCIBE, ha apuntado que en los últimos 6 años se han producido más de 700 hechos relevantes en todo el mundo. Hidalgo informó que en España, en 2023, se vieron afectadas más de 22.000 empresas españolas, más de 58.000 ciudadanos fueron víctimas de algún incidente, y se detectaron un total de 83.517 incidentes de seguridad, lo que supone un incremento del 24% sobre 2022. Por ello, el INCIBE busca dotar al tejido industrial de las capacidades necesarias para hacer frente a los riesgos en ciberseguridad y apoyarles en el proceso de transformación digital de una manera segura a través de servicios preventivos y reactivos.
En el ámbito geopolítico, Félix Arteaga, investigador principal de Seguridad y Defensa del Real Instituto Elcano, se ha referido a los riesgos inducidos desde el exterior, como los tecnológicos y de cadenas de suministros. “Es obligación del Estado defender al sector privado frente a los grupos criminales, no solo frente a los ataques estatales, desarrollando con el sector privado herramientas de disuasión que acaben con la impunidad. La regulación de la defensa activa es uno de los pendientes de la estrategia nacional de ciberseguridad”, ha indicado.
“Con este tipo de encuentros, la AEC continúa con su labor de promover el conocimiento y la innovación en el ámbito de la transformación digital y la ciberseguridad, así como el fortalecimiento de la colaboración entre los sectores público y privado”, ha concluido José María Beneyto.