En respuesta al creciente riesgo cibernético, los gobiernos y las empresas están tomando medidas para reducir la exposición financiera a los ciberataques. “Estas medidas serán positivas desde el punto de vista crediticio en la medida en que reduzcan los riesgos a corto plazo”, aclara Leroy Terrelonge, Vicepresidente Analista Senior de Moody’s Investors Service, en el informe Cyber Risk – Global: 2023 Outlook sobre las tendencias de ciberseguridad para el 2023.
Ataques de ransomware y deepfakes
Estados Unidos ha sido históricamente el mayor objetivo del ransomware. En 2021, los ataques contra entidades de EE.UU. representaron aproximadamente el 49% en todo el mundo. En los últimos meses, el gobierno de los Estados Unidos ha presionado cada vez más a los atacantes de ransomware a través de sanciones y detenciones.
Como consecuencia, los ciberdelincuentes ampliarán sus zonas de acción hacia otros países. Se calcula para 2023 un aumento de los ataques de ransomware en Europa y América Latina, que generará la interrupción de las operaciones comerciales de varias entidades y la pérdida de la propiedad intelectual de muchas compañías.
La empresa de ciberseguridad SonicWall señala que, en la primera mitad de 2022, el 63% de los ataques se ejecutaron en Europa. Entre las incidencias más recientes se ha registrado en agosto del 2022 el ataque a diez instituciones gubernamentales de Montenegro, que amenazó con interrumpir la infraestructura crítica de todo el país.
Además de Europa, los países de América Latina son un nuevo punto caliente para los ataques de ransomware. En la región crecieron un 30%, pasando de 104 entre enero y agosto de 2021 a 135 en el mismo periodo de 2022, incluyendo en dichas estadísticas al ciberataque contra el gobierno de Costa Rica, que impidió temporalmente de cobrar impuestos y distribuir la seguridad social.
Los investigadores de ciberseguridad evidencian, además, que los deepfakes están siendo ampliamente utilizados en todo el mundo como una mejora significativa del esquema tradicional de las estafas por correo electrónico comercial (BEC). Los estafadores suelen dirigirse a los empleados que se encargan de las cuentas, utilizando la ingeniería social para que cambien los datos de pago.
Las tendencias de ciberseguridad para el 2023
En la cumbre de la Casa Blanca los representantes de 36 países coincidieron en que la lucha contra el ransomware requiere la colaboración internacional. En el mes de noviembre se consolidaron además dos importantes normativas (la Directiva NIS2 y el reglamento DORA), con aprobación prevista en 2023, que serán los grandes pilares de la ciberseguridad en Europa.
El análisis mundial de las nuevas técnicas de fraude – incluido el deepfake – define la necesidad de endurecer los requisitos de gestión de los riesgos cibernéticos y de notificación de incidentes. El aumento de la divulgación de la ciberseguridad ayudará a establecer puntos de referencia que las organizaciones podrán utilizar para mejorar su seguridad.
En Estados Unidos, la Comisión de Valores y Bolsa (SEC) en marzo propuso normas para mejorar la información sobre la gestión de riesgos cibernéticos y la notificación de incidentes por parte de las empresas registradas, lo que supone un importante refuerzo de la información pública obligatoria. Los gobiernos y reguladores de la UE, Canadá y la India también han introducido medidas que endurecerán los requisitos de ciberseguridad y divulgación.
A gran escala se está implantando un estándar de autenticación, el protocolo Fast Identity Online (FIDO), que reducirá la dependencia de las contraseñas. Dado que la mayoría de los ciberataques consisten en descifrar o robar contraseñas, FIDO tiene el potencial de reducir significativamente la exposición de los emisores a estos ataques. En lugar de contraseñas, el protocolo FIDO permitirá a los usuarios iniciar sesión en los servicios en línea a través de la criptografía de clave pública vinculada a los dispositivos de los usuarios.
Reflexiones sobre la clave FIDO y otras novedades
Según CISA, más del 90% de los ataques comienzan con el phishing. La eliminación de las contraseñas evitaría la mayoría de los ciberataques actuales. Sin embargo, la adopción de FIDO se enfrenta a obstáculos. Las aplicaciones y los sitios web necesitarán tiempo para actualizarse y aceptar las claves de acceso FIDO. A continuación, habrá que formar a los usuarios sobre cómo iniciar sesión con el nuevo proceso. También se necesitará tiempo para que los nuevos dispositivos y versiones del sistema operativo compatibles con las claves FIDO lleguen a una gran parte de los usuarios.
Grupos de presión del sector advierten que las medidas con plazos estrictos de información y la divulgación pública incrementarán el riesgo de compartir las soluciones técnicas. Además, el cumplimiento de los requisitos de ciberseguridad también impondrá costes adicionales.
Sin embargo, la cuantificación de las pérdidas financieras previstas por un ciberataque desempeñará un papel cada vez más importante en la mitigación de riesgos. Según aclara Leroy Terrelonge, «un enfoque basado en datos fomentará una mejor toma de decisiones por parte de los directivos y permitirá una mejor comunicación de las estrategias de mitigación de riesgos y de la exposición».
