El mundo 4.0

Jaque a la ciberseguridad en la era de la inteligencia artificial

Los ciberataques son una de las grandes preocupaciones de la UE.

Los ciberataques son una de las grandes preocupaciones de la UE. / FDV

Francisco Yáñez

Francisco Yáñez

Carlos trabaja desde hace más de diez años en una filial de una compañía financiera cuya matriz está ubicada en Reino Unido. Todo transcurre con normalidad ese día en la oficina, hasta que de repente recibe un mensaje que supuestamente procede del director financiero. El mensaje solicita hacer una transferencia monetaria en secreto, lo que hace sospechar a Carlos de que puede estar ante una estafa por correo electrónico para obtener datos confidenciales de la empresa. Sin embargo, esas sospechas desaparecen tras una llamada: al otro lado del teléfono, el director general de la empresa del Reino Unido. En esta llamada se le pide a Carlos que se conecte a una reunión online de forma urgente, no hay tiempo que perder. En esa reunión están presentes no sólo el director general y el director financiero, sino también otros compañeros de Carlos. De forma inmediata es necesario ejecutar una operación financiera que tendrá un retorno económico muy importante para la empresa, y el primer paso es transferir 24 millones de euros a la cuenta de un intermediario que participa en la operación. Carlos no lo duda y ejecuta la transferencia. Pero lo que Carlos no sabe es que en esa videoconferencia el único humano real es él, todos los demás son falsos. Los estafadores han utilizado vídeos y audios disponibles públicamente a través de YouTube, y gracias a la tecnología deepfake han podido imitar sus voces y conseguir que Carlos, la víctima, siguiera sus instrucciones.

Esta historia no es ciencia ficción, es una estafa que ha ocurrido recientemente en una empresa de Hong Kong. Si hasta ahora nos hemos preocupado de no abrir un SMS o un email sospechoso, los ciberataques impulsados por IA serán la norma dentro de muy poco tiempo: un deepfake, con formato de vídeo, imagen o audio, que imita perfectamente la apariencia y el sonido de una persona de nuestra confianza.

El cibercrimen es la actividad delictiva que más dinero mueve en el mundo. En el pasado se robaban bancos porque allí estaba el dinero, pero ahora, en el siglo XXI, el secuestro de datos, que son el nuevo oro, puede poner en jaque a cualquier empresa, y verse obligada a pagar un importante rescate para poder recuperar la información. Muchas empresas y entidades importantes han sufrido ciberataques en las últimas semanas que han dejado al descubierto los datos de millones de clientes: Iberdrola, Banco Santander, Telefónica o la DGT. Pero no sólo las grandes son atacadas, cualquier usuario o empresa, con independencia del tamaño, es un objetivo potencial de los hackers. Para hacernos una idea de la dimensión de la amenaza, basta con decir que el Instituto Nacional de Ciberseguridad está gestionando de media unos 100.000 ciberataques al año. Las técnicas delictivas que nos podemos encontrar son múltiples: Phishing (con la cual el atacante recrea un sitio web conocido y roba información personal a la víctima); Baiting (utilizando cebos como, por ejemplo, unidades USB infectadas); Vishing (una voz automatizada semejante a la de las entidades bancarias que nos pide datos); o Smishing (por medio de SMS fraudulentos).

¿Sabías que?

El servicio público “Tu Ayuda en Ciberseguridad”, prestado por el Instituto Nacional de Ciberseguridad (INCIBE), ha atendido un total de 80.920 consultas durante 2023 (un 16,8% más que en el año anterior), en su teléfono de ayuda 017 y sus diferentes canales de contacto de WhatsApp, Telegram y formulario web.

En los últimos tiempos, la ciberseguridad se ha convertido en una de las principales preocupaciones de la Unión Europea, y recientemente se ha actualizado y reforzado la Directiva de Redes y Sistemas de Información (NIS). Esta nueva Directiva 2022/2555, destinada a garantizar un adecuado nivel común de ciberseguridad en la UE, será de obligado cumplimiento a partir del 17 de octubre de 2024, con importantes sanciones, en caso de incumplimiento, que pueden llegar a los 10M€. Esta directiva aplica a empresas de la UE que por su actividad son consideradas como esenciales para el funcionamiento de la economía y la sociedad europea en general. La NIS2 divide las empresas en dos tipos. Entidades esenciales: empresas de transporte, compañías de electricidad, agua y servicios de saneamiento, hospitales y centros de salud, sector bancario y financiero, y operadores que ofrezcan servicios digitales críticos, tales como telecomunicaciones y servicios de in

Entidades ternet; y Entidades importantes: empresas de servicios postales y de mensajería, proveedores digitales que ofrezcan servicios de redes sociales y buscadores de internet, empresas de gestión de residuos, plantas de producción y de procesamiento de productos químicos, empresas de alimentación. La diferencia principal entre ambos tipos de entidades son las medidas que tienen que aplicar, con requisitos normativos más exigentes para las entidades esenciales. En los últimos años, las empresas más avanzadas en ciberseguridad ya han ido aplicando normativas que tienen un contenido similar, como la ISO 27001, o la TISAX, desarrollada por la VDA alemana para la industria de la automoción.

Sin duda, la IA nos va a traer innumerables beneficios, pero también grandes amenazas. A partir de los datos que ofrece el INCIBE, se podría llegar a afirmar que todas las empresas van a recibir como mínimo un ciberataque en los próximos años, por eso es muy importante estar preparado no sólo en la defensa, sino también en el “plan B”, es decir, qué tendremos que hacer al día siguiente al ataque, y cómo podríamos recuperar la información y los datos. 

Medidas de ciberseguridad requeridas por NIS2

  1. Implantación de un sistema de autenticación multifactor.

  2. Control de acceso a los sistemas y aplicaciones con un nivel mínimo de permisos.

  3. Seguridad en la cadena de suministro, por la cual las empresas deben asegurar aspectos relacionados con la seguridad con las relaciones entre entidades, sus proveedores directos o proveedores de servicios.

  4. Sistemas de prevención que permitan detectar, bloquear y minimizar el impacto de ciberataques.

  5. Sistemas de continuidad de negocio, tales como políticas de backup y recuperación de información.

  6. Políticas de formación de ciberseguridad a todos los empleados de la compañía.

Suscríbete para seguir leyendo