Los CISO ponen nombre a los ciberretos: el fin del perímetro, el 'ransomware' y el 'phishing' frente a la promesa de la IA
- En DISRUPTORES - EL ESPAÑOL conversamos con los CISO de Sanitas, Mapfre, Sacyr y DHL Express, quienes lideran la defensa con un nuevo rol más estratégico que técnico en sectores donde la seguridad es crítica.
- Más información: Anatomía de los ciberataques en España: causas políticas y económicas detrás del 68% de las amenazas de los 'hackers
Con la digitalización acelerada de la economía, el actual marco geopolítico y ataques cada vez más sofisticados, la ciberseguridad se ha vuelto esencial, erigiéndose en un pilar clave para la protección de las infraestructuras de todo tipo de empresas e instituciones. En este contexto, el papel del CISO, o director de seguridad de la información, ha dejado de ser meramente técnico para convertirse en un componente estratégico dentro de las organizaciones.
"Su importancia se refleja en un aumento en la partida de inversión, a la que las empresas tienen previsto dedicar un 9,5% de su presupuestos TI. También en el aumento de relevancia en la Alta Dirección, donde la ciberseguridad es percibida como un must have (aunque en el 42% de las organizaciones se incluye bajo petición del CIO/CISO)", asegura el director general de Penteo Research, Toni Guerra. a este medio.
Para conocer de primera mano el valor de estos directivos en la estructutra de las empresas, en DISRUTPORES - EL ESPAÑOL hemos hablado con cuatro CISO de sendas empresas en España: Fabián Vidal de Sanitas y Bupa ELA, Guillermo Llorente de Mapfre, Mari Paz Palomo de Sacyr y Rafael Pérez del Monte de DHL Express. Todas ellas pertenecientes a industrias donde la ciberseguridad es un punto crítico ante un futuro donde se prevén ataques más intensos.
Un ecosistema en constante evolución
El uso intensivo de la tecnología en las compañías ha traído consigo un cambio en sus perímetros de seguridad, que desde hace años han dejado de ser meramente físicos. “El teletrabajo y el uso de infraestructuras en la nube han expandido la superficie de ataque, exigiendo controles de seguridad más avanzados y adaptados a esta situación", apunta Vidal. Como máximo responsable de seguridad en Sanitas, menciona que esta evolución ha sido especialmente crítica en el sector sanitario “debido a la sensibilidad de los datos médicos que maneja, que pueden comprometer tanto la operativa de la organización como la seguridad de los pacientes”.
Una evolución que ha obligado a estos directivos a desarrollar una visión estratégica que incluye a toda la cadena de suministro de la empresa. "La ciberseguridad ha pasado de ser un valor añadido a convertirse en una condición sine qua non para establecer relaciones comerciales y de confianza con clientes, socios y otros grupos de interés", apunta Llorente.
En este sentido, uno de los aspectos que más preocupan a los CISO son las tensiones geopolíticas. “Uno de los principales factores del incremento de las ciberamenazas proviene de la actual inestabilidad global, como los conflictos entre Rusia y Ucrania o las tensiones en Oriente Medio”, señala el directivo de Mapfre. “Estos conflictos no solo son de naturaleza ‘física’, sino que también influyen en el ámbito cibernético, modificando la naturaleza y el tipo de ciberataques que se llevan a cabo”.
Llorente menciona que los atacantes buscan brechas de seguridad en empresas pequeñas que sirven de proveedoras de grandes compañías para obtener acceso a sistemas más robustos y protegidos. “Hemos visto un incremento en los intentos de fraude dirigidos a nuestros clientes, donde los atacantes se valen de mil artimañas para suplantar la identidad de las compañías, tratar de engañarlos y conseguir así acceder a sus cuentas o a sus datos", apunta.
Mari Paz Palomo, CISO de Sacyr, destaca asimismo que "los ataques basados en la identidad y en la ingeniería social constituyen una de las amenazas más habituales y frecuentes, aprovechando las debilidades intrínsecas al comportamiento y la psicología humana. La sofisticación de estos ataques no deja de crecer y de sorprendernos cada día, con el uso de tecnologías como la IA generativa que permite clonar la voz o la imagen de personas para realizar suplantaciones de identidad cada vez más difíciles de detectar".
Al respecto, Palomo incorpora otra variable a la ecuación: "La táctica del bombardeo de autenticación multifactor es también habitual. Los actores maliciosos obtienen el usuario y la contraseña de un usuario y los introducen en la página de login legítima de una aplicación a lo largo de numerosos intentos. Como dicha aplicación tiene implementada la autenticación multifactor, por cada solicitud se le envía un mensaje al usuario legítimo para que valide el acceso. Mediante esta táctica, los delincuentes buscan que el usuario termine autorizando el acceso por error", indica a este medio.
Por su parte, Rafael Pérez del Monte, CIO de DHL Express en España, sentencia que su grupo "invierte muchos recursos y sistemas de software de seguridad, cada vez más complejos, para identificar y prevenir cualquier tipo de ataque que pueda poner en peligro la seguridad de la compañía. Los riesgos han ido evolucionando en los últimos años y nuestros procesos y controles de la misma manera. Hemos puesto especial foco en la seguridad de los datos de carácter personal de nuestros clientes, necesarios para el desarrollo de nuestra actividad, reforzando nuestras medidas técnicas y organizativas para protegernos de brechas de seguridad, fuga de datos, infección de malware y suplantación de identidad, entre otros riesgos".
Ransomware, phishing y ataques a infraestructuras
Los cuatro CISO coinciden en que el ransomware y el phishing siguen siendo dos de las mayores amenazas actuales. "En Sanitas, una de las mayores amenazas es el ransomware, ya que cifrar datos médicos puede afectar gravemente la operatividad y la seguridad de los pacientes", señala Fabián Vidal.
Sin embargo, apunta al phishing como uno de los riesgos más “significativos”, puesto que los atacantes se aprovechan del factor humano, “engañando a los empleados” para obtener credenciales y acceder a datos sensibles. De ahí, la necesidad de realizar una labor de concienciación y de trabajar la cultura de la seguridad entre los propios empleados para que entiendan que son “componentes esenciales para fortalecer la defensa contra los ataques”, añade Guillermo Llorente.
En DHL Express son buenos conocedores de la problemática del phishing. "Es recurrente el uso fraudulento de nuestra marca para campañas masivas que, aunque no son ciberataques directos dirigidos a nuestra empresa, sí que impacta en nuestros clientes generando incluso desconfianza hacia nuestras propias notificaciones por estos medios. El prestigio de confianza que supone una marca como DHL resulta la técnica más usada por los atacantes para conectar con sus 'víctimas' Un hecho que, lamentablemente, con el paso de tiempo hacen que parezca más real", detalla Pérez del Monte.
Volviendo al CISO de Mapfre, también añade los ataques a las infraestructuras de las compañías como una de las brechas de seguridad más vulnerables. "Los atacantes han perfeccionado sus técnicas y ahora también exploran funcionalidades legítimas en las aplicaciones y portales, tratando de abusar de ellas para sus propios fines. Esto es particularmente crítico en entornos en la nube, que ofrecen escalabilidad y rapidez, pero que también pueden representar una oportunidad para los atacantes si no se configuran correctamente", sostiene Llorente.
Desde Sacyr, Palomo reconoce que "las amenazas no dejarán de aumentar y evolucionar, y podemos esperar un crecimiento de los ataques dirigidos a conseguir interrumpir la operación, especialmente de infraestructuras y procesos críticos. Modelos de negocio como el ransomware-as-a-service favorecerán este escenario".
El miedo al ransomware es común a todas las empresas. "A pesar de no haber sufrido un ciberataque directamente si hemos podido observar como otras empresas, tanto de nuestro sector como en otros, han sufrido infecciones de ransomware, encriptando sus equipos informáticos y paralizado su actividad, generando un grave perjuicio tanto a estas empresas como a sus clientes. Esto nos hace permanecer alerta de forma continuada para evitar ataques dirigidos a la cadena de suministro, reforzando nuestros procedimientos para garantizar la continuidad del servicio y evitar a la vez el acceso no autorizado a nuestros sistemas y aplicaciones", admite el CIO de DHL.
Métodos de defensa más sofisticados
Para hacer frente a las crecientes amenazas, los CISO entrevistados para este reportaje ratifican que han invertido en estrategias defensivas avanzadas. Fabián Vidal explica que en Sanitas ha implementado sistemas de seguridad basados en DevSecOps, asegurando así que "la seguridad esté integrada en cada fase del ciclo de vida del desarrollo". Además, han logrado migrar el 90% de sus aplicaciones a la nube, lo cual "ha permitido una gestión más segura y eficiente de los datos médicos".
En Mapfre, por su parte, ha adoptado un modelo de seguridad “integral” que permite “embeber la seguridad (y su gobierno) en todos los procesos de negocio del grupo”. "Mantenemos un proceso de planificación de seguridad que se nutre de las lecciones aprendidas de los ataques que recibimos, de la información de inteligencia sobre amenazas, de las buenas prácticas del mercado y de los cambios regulatorios”, afirma Llorente. Gracias a este enfoque, somos capaces de actualizar y adaptar su estrategia de manera continua.
Por otra parte, la inteligencia artificial (IA) también ha llegado a este sector mejorando los métodos de defensa, permitiendo la creación de herramientas más potentes y una detección y respuesta más rápida y precisa a los incidentes. Algo que resulta esencial en sectores como sanidad o logística, no solo para mantener a salvo los datos, también para garantizar la continuidad de los servicios.
"La IA está cambiando el panorama de la ciberseguridad en el sector salud. Nos permite analizar grandes volúmenes de datos en tiempo real, facilitando la detección de patrones inusuales que puedan indicar un ataque", comenta Fabián Vidal, destacando cómo la IA también ayuda a detectar y prevenir fraudes en la facturación y las reclamaciones.
No obstante, esta tecnología plantea nuevos riesgos porque los atacantes también la emplean para perfeccionar sus tácticas. "La misma IA que utilizamos para protegernos también es aprovechada por los ciberdelincuentes para crear phishing mucho más personalizado, diseñar malware adaptable o generar contenido engañoso. Esto incrementa la dificultad para detectar y mitigar estos ataques", reconoce Llorente.
También está trabajando en la IA como defensa en Sacyr: "La inteligencia artificial jugará un papel fundamental para detectar y responder a amenazas en tiempo real, automatizando la respuesta. Las técnicas de análisis de comportamiento se extenderán, permitiendo identificar actividades sospechosas, anticipar ataques y adaptar la respuesta".
Sin olvidar la extensión al mundo IIoT y OT de soluciones de protección y defensa habituales en el mundo IT. "La escasez de profesionales especialistas en seguridad OT abrirá nuevas oportunidades para profesionales del ámbito IT que quieran ampliar sus horizontes", añade la directiva.
En la parcela de DHL Express, consideran esencial "la seguridad por defecto y desde el diseño en todos nuestros proyectos lo que nos permite garantizar los mayores niveles de ciberseguridad". Igualmente, esta enseña cuenta con un Centro de Defensa Cibernética opera las 24 horas del día, los siete días de la semana, "utilizando un modelo de seguimiento continuo para monitorear constantemente nuestras redes globales y proporcionar una respuesta rápida ante incidentes. Además escaneamos de forma regular de nuestras infraestructuras (servidores, aplicaciones web y equipos de usuario final) en busca de vulnerabilidades".
Lo que les depara el futuro
De cara al futuro, los cuatro CISO señalan que las amenazas continuarán evolucionando y, por tanto, también deberán hacerlo los métodos de protección. "La ciberseguridad nunca será un proyecto terminado; siempre habrá amenazas nuevas que requerirán estrategias y soluciones innovadoras. La capacitación continua y la adopción de tecnologías avanzadas son imprescindibles", afirma Vidal.
Llorente también enfatiza que las empresas deben seguir innovando "La clave está en mantener una capacidad de adaptación y resiliencia. La ciberseguridad ha pasado a ser una condición esencial para las relaciones de confianza con clientes y socios, y la inversión en nuevas tecnologías y en formación es una prioridad para asegurar nuestra continuidad operativa en un entorno en constante cambio".
Prioridad estratégica que se materializa en presupuestos acordes con esa relevancia. Palomo destaca que "en el sector de infraestructuras es habitual operar en distintos modelos organizativos con socios y terceros, en el ámbito de cada contrato con cliente. Esto implica una alta exposición a amenazas derivadas de la interconexión de sistemas y de accesos externos. La gestión del riesgo de la cadena de suministro y la confianza en terceros es por ello un desafío importante. Para nosotros, la gestión de accesos remotos, la gestión de accesos privilegiados y la gestión de la seguridad en la nube son áreas de especial relevancia en nuestra estrategia de ciberseguridad".
"Nuestra línea de actuación seguirá siendo la de mantener un sistema de seguridad robusto y efectivo, que proteja los datos y cuente con un mayor talento. Pero sin duda, se prevé que las tendencias tecnológicas en seguridad cibernética vengan marcadas por el uso de la IA. En el futuro, se espera que esta herramienta ayude ante cualquier amenaza emergente y en tres aspectos claves: detección de intrusiones, análisis de datos y automatización de la seguridad", sentencia a su vez el CIO de DHL Express.