El uso del término 'crisis del coste de vida' ha pasado por múltiples etapas llegando a ser una expresión sobre utilizada. Surgió a principios de 2022 como una forma de describir una serie de circunstancias financieras y económicas, desde el aumento de las tarifas energéticas y el coste de los alimentos hasta la subida de los precios de transporte. Al poco tiempo se convirtió en un término de moda, luego común, y finalmente, en una expresión omnipresente en las conversaciones empresariales y personales.
Ante la complicada coyuntura financiera y la posibilidad de una recesión económica, las compañías deben prepararse y adaptarse a las implicaciones de esta situación. Una consecuencia negativa obvia es el aumento de los costes empresariales y el recorte de los márgenes de beneficio, pero hay otras consecuencias menos directas que las organizaciones tendrán que afrontar.
La ciberseguridad, por ejemplo, es un área extremadamente vulnerable a este tipo de volatilidad financiera, y en la que cualquier contratiempo puede tener graves repercusiones.
La ciberseguridad, circunstancia crítica
Una de las razones evidentes que explican el creciente número de incidentes cibernéticos llevados a cabo con éxito es la disminución en los presupuestos de ciberseguridad de la mayoría de las organizaciones.
El aumento de los costes de la energía y la caída de ingresos en medio de la crisis económica hacen que las empresas dispongan de menos recursos financieros para dedicar a la investigación y el despliegue de nuevas soluciones cibernéticas.
Dada la naturaleza en constante evolución de los ciberataques, las medidas de protección deben actualizarse y probarse con frecuencia. Lo ideal sería que las empresas impartieran periódicamente cursos de concienciación sobre ciberseguridad, con simulaciones de ataques incluidas, para que los empleados puedan reconocer las últimas oleadas de correos electrónicos de phishing y tomar las medidas adecuadas cuando se produzca una brecha.
Con una rotación del personal potencialmente más alta, la formación temprana en ciberseguridad y procesos y sistemas relacionados adquiere una gran importancia. Por supuesto, estas medidas llevan tiempo y también pueden suponer costes adicionales.
Y precisamente por esto, en muchas organizaciones la relevancia de la ciberseguridad desciende puestos en su lista de prioridades, lo que se traduce en una mayor vulnerabilidad frente a la actividad cibernética fraudulenta.
Además, cuando todos los ojos están puestos en la rentabilidad, las consecuencias de un ciberataque también se agravan. Si una brecha consigue atravesar todas las capas de seguridad de una organización, puede llevar al cierre de todo el sistema mientras los expertos supervisan y se restablecen las medidas de seguridad.
En algunas ocasiones, los ataques pasan completamente desapercibidos hasta que el atacante muestra sus cartas, momento en el que cualquier respuesta será difícil y la recuperación de los sistemas será un proceso largo.
Las implicaciones financieras del tiempo de inactividad son siempre significativas, pero se manifiestan aún más en tiempos de crisis del coste de vida. Saber que las empresas no pueden permitirse ningún tiempo de inactividad es también uno de los principales motores de los ciberdelincuentes, concretamente con los ataques de ransomware.
Los ciberdelincuentes saben que probablemente tendrán éxito si amenazan a empresas con tiempo de inactividad, por lo que pagarán para evitar las graves consecuencias de una posible brecha.
Por otro lado, el uso de ChatGPT para la mejora de productividad de las distintas áreas de negocio, también afecta a la ciberdelincuencia. ChatGPT es capaz de escribir malware, cifrar archivos y generar correos electrónicos de phishing, creando contenidos que pueden utilizarse para ataques de ingeniería social dirigidos a particulares.
Lo más alarmante no es sólo la precisión y velocidad con la que la IA puede crear este tipo de contenido malicioso, sino el hecho de que está fácilmente disponible para que todo el mundo lo utilice.
Y ChatGPT no es lo único que debería preocuparnos: ahora se pueden utilizar otras herramientas de IA generativa para imitar las voces de seres queridos o empleados para falsas llamadas telefónicas, y hasta se pueden crear imágenes de vídeo con fines similares.
De hecho, según un estudio elaborado por PwC, más de la mitad de las empresas españolas consideran que la IA va a contribuir a que se produzcan ciberataques de gran impacto durante este año.
Inversiones orientadas a la mejor autodefensa
Con la aparición de todas estas nuevas herramientas de IA y su rápido crecimiento, junto con las continuas dificultades económicas a las que siguen enfrentándose las compañías, es poco probable que esta crisis cibernética se resuelva pronto.
Pero no todo es negativo: a pesar de las dificultades presupuestarias, las organizaciones pueden estructurar su gasto en ciberseguridad de forma que sigan estando protegidas.
Es una buena idea invertir en tecnologías que saquen el máximo partido de la automatización para mantenerse al día con los ciberataques habilitados por IA. Las herramientas que utilizan el machine learning y la inteligencia artificial también pueden encargarse de tareas rutinarias y laboriosas para, así, permitir a los profesionales centrarse en las acciones más importantes.
En esta línea, y según el mismo estudio citado antes, el 61% de los directivos en nuestro país asegura que sus compañías emplearán la IA generativa para defenderse frente a los ciberataques en 2024.
Incluso con un presupuesto limitado, sacar el máximo provecho de las asociaciones, como la contratación de proveedores externos de servicios de seguridad gestionados y hackers éticos que simulen ataques cibernéticos puede aligerar la carga de identificar vulnerabilidades, detectar brechas y mejorar la respuesta a incidentes. Todo ello debe equilibrarse para garantizar que los costes de montar una defensa adecuada y gestionar el riesgo puedan llevarse a cabo.
Con la mentalidad correcta y un sólido conjunto de herramientas efectivas, las organizaciones tienen la capacidad (y la responsabilidad) de prepararse adecuadamente para fortalecer su ciberresiliencia. Al hacerlo, podrán evitar que los ciberdelincuentes se aprovechen de la prolongada crisis del coste de vida, protegiendo tanto sus activos como la confianza de sus clientes.
***Ramsés Gallego es miembro del Hall of Fame ISACA.