El reto de cuantificar el impacto del fraude digital, la amenaza en el anonimato
Los ciberataques se han convertido en una de las vías más lucrativas para los delincuentes en los últimos años debido en parte al cambio en las costumbres de compra inducido por la pandemia. No solo el número de ataques y los daños causados aumentan constantemente, sino que los tipos de ataques cibernéticos han cambiado drásticamente en los últimos cinco años.
Así, entre las principales tendencias observadas en los actores de dichas amenazas y sus técnicas de ataque identificadas en la undécima edición del ENISA Threat Landscape (ETL) destacan como denominador común el ransomware, el malware, la ingeniería social, amenazas contra la confidencialidad de datos, amenazas contra la disponibilidad de los servicios y de las comunicaciones electrónicas, manipulación de la información y ataques a la cadena de suministro.
Sin embargo, poco se habla de amenazas internas a la propia organización como son el fraude interno, el abuso de sistemas o uso ilegal de software. Casos como el uso de recursos de la empresa para el minado de criptomonedas, inclusión de nodos repetidores de la red Tor, uso de software sin licencia, filtración de información al exterior por parte de usuarios autorizados, etc.
Se tratan, todos ellos, de ejemplos de uso no autorizado de recursos o abuso de sistemas en los que no solo se perjudica el rendimiento de los sistemas, sino que se pone en riesgo a la compañía, introduciendo elementos extraños a la arquitectura y en las configuraciones de los activos software, a espaldas de los responsables de seguridad. Además, según estudios recientes, cuatro de cada diez empresas se enfrentan al incumplimiento de las leyes de Propiedad Intelectual.
El caso más habitual es el uso ilegal de software, pero también se da el plagio de contenidos digitales protegidos y que, en su desconocimiento, los empleados de la empresa descargan y usan discrecionalmente, haciendo a la empresa responsable subsidiaria ante su legítimo propietario.
Repercusión pública
De las principales tipologías de amenazas, el fraude digital, bien sea interno o externo, sigue siendo el gran desconocido debido a que la mayoría de los incidentes permanecen en el anonimato, y solo una pequeña fracción de aquellos que salen a la luz tienen repercusión pública.
Sin embargo, investigaciones como la realizada por KPMG advierten que la magnitud de las pérdidas por fraude digital notificadas en 2023 ascendió a más de 10.000 millones de dólares, lo que representa un aumento de casi el 14% con respecto a las de 2022. En el entorno de España, el 38,6% confiesa haber sido víctima de algún tipo de fraude digital dos o más veces.
Sin embargo, en un contexto donde la mayoría de los fraudes permanecen en el anonimato, y solo una pequeña fracción de aquellos que salen a la luz tienen repercusión pública, el 90% de los españoles considera que empresas y AAPP no hacen lo suficiente para protegerles del fraude digital, según pone de manifiesto el estudio 'Faces of Fraud', elaborado por SAS.
En cualquier caso, las estimaciones de las cantidades estafadas siempre son optimistas, ya que en la mayoría de los casos se desconoce el tiempo que estuvo activo o el alcance del fraude. Además, es importante tener en cuenta que cualquier fraude digital conlleva pérdidas primarias y secundarias.
Entre las pérdidas primarias, aquellas producidas directamente a la víctima por el agente de la amenaza, no solo debemos cuantificar las de tipo económico como la restitución de lo estafado, sino otros costes asociados al análisis forense del incidente, incumplimiento de acuerdos de nivel de servicio, etc.
Entre las pérdidas secundarias, es decir, aquellas ocasionadas por terceros como los clientes, el organismo regulador correspondiente, los inversores, etc., encontramos por ejemplo los costes por servicios de monitorización de crédito, reclamaciones por daños y perjuicios, multas o sanciones si ha mediado negligencia en la gestión de la seguridad, pérdida de posicionamiento comercial en el mercado, devaluación del valor en bolsa y, por supuesto, pérdida de reputación. Las pérdidas secundarias deben dar lugar a una dotación presupuestaria en la contabilidad de la empresa para ejercicios futuros.
La creciente amenaza de la IA
Sin embargo, es casi seguro que la Inteligencia Artificial aumentará el volumen y el impacto de estos ciberataques en el futuro más inmediato. Durante los dos próximos años, la principal amenaza se centrará en la aplicación la IA a la evolución y mejora de las tácticas, técnicas y procedimientos (TTP) existentes actualmente, además de en la reducción de la barrera para que los ciberdelincuentes novatos, los piratas informáticos a sueldo y los hacktivistas lleven a cabo operaciones efectivas de acceso y recopilación de información. Más allá de 2025, se prevé que la mercantilización de la IA en los mercados criminales y comerciales casi con certeza pondrá una capacidad mejorada a disposición de los actores estatales y del delito cibernético.
En definitiva, contra la velocidad de los ataques dirigidos por inteligencias artificiales malintencionadas solo serán eficaces aquellos sistemas automatizados de detección, contención y respuesta, que sean igual o más veloces. Esto se facilitará con la automatización del triaje de alertas y caracterización de amenazas en Nivel 1, y también con su implementación en niveles superiores de respuesta del centro de operaciones de seguridad (SOC).
*** Manuel Carpio es director de ciberseguridad de Armatum