Por: José Linares Gallo
El gran avance en transformación digital no ha sido acompañado de una mejora proporcional en la calidad de la seguridad de los dispositivos y servicios y, a diario, vemos reclamos, en especial de clientes de bancos, que, a pesar de lo evidente, requieren tiempo para ser solucionados.
Diversas reflexiones de la OCDE sobre el tema señalan, que, si bien se han hecho algunos progresos para normalizar las buenas prácticas (por ejemplo, la gestión coordinada de vulnerabilidades, o los requisitos de seguridad de la Internet de las cosas), las organizaciones no aplican estos requisitos básicos a todos los niveles. Sin embargo, en los niveles educativos digitales, que ahora utilizan inteligencia artificial (IA) e Internet de las cosas (IoT, por sus siglas en inglés) a través del uso de materiales didácticos-tecnológicos, sí se aplican, pues logran articular aprendizajes sin problemas.
Los responsables de la formulación de políticas de todo el mundo tienen ahora la oportunidad de abordar estos desafíos —a menudo internacionales— centrándose en los resultados deseados para el usuario final y basándose en las Regulaciones Técnicas Globales y en las mejores prácticas de la industria tecnológica para reforzar la interoperabilidad.
La Internet de las cosas —el conjunto de dispositivos y objetos conectados a Internet— encarna un desafío más amplio en materia de seguridad digital. La IoT de los consumidores, también conocida como productos «inteligentes» o «conectados», amplía la superficie de ataque más allá de las tecnologías tradicionales de la información y las comunicaciones (TIC) utilizadas por los consumidores, las empresas y los gobiernos.
Un número relativamente pequeño de actores malintencionados ha sido capaz de capitalizar la transformación digital adoptando modelos de negocio de ciberdelincuencia que pretenden evadir el cumplimiento del Derecho tradicional. El ransomware (secuestro de datos) se ha convertido en una amenaza común que afecta a todo tipo de empresas y organizaciones, independientemente de su tamaño y ubicación. En Estados Unidos, en 2021, los operadores de infraestructuras críticas presentaron 649 denuncias ante el FBI.
Del mismo modo, los sistemas de información presentan vulnerabilidades relacionadas con la forma en que el software se diseña, desarrolla, implementa y actualiza. Los actores maliciosos desarrollan, comercian y utilizan herramientas como los malware o programas maliciosos para explotar estas vulnerabilidades mediante ataques que perjudican a las empresas, los gobiernos y las personas, amenazan las actividades esenciales y socavan la confianza en la transformación digital. Se debe considerar que los ataques en línea aumentan las tensiones entre las naciones, ya que los gobiernos y la infraestructura crítica son cada vez más los objetivos.
Los costos de un ecosistema digital inseguro pueden ser enormes. Las estimaciones sobre el costo potencial mundial de los ciberataques se han elevado a US$ 6 billones al año (lo que equivale al PIB combinado de Francia y Alemania) y aumentan cada año (OCDE, 2021), y se estima que podrían llegar a US$ 10.5 billones anuales para 2025 (Foro Económico Mundial Davos 2023).
Los atacantes buscan víctimas digitalmente dependientes. Según el CyberPeace Institute (institución internacional independiente, ubicada en Suiza, que resguarda la seguridad, la dignidad y la equidad en el ciberespacio), en 2021 se produjeron 253 incidentes de este tipo que afectaron al sector sanitario de 32 países. Estos problemas se ven agravados por la escasez de expertos en seguridad, los malos hábitos de notificación y la falta de acuerdos globales sobre cómo regular las amenazas cibernéticas.
Lo ideal sería que las fuerzas del mercado garantizaran que los productos —incluido el código (por ejemplo, el software, los dispositivos IoT, etc.)— y los servicios relacionados (como la nube) fueran suficientemente seguros, y que los desarrolladores reforzaran la seguridad en proporción al riesgo al que se enfrentan los usuarios y lo hicieran a lo largo de todo el ciclo de vida del producto.
Sin embargo, a pesar de todo esto, todavía existen pocas normas, estándares y reglas globales claras para mitigar y prevenir el delito cibernético. Mientras tanto, los proveedores de servicios gestionados y en la nube ofrecen servicios transfronterizos, que pueden ser susceptibles de ser atacados por agentes maliciosos desde cualquier lugar. Necesitamos con urgencia reglas internacionales que se hagan cumplir, así como un enfoque más expansivo que fomente la resiliencia cibernética; tema que se ha tratado en el último foro económico mundial en Davos.