Usar IAG puede allanar el camino hacia la ciberresiliencia

Lograr entornos completamente seguros ante los ataques cibernéticos es una utopía. Hoy, de lo que se trata es de que, ante un evento cibercriminal, las empresas puedan sufrir el menor daño posible y salir avantes en el menor tiempo para seguir realizando sus operaciones comerciales. A esto se le llama “ciberresiliencia”.

En esta segunda parte de su entrevista con ComputerWeekly en Español, Erik Moreno, director de ciberseguridad para Minsait México, explica que una adecuada cultura interna de ciberseguridad es fundamental para lograr ese objetivo, y las herramientas de inteligencia artificial generativa están ayudando a desarrollarla. Igualmente, el experto subraya la necesidad de dejar de lado las contraseñas como elemento principal para la gestión de identidades.

El crecimiento de la conciencia de ciberseguridad entre las empresas es parte del camino hacia la ciberresiliencia, que es ahora el objetivo de las estrategias de ciberseguridad. ¿Cuál es el primer paso que deben dar las empresas, si no lo han dado ya, hacia la ciberresiliencia?

Erik Moreno: Yo creo que el primer paso es dejar de pensar que la seguridad de la información y la ciberseguridad son un aspecto meramente tecnológico. Sin temor a equivocarme, creo que ahí es en donde está el principal error al definir una estrategia de ciberseguridad, independientemente del tamaño de la organización, sea una pequeña o mediana empresa, una empresa corporativa o una gran organización enterprise.

Una vez que cambiamos esa mentalidad, vamos a redefinir qué sí es ciberseguridad. Y la ciberseguridad debería partir, en estos pasos iniciales de las organizaciones –que pudieran o no tener una estrategia–, de una visión de riesgos tecnológicos. Con base en estos riesgos –al definir y determinar estos riesgos, y en la calificación de los mismos–, vamos a poder establecer una estrategia tecnológica de ciberseguridad con la cual podamos minimizar, mitigar o tratar de mejor manera estos riesgos tecnológicos. Entonces sí [podremos] sentirnos mucho más cómodos con esta estrategia tecnológica, porque la tecnología que hemos adaptado o que hemos comprado, y que hemos integrado en nuestro ecosistema tecnológico de ciberseguridad, va a estar cubriendo esas grandes preocupaciones que tiene la organización.

Pero este no es un camino de una sola iteración. Yo creo que un punto importantísimo aquí es que, así como las organizaciones van evolucionando, van creciendo, año con año van modificando sus objetivos comerciales y del propio negocio, que de igual forma la estrategia de ciberseguridad tiene que ir evolucionando. Si pensamos –y creo que aquí estaría el segundo gran error– que una vez que completamos este ciclo, esta iteración de ciberseguridad, ya estamos cubiertos, sería una equivocación. Tenemos que volver a correr estos ciclos de iteraciones, en términos de ciberseguridad, para volver a cubrir los riesgos y lograr la ciberresiliencia.

Hoy, [eso es lo que buscamos] como profesionales de ciberseguridad. No estamos buscando proteger a la organización al 100%, porque sería una utopía, pero sí buscamos que las organizaciones se recuperen en el menor tiempo posible, y con los menores impactos hacia el negocio, ante cualquier amenaza que no está bajo nuestro control.

En una columna reciente comentaste que la inteligencia artificial generativa puede aplicarse en ciberseguridad para fortalecer el tema de la cultura. ¿Cómo funcionaría este uso de la IAG?

Erik Moreno: Aquí en Minsait tenemos desarrollados esos casos de uso. ¿De dónde surgen? Hoy día, los ataques de ingeniería social y de phishing, los ataques que van dirigidos hacia las personas, están utilizando inteligencia artificial, y nosotros tenemos esta percepción orientada bajo ese principio en términos no de atacar, sino de proteger. [Por eso], las estrategias de awareness o de concienciación deben contemplar no nada más mensajes estáticos, sino crear simulaciones de ataque para poner en antedicho a los colaboradores de nuestra organización.

Y esa simulación de ataque no debe ser nada más en los famosos tabletop, o en ejecuciones en papel de qué es lo que podríamos hacer, sino que tenemos que utilizar la inteligencia artificial –la estamos utilizando hoy día– para generar ataques controlados de phishing e ingeniería social, en los cuales el lenguaje ya no sea el típico lenguaje de un phishing tradicional, que puede tener hasta faltas de ortografía. Hoy utilizamos la inteligencia artificial para conocer el comportamiento de las personas en términos de sus funciones, y simular ataques específicos a ese perfil: [alguien de dirección, alguien de operación o que gestiona una planta operativa, gente administrativa o de tecnología.] Estamos utilizando la inteligencia artificial para focalizar muy bien estos ataques de simulación, y poder poner en antedicho a cada uno de los colaboradores.

Por otro lado, también estamos utilizando la IA para crear contenido mucho más dinámico de dejar atrás esas campañas donde se lanzaban comunicados totalmente estáticos. Hoy sumamos los enfoques de campañas de redes sociales para poder crear contenido mucho más específico, más dinámico, con menor duración y con mensajes puntuales para terminar de amalgamar esta estrategia de concientización.

Además de los riesgos que ha traído la IA, ¿desde dónde crees que pueda venir la siguiente gran amenaza? ¿De la computación cuántica?

Erik Moreno: Sí, sin duda. Creo que estamos en una carrera de constante evolución. Aquellos ciclos de Moore y demás, en términos de avances tecnológicos, se están rompiendo con los avances en el procesamiento y en la mejora de los procesadores. Sin duda, con la computación cuántica, esas mejoras nos van a traer nuevas amenazas para la protección de los secretos.

¿Cuáles son estos secretos? Hoy seguimos confiando en las contraseñas, en las llaves secretas, para proteger la confidencialidad de la información y la integridad de los datos. Con estos avances tecnológicos, los ataques hacia estas contraseñas, hacia estas llaves privadas, van a ser mucho más rápidos de descifrar.

¿Qué hacer frente a esta constante evolución tecnológica? Va a ser un cuento de nunca acabar. Yo creo que la apuesta es en términos de la conciencia de las personas. Podemos tener avances tecnológicos en términos de amenazas y protección; sin embargo, si la persona –que creo es uno de los puntos más vulnerables de la organización– no tiene el nivel de concienciación del cuidado de la información, de la generación de contraseñas seguras, de la responsabilidad del cuidado de la misma y dentro de la cadena de valor de la organización, por más avances tecnológicos y amenazas que tengamos –como el cómputo cuántico que mencionabas–, y ayudas para proteger, la ingeniería social se va a hacer, y los humanos van a ser sus víctimas. Por más avances que tengamos, no vamos a poder con esa vulnerabilidad.

Pero ya deberíamos dejar de lado las contraseñas, no?

Erik Moreno: Exactamente. Ahí podemos hablar de otros temas en términos del cuidado de datos sensibles, los datos que nos identifican como personas, como los biométricos, etcétera. Mencionas un punto importantísimo: seguir basando nuestra seguridad en torno a la fortaleza de contraseñas es un tema que tenemos que evolucionar.

Tenemos que ir a estrategias passwordless. No nada más es confiar en los datos biométricos, sino también en las situaciones en las que está conectándose el usuario, en el comportamiento del usuario. Cuando sumamos comportamiento, más datos biométricos, más cuestiones que incluso nos ayudan a mejorar la experiencia del usuario, vamos a poder romper con este mito de las contraseñas. Más allá de temas de seguridad, una estrategia passwordless, una gestión de identidades, poder tener pleno control sobre la identidad (sea interna o externa) es la clave para romper el mito de las contraseñas.