El Creciente Impacto de los Riesgos de Ciberseguridad

Este articulo se va a publicar en el próximo número de la Revista Estratega.

En las últimas semanas hemos visto una seguidilla de eventos de ciberseguridad que nos deberían llamar a la reflexión.  El 7 de mayo, el Colonial Pipeline, el oleoducto que lleva combustibles desde Houston, TX a la costa este de los Estados Unidos, sufrió un ciberataque del tipo ransomware que bloqueó sus operaciones.  Para poder reanudarlas, tuvieron que pagar un rescate de usd4.4m en bitcoins a los hackers que lo habían perpetuado (según fuentes del departamento de justicia de los Estados Unidos parte de lo pagado fue recuperado unos pocos días después).  Entre el 13 y el 14 de mayo, los servicios de salud de Irlanda, sufrieron un devastador (sic) ciberataque en el que los hackers amenazaban con develar información sensible si no se les pagaba un rescate por los datos secuestrados.   Según fuentes del gobierno Irlanda, el problema se resolvió porque los mismos hackers les dieron el software para resolver el ataque sin exigir compensación alguna.  El domingo 30 de mayo, JBS, el principal productor mundial de carne, sufrió un ciberataque (también del tipo ransomware) que bloqueó sus operaciones en Australia, Canadá, y los Estados Unidos.  La empresa tuvo que pagar unos usd11m en bitcoins para poder recuperar sus sistemas y reiniciar sus operaciones.

Estos son sólo algunos de los ataques más famosos que aparecieron en las noticias del mes pasado.  A éstos se les suman ataques a universidades, empresas, gobiernos, etc.  Cada vez es más común ver que hackers disrumpen el normal transcurrir de la vida de las instituciones de manera imprevista y, generalmente, muy grave.  La tecnología, permite, además, que los hackers, perpetúen sus ataque a un objetivo situado en cualquier lugar del mundo, por lo que se caen las fronteras y la eventual protección geográfica que pudiera haber existido.  Además, la sociedad en general, y las organizaciones, en particular, generan cada vez más instancias de uso que son vulnerables a la ciberseguridad.  Las entradas para el cine o un evento deportivo se sacan por la web y se muestran en una app; los médicos indican los medicamentos para sus pacientes en los hospitales (o en las farmacias en algunos países) por sistema; los movimientos del sistema financiero son online, y los tickets aéreos son e-tickets, entre otros innumerables ejemplos.  Obviamente esto genera grandes comodidades e innegables ventajas, pero el costo en seguridad también es alto.

Esto preocupa a los profesionales del risk management que estudian los diferentes riesgos que afectan a las organizaciones.  De hecho, en el Allianz Risk Barometer, el estudio anual de riesgos de la empresa aseguradora alemana, el riesgo de cyber ataque está en el top tres desde hace ya varios años.  En la versión 2021, comparte el podio, con “Interrupción del Supply Chain” y “Pandemia”, con más del 40% de los votos.   En el Global Risk Report 2021, estudio realizado anualmente por el World Economic Forum (WEF), aparecen cuatro riesgos relacionados con la ciberseguridad entre los primeros diez.  Análogamente en el Top Risks for 2021, desarrollado anualmente por la consultora de riesgo político Eurasia, aparecen dos riesgos relacionados con la ciberseguridad en el top ten de los riesgos relevados en el estudio.  Ya en el ámbito local, en la última edición de la encuesta anual realizado por el centro de Gobernabilidad y Transparencia del IAE Business School, el riesgo de ciberseguridad aparece en el top tres de los riesgos que más preocupan a los compliance officers.

Como vemos, la ciberseguridad no es un tema menor, ni mucho menos ajeno a la preocupación en contexto de la gestión de los riesgos.  El problema es que no parecería que esa preocupación se vea materializada en hechos concretos y relevantes para disminuir su probabilidad de ocurrencia ni su impacto.

Una de las razones que favorece este aumento del riesgo, es el rápido cambio que hemos vivido en la tecnología en los últimos años.  La cantidad de puertas de acceso por la que diferentes stakeholders pueden interactuar con las empresas crece rápidamente. A las tradicionales páginas web interactivas se sumaron las diferentes apps que hoy ofrecen las empresas; la comunicación, que inicialmente se generaba entre computadoras, pasa a incluir una red de teléfonos, tablets, relojes, y todo tipo de otros artefactos conectados, desde lavarropas hasta autos, pasando por todo tipo de sensores.  Cada una de estas puertas de acceso, genera una gran comodidad, y muchas de ellas constituyen una ventaja competitiva.  Sin embargo, la comodidad generada por cada una de estas puertas se genera a un costo que, estamos descubriendo, puede ser muy elevado.  Haciendo una analogía con una casa, si viviéramos en un bunker con una sola de acceso, y sin ventanas, el riesgo de robo sería muy bajo, pero seguramente pagaríamos el costo de la incomodidad de un contacto con el exterior casi inexistente.  A medida que abrimos más puertas y ventanas en nuestra casa, tendremos mejores accesos, más posibilidad de salir a diferentes ambientes exteriores, una mejor vista, una mejor ventilación, etc.  Sin embargo, aumentará nuestro riesgo de que alguien entre a robar.  En términos de tecnología, hasta la irrupción masiva de internet a principios del siglo en curso, las organizaciones vivían en el equivalente a un bunker sin accesos ni salidas al exterior, y, en menos de dos décadas, pasaron a vivir en una casa con todo tipo de accesos.  Lamentablemente, la capacidad de controlar la seguridad de todos estos nuevos accesos no creció al mismo ritmo que su apertura.  Los resultados están a la vista, la ciberseguridad es uno de los temas preocupantes, pero la respuesta a esta preocupación parecería estar haciéndose esperar.

¿Qué deberíamos estar pensando en hacer al respecto?  Imaginen el impacto que tendría un ataque a algún servicio de primera necesidad.  Si una empresa de servicios públicos fuera atacada por ciberdelincuentes el efecto sería, potencialmente devastador, prefiero no ahondar en ejemplos, pero son bastante obvios.  A este punto deberíamos preguntarnos quién está regulando las capacidades de ciberseguridad de las empresas, o si cada empresa se está autorregulando en su ciberseguridad.  También sería interesante saber si existe suficiente cantidad de profesionales con el conocimiento necesario respecto de estos temas como para trabajarlo a un nivel sistémico.  Por otro lado, cabe preguntarse si las empresas tendrían el presupuesto suficiente para mejorar sus capacidades de ciberseguridad en caso de ser requerido por un regulador.  Este debate se reavivó con los recientes eventos de los hackers, muchas de las discusiones giraban en torno a una eventual regulación de ciberseguridad, y la prohibición del pago de rescate por los datos en los casos de ransomware.

En suma, y para cerrar, creo que deberíamos empezar a pensar, de manera sistémica e institucional, en la ciberseguridad.  Deberíamos abordar el tema tanto a nivel del organismo regulador para tutelar los derechos de la sociedad en su conjunto en ese respecto, como a nivel de las empresas como una herramienta competitiva, y a nivel de la sociedad en su conjunto como parte del escrutinio que los stakeholders hacen de las empresas con las que interactúan.  Si no lo hacemos seguiremos viendo ejemplos de ciberseguridad en los medios.