No existe una solución mágica para la ciberseguridad

Funcionarios del gobierno en el EE. UU.. y el REINO UNIDO recientemente dio la vuelta de la victoria tras reportar una reducción del 15% en los ataques de ransomware. Irónicamente, ya que ambos gobiernos emitieron comunicados de prensa y tout rojo sus logros, estaba en marcha un bombardeo mundial de ransomware por parte de un presunto grupo de hackers rusos y chinos. Los ataques infectaron a una población estimada 5000 víctimas en Europa y EE. UU. con el ransomware, lo que demuestra la naturaleza de dos pasos adelante y un paso atrás de la lucha contra el ciberterrorismo.

Hace algunos años, el CEO de una importante institución financiera me llamó después de que su empresa sufriera un ataque en Internet. Cuando llegué a su oficina, es probable que los datos de los clientes ya circularan en la dark web. Como abogado de la empresa, tenía que determinar no solo qué había pasado, sino qué (y cuándo) podíamos decir a los reguladores y a los clientes. Se pensaba que el acceso a los servidores de la empresa lo había penetrado un proveedor de servicios externo. Cuando entrevistamos a ese proveedor, nos enteramos de que había obtenido el hardware y el software de otros terceros que dependían de otras partes (algunas en países extranjeros), muchos de los cuales demostraron un modesto sentido de la responsabilidad, en el mejor de los casos, por lo ocurrido.

En ese momento, empecé a darme cuenta de las falibilidades de una Internet que no se había creado para proteger todos los datos y el valor del planeta. Fue entonces cuando me di cuenta de lo difícil que es asignar la responsabilidad por los hackeos, sobre todo teniendo en cuenta el número de partes en la cadena y los errores que los humanos cometen inevitablemente en el proceso.

A medida que la frecuencia de las principales infracciones relacionadas con el ransomware y los ciberataques contra un panteón de agencias gubernamentales y empresas sigue sin disminuir, se plantea una pregunta clave para los ejecutivos de negocios: ¿cómo se enfrentan a un futuro virtual que puede contener más amenazas que beneficios?

[

Insight Center Collection

Managing Cyber Risk

Exploring the challenges and the solutions.

](/insight-center/managing-cyber-risk)

Las amenazas son numerosas. En los EE. UU., los ordenadores de uno de cada tres hogares han sido infectado con software malintencionado, y la información personal del 47% de los adultos estadounidenses ha estado expuesta a ciberdelincuentes. Quizás ninguna estadística diga más fuerte que la conclusión del gobierno de que cada día se hackean 600 000 cuentas de Facebook en los EE. UU.. Debemos esperar que estas cifras continúen e incluso aumenten. Entonces, ¿quién va a pagar por esto?

La administración Biden Estrategia nacional de ciberseguridad, publicado el 2 de marzo de 2023, intenta responder a esa pregunta. En parte, propone que la manera de superar las deficiencias estructurales de Internet es «correr más rápido»: básicamente, adelantarse a los ciberdelincuentes e imponer una mayor participación del gobierno en la ciberregulación. Eso no ha funcionado ni funcionará. Esto propone imponer sanciones de responsabilidad más estrictas por las infracciones al sector privado para modificar los incentivos económicos que recompensan ser los primeros y no penalizar a quienes persiguen beneficios e ignoran las normas de seguridad. Incluso si esa responsabilidad se impusiera inicialmente a los vendedores de software, sin duda se extenderá a las empresas de usuarios intermedios y finales. De eso, podemos estar seguros.

Hacer frente a este nuevo mundo de ciberamenazas se hará aún más complejo a medida que se desarrollen los próximos grandes avances digitales. Por ejemplo, 100 millones de usuarios descargó ChatGPT en solo dos meses para escribir ensayos, investigar y despertar su curiosidad, sin entender los riesgos que implica. Las tecnologías 5G unirán la omnipresente conectividad de persona a persona, de máquina a máquina y de persona a máquina, lo que permitirá una Internet de las cosas (IoT) perfecta. Que el IoT conectará a las personas, las mascotas, los electrodomésticos y las herramientas industriales, y las hará más capaces de operar, comunicarse, grabar, monitorear, ajustar e interactuar con una intervención humana mínima. La eficiencia empresarial de estas nuevas herramientas será enorme, pero también lo serán los riesgos. La conexión de productos, personas, transmisores portátiles y máquinas creará bases de datos nuevas y más grandes que se podrán almacenar, analizar, utilizar y utilizar indebidamente. Todo lo que esté conectado puede ser hackeado y todo estará conectado.

Y luego está la computación cuántica, que amenaza con dejar obsoleta la tecnología actual que utilizamos para proteger los datos y el dinero. Los informáticos estiman que el cifrado RSA de 2.048 bits que se utiliza más actualmente para proteger los datos podría funcionar con los superordenadores actuales Quedan 300 billones de años. En comparación, 4.099 ordenadores cúbits del futuro próximo podrán descifrar el mismo código en 10 segundos. Los expertos en la materia esperan desarrollar un ordenador cuántico con 1000 cúbits en los próximos años, lo que nos permitirá avanzar en el camino de proteger mejor o desmantelar aún más todos los sistemas de seguridad digital que existen en la actualidad. Que la computación cuántica sea, en última instancia, una amenaza o una mejora notable de la condición humana depende de quién llegue primero y de qué haga con ella. No por casualidad, China planea llegar primero y está gastando y superando rápidamente a los Estados Unidos en sus esfuerzos por hacerlo.

Por último, está el metaverso, la próxima generación de Internet que aumentará las apuestas y la dificultad de proteger el entorno en línea al difuminar aún más las líneas entre la conciencia humana y la de las máquinas.

Los gobiernos son incapaces de corregir la inseguridad de Internet por sí solos, y es poco probable que las empresas lo hagan hasta que el dolor económico de ignorar la inseguridad supere los beneficios que pueden obtener con ella. No hay soluciones mágicas más allá de reestructurar Internet para confiar más en las nuevas redes privadas seguras, especialmente para el funcionamiento de la infraestructura crítica. Eso requerirá que las empresas, los gobiernos y los usuarios de los países democráticos actúen juntos para transformar Internet en redes que se basen en la autenticación de las personas y no en las direcciones IP, impongan reglas estrictas de comportamiento en línea y mantengan una ciberpolicía (humana o automática) para hacerlas cumplir.

No será una tarea fácil ni popular, pero la alternativa del cibercaos y la posible desaparición de la electricidad, el dinero y los servicios de salud es claramente inaceptable. Un nuevo Internet también requerirá una nueva forma de supervisión, en lugar del estilo de policías y ladrones que hemos tenido. Esta nueva ola de regulación exigirá una forma de supervisión más descentralizada y colegiada en la que los sectores público y privado trabajen juntos para compartir datos y crear un consenso político. Todo esto necesitará tiempo y líderes fuertes para lograrlo. Parece que no tenemos mucho de ninguno de los dos en este momento.