El ransomware está resultando mucho más costoso para las empresas. Los nuevos datos de la compañía de soluciones de riesgo cibernético Resilience revelan que, en la primera mitad del año, el coste medio de un ataque de ransomware aumentó un 17%. Por sí solo, se trata de un aumento considerable, pero es aún más notable si se tiene en cuenta que el número de empresas de la cartera de Resilience que denunciaron ataques se redujo a más de la mitad. En resumen, los ciberdelincuentes están atacando a menos empresas, pero están afectando mucho más a las finanzas de sus víctimas.
La nueva intensidad de los ataques se debe a métodos más perfeccionados. El informe señala que los ciberdelincuentes están utilizando la inteligencia artificial (IA) para la ingeniería social, lo que incluye correos electrónicos de phishing más convincentes, la infiltración en sistemas basados en navegadores y la suplantación de identidad de empleados reales. También están duplicando las demandas de rescate: piden uno para descifrar los datos y otro para evitar su divulgación pública. Además, los delincuentes están utilizando su acceso al sistema de la víctima para encontrar sus pólizas de seguro cibernético y utilizarlas para fijar el precio que deben exigir.
«Los incentivos económicos están llevando a los ciberdelincuentes a ser más inteligentes y creativos, y las empresas se enfrentan a pérdidas más mayores que nunca», afirmó Vishaal «V8» Hariprasad, cofundador y director ejecutivo de Resilience, en un comunicado. «La ciberdelincuencia se produce en oleadas. Los atacantes explotan una táctica hasta que los defensores se ponen al día, y luego pasan a nuevas debilidades. Comprender las consecuencias económicas de los ataques y los puntos de fallo más comunes es fundamental para detener esas repercusiones desde la raíz».
Evitar ataques devastadores es fundamental. Resilience sugiere que las empresas utilicen nuevas estrategias defensivas para hacer frente a estas amenazas específicas: mantener los datos cifrados de forma predeterminada, lo que dificulta su uso por parte de los ladrones; y utilizar más protección para mantener seguras las pólizas de seguro cibernético. La formación continua contra el phishing, así como una mejor formación de los empleados que responderían a los intentos de suplantación de identidad, también ayudarán a mantener la seguridad. Y una verificación más rigurosa de los sistemas de ciberseguridad de los proveedores también puede ayudar a mantener segura la información de su propia empresa.
Los incidentes de ciberseguridad pueden ser especialmente devastadores cuando se dirigen contra los sistemas de pago y los registros financieros, pero los nuevos avances globales y las expectativas de los clientes están creando una serie de nuevos puntos potenciales de ataque. Hablé con Ed Woodfield, director de seguridad de la información de la plataforma global de pagos corporativos PayQuicker, sobre cuáles son algunas de estas amenazas y qué hacer al respecto.
Cómo combatir los riesgos de ciberseguridad en los pagos en línea
En el mundo actual del comercio electrónico y la tecnología financiera, muchas transacciones se realizan en línea. Y, al igual que cualquier otra cosa que se hace en línea, existen muchos riesgos de ciberseguridad asociados a este tipo de negocios, amenazas que pueden ser mucho peores para una empresa, ya que afectan a sus finanzas. Hablé con Woodfield sobre los retos de la ciberseguridad en este ámbito y las posibles soluciones para el futuro. Esta conversación ha sido editada por motivos de extensión, claridad y continuidad.
PREGUNTA (P). ¿Qué hace que la ciberseguridad en este ámbito sea tan difícil? ¿Hay alguna forma de facilitarla?
RESPUESTA (R): Dependemos mucho de nuestros socios, ¿verdad? Necesitamos procesadores de pagos, bancos y hay cuestiones normativas, pero también hay muchos proveedores involucrados en ello. Trabajar en esas asociaciones está muy bien sobre el papel, pero los controles sobre el papel no protegen tanto contra las pérdidas.
Si utilizas API en las que no hay intervención humana, puedes hacer cosas integradas en la API. Puedes incorporar protecciones, puedes actualizar la API con socios, y eso es inmediato y está integrado. Pero seguirá habiendo interacciones manuales. La gente tendrá portales para hacer cosas y ver cosas, pero no querrán utilizarlos tanto. Quieren poder tocar un teléfono y simplemente hacer cosas.
Creo que el hecho de que la gente no quiera ir a los portales va a ayudar a poder hacer las cosas de forma más automatizada y rápida, y esa es una de las formas de limitar los efectos del fraude, y de poder hacerlo de forma dinámica.
Los ciclos de retroalimentación en la IA están bien, pero algunos LLM de IA se entrenan con una fecha de conocimiento: una fecha límite de su conocimiento de una versión a otra, aunque estén incorporando nuevos datos y sigan entrenándose para la siguiente versión. No es inmediato. Sigue habiendo un retraso. Hay algunas capacidades de aprendizaje, y eso es en lo que la gente está trabajando a medida que avanza.
Así que seguirá habiendo personas, ya sea en el ámbito del fraude o de la planificación financiera, que tendrán que ocuparse manualmente de la estrategia y de cómo abordar diferentes cuestiones. Incluso después de seleccionar esas opciones, se tarda un tiempo en implementarlas. Siempre hay retrasos, y es difícil hacerlo.
Creo que, de vez en cuando, hay algo que motiva cambios en las aplicaciones, las API y las regulaciones a la vez para decir: «Vale, ya hemos visto suficiente. Tenemos que hacer algo al respecto». Pero eso no ocurre ahora. Cada uno va a lo suyo, ya sea Estados Unidos frente a la Unión Europea con regulaciones diferentes, o el enfoque en los derechos de los consumidores. La banca abierta es una gran preocupación, no solo [porque] se van a enviar datos financieros a todas partes, sino también porque cuesta dinero.
P. ¿De qué debería asegurarse alguien a cargo de la tecnología y la seguridad de una empresa?
[R. Hay] múltiples facetas. Están los propios canales de pago, de los que hay que preocuparse, y es absolutamente necesario subirse al carro de la automatización y la IA. Los adversarios lo van a utilizar y puedes quedarte atrás, así que aprende sobre la IA y acéptala, aprende cómo quieres limitarla.
Asóciate con socios sólidos que también lo hagan por ti. El riesgo de terceros es una pesadilla para mí, pero es muy importante contar con estos socios porque se centran en cuestiones específicas. Están ahí porque son expertos en ello. Y si no lo haces, te supondrá un gran coste incorporarlo a la empresa.
En lo que respecta a la protección cibernética general, el phishing es la raíz de todos los males. Las estadísticas indican que entre el 70% y el 90% del ransomware realmente ha comenzado con el phishing. El compromiso del correo electrónico empresarial [también] ha evolucionado. Ahora se centra en el compromiso del correo electrónico de los proveedores, aproximadamente el doble de veces que el correo electrónico empresarial. Todo eso comienza con el phishing. En el ámbito empresarial, [tu trabajo] consiste principalmente en asegurarte de que tus empleados no hagan cosas malas. Si tus empleados se ven comprometidos, tus sistemas también podrían verse comprometidos.
Gran parte de ese enfoque en el phishing es simplemente concienciación sobre la seguridad. Enviamos información a nuestros empleados de forma repetida, incluso si se trata más de un asunto personal que de un problema de seguridad relacionado con la empresa. Les enviamos artículos y otras cosas constantemente para que adopten una mentalidad de seguridad. Lo dejamos abierto. Para nosotros, esta es una zona libre de juicios. Si alguien cree que ha hecho algo, solo tiene que decírnoslo. No vamos a regañarle. La gente me informa constantemente, y fomentamos esa cultura de seguridad. Crear una cultura de seguridad, especialmente para protegerse del phishing, es lo más importante que hay que hacer para proteger tu negocio.
Desde el punto de vista de las aplicaciones, mucha gente utiliza ahora la nube y no siempre cuenta con una buena protección. El CSPM y los CWPP han evolucionado hasta convertirse en CNAPP. Se trata de una plataforma de protección de aplicaciones nativas de la nube. Es la protección completa de la nube: no solo la protección y supervisión de la infraestructura, sino también la protección de las cargas de trabajo.
Es necesario contar con buenas protecciones en la nube. Mucha gente piensa que con solo ponerlo en la nube, ya está todo hecho. Pero no es tan fácil. Hay que seguir supervisándolo, y la supervisión es probablemente la parte más difícil de todo el mundo cibernético, porque hay que revisar una gran cantidad de datos.
P. Hay muchos problemas relacionados con los pagos: los pagos en general, mediante diferentes métodos, transfronterizos, los diferentes protocolos nacionales y geopolíticos que hay que seguir. Y la identidad significa algo diferente en cada lugar. ¿Cuál cree que es la solución? ¿Cree que se resolverá en un futuro próximo?
R. La parte técnica es la misma que siempre se ha hecho para las soluciones técnicas: se analiza un problema, se recopilan datos, se propone una solución y se comprueba cómo funciona, y se sigue haciendo eso repetidamente. Es un esfuerzo circular de mejora. Desde el punto de vista empresarial, hay que involucrarse en ello.
Creo que a veces hay una desconexión entre la parte técnica y la parte empresarial. Asegúrate de ver, cuando realices ciertos cambios: ¿cómo mejora eso tus resultados? ¿Reduce eso tu coste por fraude? Los directores financieros siempre han tenido un problema con la tecnología financiera. Tienen que hacer malabarismos para averiguar cuánto equilibrar el gasto para combatir el fraude: esta nueva herramienta nos ahorrará un millón de dólares cuando antes teníamos dos millones de dólares en fraude y luego nos costaba medio millón.
Muy bien, eso está genial. Funciona. Pero, como dice el viejo refrán, no se pone una valla de 10 dólares alrededor de una vaca que vale un dólar. No puedes permitirte gastar mucho dinero en esto. Tienes que hacerlo de forma iterativa, tanto tecnológica como financieramente. La clave es que el departamento financiero sepa exactamente lo que estás haciendo en tus programas contra el fraude y tus programas técnicos, para que puedas cuantificar cómo ha afectado a tus resultados. Luego, solo hay que seguir haciéndolo.
No creo que sea muy diferente de lo normal. Simplemente ahora ocurre mucho más rápido. Por eso tenemos que prestar atención a la IA y a las técnicas automatizadas: hay que adoptarlas o, de lo contrario, te quedarás atrás en el ámbito empresarial.
