La ciberseguridad no suele ocupar un lugar destacado en los grandes eventos tecnológicos. Es raro encontrar a un capo de la lucha contra los ciberdelitos entre las keynotes estelares de su Main Stage. No le falta, quizás por eso, cierto complejo de aguafiestas al sector.
En una de sus reuniones anuales, celebrada en Boston (EEUU), el CISO de Amazon Web Services (AWS), Steve Schmidt, nos reconocía que habían pedido a los expositores repartidos por el Convention and Exhibition Center que evitaran las gráficas apocalípticas y ese tipo de mensajes crepusculares que tanto gustan a sus equipos de marketing. En lugar de eso, el ambiente general invitaba a la celebración y al juego.
No hay buenísimo que valga. La realidad es que el mundo de hoy se parece más al Lejano Oeste sin ley que al paisaje urbano ordenado, justo, cartesiano, surgido de las revoluciones modernas, según proclaman a los cuatro vientos empresas de ciberseguridad como la española S2. En el e-Crime & Cybersecurity Congress que acaba de celebrarse en Londres no se han seguido, desde luego, las consignas del equipo de Steve Schmidt.
Los asistentes eran recibidos con frases como “la amenaza de la guerra cibernética tiene que ver con una reserva global de vulnerabilidades, acumulada por accidente como un subproducto de las continuas innovaciones en conectividad”. Un tema este, por cierto, que tiene mucha miga y que está directamente vinculado con ese generar innovación sin pensar en las consecuencias que la carrera de la inteligencia artificial ha devuelto a la actualidad.
El gran asunto que corría de boca en boca en el e-Crime & Cybersecurity Congress era, no obstante, de geopolítica crematística. Desde el 31 de marzo, Lloyd’s of London exigirá que todas las pólizas de seguro cibernético excluyan específicamente la cobertura de las pérdidas relacionadas con ataques o actos de guerra tras los que se encuentre un Estado.
La acción de los piratas informáticos respaldados por los gobiernos, cuyos ataques suelen tener fines políticos, puede «exponer al mercado a riesgos sistémicos” difíciles de gestionar, según ha comunicado este peculiar mercado (sindicato) de empresas aseguradoras y financieras británico.
Obviamente, la invasión de Ucrania ordenada por Putin ha inflamado la batalla, pero los ciberataques alcanzan a otros países, se multiplican, y ya no resulta sencillo determinar si su naturaleza es la de actos de guerra, o si se han convertido sencillamente en el nuevo statu quo global.
De hecho, Lloyd’s of London ha optado por no dejar nada a la improvisación y apostilla que se han acabado las coberturas para las pérdidas ocasionadas por los ataques cibernéticos de un Estado nación que “perjudiquen significativamente la capacidad de otro estado para funcionar” o su seguridad. Todas en general. Sean o no un acto de guerra. Punto.
También el Grupo Zurich se suma a esta iniciativa. Su director general Mario Greco, cree que ya no basta con centrarse en el cumplimiento del Reglamento de Protección de Datos (RGPD), porque eso supone pasar por alto el contexto global real. Hacerse trampas al solitario. “Debe haber una percepción de que esto no sólo va de datos… esto se trata de la civilización. Estas personas pueden perturbar gravemente nuestras vidas”, ha dicho recientemente.
Sí, las primas de seguros no dejan de aumentar a medida que las aseguradoras obtienen más datos sobre la frecuencia de los ataques y los daños que causan. Lo cierto es que una de las cuestiones a análisis ahora mismo consiste en, por qué no decirlo abiertamente, establecer un modelo correcto y fiable para fijar la prima a aplicar en cada caso.
Se han difuminado las fronteras entre los ciberespías, los ciberdelincuentes y los ciberejércitos. Como respuesta a ello, los reguladores están analizando la resiliencia operativa en sectores clave como el financiero. Entre sus prioridades han fijado algo tan aparentemente elemental como asegurar el mercado de pagos mayoristas.
En un mundo que se encamina hacia la creación de grandes ecosistemas de dispositivos conectados, ya sean empresas, ciudades, grandes infraestructuras e incluso comunidades de gamers en el metaverso, con la acción de la economía de plataformas capaz de convertir los coches y los aviones en oficinas, centros comerciales y centros de ocio, el tema de la ciberseguridad no puede resultar más imperativo.
Los expertos reunidos en Londres reconocen que no hay capacidad material de formar al número de informáticos que se necesitaría para protegernos, de modo que habrá que echar mano de desarrollos en automatización e inteligencia artificial. Ya no se trata, en cualquier caso, de un problema para entretener a los nerds del área de IT, sino de un desafío que requiere una respuesta estratégica de gestión de riesgos.