Estamos viviendo un incremento exponencial del volumen de datos generados (Smart cities, IoT, sistemas de control industrial, vehículos conectados, redes sociales, etc.), junto a la descentralización de los sistemas (computación en la nube y en la niebla, Blockchain), apuntan a un cambio de paradigma computacional y abren una amplia ventana de nuevas posibilidades en el campo de los incidentes y delitos cibernéticos.

Las nuevas tecnologías en el ámbito de la computación suponen sin duda una amplia serie de ventajas para la mayor parte de la sociedad. Los dispositivos conectados a la red y el volumen de datos que éstos generan crecen de manera exponencial. La comunicación entre agentes es instantánea (ej. nuevos protocolos 5G en dispositivos móviles) y el acceso a la información (si ésta no está restringida) es casi inmediato e independiente de la ubicación de cualquier petición. Además, los servicios que almacenan y gestionan dichos datos operan cada vez más en entornos descentralizados. No cabe duda de que la digitalización de nuestra vida cotidiana es ya una realidad.

La Comisión Europea, en su documento Estado de la Unión 2017 – Ciberseguridad[1] señala lo siguiente:

  • 80% de las empresas europeas han padecido un incidente de ciberseguridad en el último año.
  • En el año 2016, se produjeron más de 4.000 ataques de ransomware (secuestro de datos) al día
  • En algunos de los Estados miembros, el 50% de los delitos encajan en el marco del cibercrimen, sin tener en cuenta que muchos delitos convencionales incorporan evidencias digitales o han empleado medios de comunicación digitales en su perpetración.
  • Más de 150 países y 230.000 sistemas de todos los sectores sufrieron ataques cuyo impacto produjo problemas en sus servicios, incluyendo hospitales, ambulancias y otros servicios de carácter fundamental. Por ejemplo, WanaCry en 2017.

El cibercrimen es, por lo tanto, una de las preocupaciones más importantes de gobiernos, sociedades y las personas que las integran. Éste supone un gasto y riesgo elevados para cualquier organización (se estima en más de 500.000 millones de euros a nivel mundial), debilita la confianza en las Tecnologías de la Comunicación e Información y amenaza la paz y estabilidad internacional. No obstante, el mercado de ciberseguridad de la UE crece más lentamente que en otras regiones del mundo. El informe International Perspectives on Cybersecurity, publicado por ENISA resaltaba que, en el año 2016, el mercado de ciberseguridad de la UE estaba estimado en 20.100 millones de euros, valor superior a la media en comparación a otros mercados mundiales de ciberseguridad. No obstante, la tasa de crecimiento anual compuesto (CAGR, por sus siglas en inglés) de dicho mercado de la UE ha sido del 6%, mientras que la tasa de crecimiento promedio en todas las regiones ha sido de alrededor del 8%.

El informe Percepción pública de cibercrimen y ciberseguridad en la UE[2] desarrollado en el marco del proyecto europeo TRUESSEC[3], dónde se analizan los factores que influyen en fomentar la confianza hacia los servicios digitales, destaca tres áreas que afectan y preocupan a los ciudadanos europeos:

  • Cibercrimen:
    • 69% de la población es consciente de su existencia.
  • Procesamiento de información confidencial por parte de empresas privadas:
    • 73% cree que la información no está a salvo en las webs y bases de datos de las empresas.
    • Además, el 67% cree que dichas compañías no tienen pleno control de la información que gestionan.
  • Procesamiento de información confidencial por parte de instituciones y entidades públicas:
    • 65% considera que su información no está protegida correctamente y
    • el 90% considera que cada usuario debería poder encriptar libremente sus comunicaciones.

Teniendo en cuenta las diferentes áreas de preocupación mencionadas y las posibles variaciones socioculturales en esas áreas, las posibilidades de identificar un mecanismo simplista para generar confianza en los productos y servicios TIC son bastante bajas.

En un intento de concienciación, a lo largo de los últimos años se están llevando a cabo numerosas campañas orientada a informar y “formar” a los ciudadanos en la materia sobre los peligros del cibercrimen y sus consecuencias.

El informe mencionado anteriormente Estado de la Unión 2017 – Ciberseguridad arroja además los siguientes datos:

  • 69% de las empresas apenas tienen conocimientos del riesgo cibernético que corren sus activos.
  • 60% de las empresas nunca han estimado las pérdidas financieras que puede suponer un ciber ataque a sus activos principales.
  • 51% de los ciudadanos europeos consideran que no están bien informados acerca de las ciber amenazas

Queda por lo tanto claro que la poca efectividad de las campañas de concienciación, junto con el bajo conocimiento de los ciudadanos europeos en la materia, generan una “falta de confianza” hacia las TIC.

Solucionar dicho problema requiere ir más allá del análisis desde una perspectiva concreta, por el contrario, se debe optar por abordar el problema desde un enfoque multidisciplinar. Ello supone analizar la percepción de confianza de los ciudadanos en las TIC, desde perspectivas no sólo tecnológicas, sino también sociales, culturales, éticas y legales.

 

Involucrar más al usuario final

Las cifras de análisis de incidentes muestran que más del 50% de los incidentes se deben a errores comunes y básicos cometidos por usuarios finales[4]. Aumentar por tanto el grado de conocimientos y sensibilización de los usuarios, puede conllevar a un control de seguridad mucho más eficiente con relación al costo/beneficio que puede suponer un incidente de seguridad.

Se están llevando a cabo numerosas acciones de sensibilización y educación orientadas a formar a personas inexpertas en el campo de la seguridad de la información digital. No obstante, este campo no está creciendo en analogía con la digitalización de la sociedad. El margen de mejora en los ámbitos de la seguridad y educación, el conocimiento de los agentes encargados de la toma de decisiones, la capacidad del usuario en la gestión de la seguridad de sus dispositivos y aplicaciones, o la creación de métodos orientados a grupos objetivo que mejore su entendimiento en ámbitos concretos de la seguridad de la información es muy elevado.

Existe una laguna de expertos en este ámbito que no va acorde con las necesidades que exige la sociedad actual, que además parece intensificarse aún más en el futuro. Es necesario formar a hackers éticos (de sombrero blanco)[5] que permitan proteger los activos digitales de cualquier tipo de organización, empresa o institución. Dicha laguna conlleva no sólo a preguntarnos cómo podremos paliar esa falta de habilidades y conocimiento en el ámbito de la ciberseguridad y todas sus amenazas relacionadas, sino a intentar prever a cuántas áreas comerciales puede afectar esta “guerra” en el futuro.

No hay duda de que la comunidad de la seguridad de la información debe permitir y fomentar la ciberseguridad en todos los niveles de educación. Para alcanzar este objetivo, tanto ViU[6] como UPC[7] están impartiendo masters en Ciberseguridad, y recientemente se ha celebrado en Barcelona los Cyber Ethical Days[8], en los que se ha formado a los asistentes en el uso de herramientas para realizar tareas de hacking ético, entre otros temas.

 

 

[1] http://europa.eu/rapid/attachment/IP-17-3193/en/Cybersecurity.en.pdf

[2] https://truessec.eu/sites/default/files/evidence/d3.1_public_perception…

[3] https://truessec.eu

[4] https://searchcompliance.techtarget.com/feature/Verizon-Human-error-still-among-the-top-data-security-threats

[5] https://en.wikipedia.org/wiki/White_hat_(computer_security)

[6] https://www.universidadviu.es/master-ciberseguridad/

[7] https://www.talent.upc.edu/ing/professionals/presentacio/codi/221101/cybersecurity-management/

[8] https://cyberethicaldays.com/es/

Autor

Manel Medina Llinàs y Pablo López-Aguilar Beltrán

Director Académico en la Universidad Internacional de Valencia (VIU) y colaborador