Francisco Valencia es el CEO de Secure&IT, partner especializado en ciberseguridad que emplea a un centenar de profesionales. En esta entrevista, Valencia hace una valoración del panorama actual de ciberataques y adelanta las tendencias que veremos en 2024.
Además pone de manifiesto la contradicción que hay entre el hecho de que España sea uno de los países más cibertacados del mundo, mientras que sus empresas y organismos viven en “una falsa sensación de seguridad”.
También valora la irrupción de la IA generativa y explica cómo va a ayudar a los delincuentes a lanzar más ataques y más efectivos. Pero está convencido de que la IA y la automatización no deben ser la respuesta por parte de la industria. Y lo explica: “Si los ‘buenos’ somos capaces de automatizar la respuesta, los ‘malos’ lo van a aprender rápidamente y serán capaces de saltarse esta automatización”.
Valencia está convencido de que la industria de la ciberseguridad va a seguir necesitando muchos y buenos profesionales que se adelanten a las intenciones de los delincuentes. En otras palabras, que, más allá de herramientas de automatización, el sector necesitará expertos que apliquen “cabeza” y “arte” para hacer frente a ese tanto por ciento de ataques que todavía no se conocen.
Cómo fue el año 2023 en términos de ciberataques? ¿Cuáles son las principales tendencias que ha visto?
El año 2023 ha sido duro desde el punto de vista de los ciberataques. Ha supuesto un punto de inflexión, puesto que se han incrementado en un 30% con respecto al año anterior, y a esto hay que añadir su sofisticación. De hecho, el cibercrimen ha alcanzado un valor global cercano al 1,5% del PIB mundial, superando la suma de los otros tres grandes “motores” económicos en el mundo del crimen: el tráfico ilegal de armas, la trata de seres humanos y el mercado ilegal de drogas.
En cuanto a las preocupaciones de los profesionales del sector, nuestro ‘Estudio de la Ciberseguridad en España 2023’ revela que el ransomware sigue siendo el ataque que más preocupa, seguido por la exfiltración de datos y el phishing. Pero, más allá del incremento numérico, lo más preocupante es su evolución. Ya no estamos hablando de ataques que vienen del extranjero y se lanzan de una manera arbitraria y sin criterio, sino que están altamente localizados, con un conocimiento profundo de las políticas empresariales y de las operaciones internas de las organizaciones a las que se ataca.
Casi el 40% de los ciberataques del mundo tiene relación con LockBit
Otro de los aspectos a considerar es que, con el conflicto armado en Ucrania, empezó también la “batalla” en el ciberespacio. Las armas asociadas al mundo de la ciberguerra son muy accesibles en la dark y deep web. Esto ha generado una preocupante acumulación de “armamento” que puede usarse para atacar a cualquier empresa y administración del mundo. Además, la evolución de la tecnología, unida al instinto de supervivencia, ha provocado que muchas personas opten por el cibercrimen como vía para obtener solvencia económica, lo que, lógicamente, está influyendo en el incremento de ciberataques.
¿Cuál ha sido para usted el ataque más representativo de 2023 en España? Haciendo un recuento en CHANNEL PARTNER hemos visto muchos, aunque el del Clínic de Barcelona y el del Ayuntamiento de Sevilla se llevan la palma, al menos por repercusión mediática.
Los dos casos son bastante representativos y casi lo más relevante es el tipo de ransomware que les afectó. En el caso del Ayuntamiento de Sevilla fue LockBit y, en el del Clínic, fue RansomHouse.
Ambos son muy peligrosos. RansomHouse ataca al entorno sanitario en todo el mundo, aunque ha tenido menos impacto. Pero LockBit tiene un grandísimo auge. De hecho, casi el 40% de los ciberataques del mundo tiene relación con este malware.
El talento sigue siendo muy escaso, de hecho, se estima que hay unas 35.000 vacantes sin cubrir en el sector [de la ciberseguridad en España]
Gran parte de su éxito radica en dos aspectos. Por un lado, llevaron a cabo un programa de bug bounty (recompensas por la detección de errores) y pagaban mucho dinero a delincuentes que encontraran la forma de que las defensas evitaran este ransomware. Han contado con muchas aportaciones y eso ha logrado mejorar la efectividad del malware. La segunda de las claves es que LockBit es muy “atractivo” para los ciberdelincuentes que quieren alquilar un ransomware, ya que esta organización les da bastante margen a sus “afiliados”.
¿Cómo ha evolucionado en el último año la industria del ciberdelito? Parece que los malos cada vez están más organizados y son capaces de fabricar ataques de una forma más industrial.
La ciberdelincuencia está creciendo porque es más fácil entrar en ese mundo. Cualquiera puede convertirse en ciberatacante, acceder a la dark web y usar programas maliciosos como el ransomware. Los grandes operadores de ciberdelincuencia hacen que sea más fácil para sus “afiliados”, lo que ha llevado a un aumento tanto en la cantidad como en la diversidad de atacantes en todos los niveles: desde el crimen organizado, hasta individuos autónomos que utilizan las nuevas tecnologías para lanzar ataques y, en algunos casos, obtener ingresos. Esta situación, sumada a la tensión geopolítica global, ha generado una amenaza sin precedentes.
Además, el uso de técnicas de inteligencia artificial generativa va a ser más frecuente. Se utilizará para engañar a las personas, mediante suplantación de identidad y phishing, entre otros métodos. Estas herramientas también serán capaces de generar malware que pueda evadir las defensas de seguridad establecidas por los proveedores.
¿Hasta qué punto los ciberdelincuentes han empezado ya a beneficiarse de la IA para generar más ataques o sofisticar los que están lanzando?
La inteligencia artificial generativa la van a empezar a utilizar los ciberdelincuentes para suplantación y elaboración de malware. La que nosotros utilizaremos, como defensa, será la inteligencia artificial tradicional. La IA tradicional se emplea para diferenciar lo “bueno” de lo “malo”, mientras que la generativa puede imitar patrones de escritura y crear contenido falso.
Se prevé que la IA generativa sea empleada para engañar en diversas situaciones, desde la creación de interacciones en video hasta la redacción de correos electrónicos perfectamente adaptados al idioma y estilo de escritura de los usuarios. Además, este tipo de tecnología, especializada en la creación de software, podría también ser aprovechada para la generación de malware altamente sofisticado, capaz de eludir las defensas de los sistemas de seguridad existentes.
La inteligencia artificial generativa la van a empezar a utilizar los ciberdelincuentes. La que nosotros utilizaremos, como defensa, será la inteligencia artificial tradicional
Para defendernos ante esta amenaza emergente, se propone la integración de inteligencia artificial no generativa en los sistemas de defensa. Esta modalidad de IA se enfocaría en detectar diferencias y marcadores que distingan entre contenido auténtico y generado artificialmente. La ventaja temporal de, aproximadamente, dos décadas que tiene la IA tradicional sobre la generativa ofrece un margen para desarrollar y fortalecer las estrategias de defensa.
¿Cómo están las empresas españolas en cuestión de protección? ¿Son ya plenamente conscientes de los peligros y están invirtiendo activamente en tecnología y sobre todo formación de sus plantillas para hacerles frente?
Aunque cada vez son más las empresas conscientes de los riesgos y de la necesidad de fortalecer sus defensas, todavía queda mucho por hacer. España es uno de los países más ciberatacados del mundo y, a pesar de eso, no se encuentra entre los primeros puestos en cuanto a inversión en ciberseguridad. Todavía es una de las asignaturas pendientes para muchos organismos y compañías, que viven en una falsa sensación de seguridad.
En este sentido, las empresas españolas están priorizando la seguridad en la nube, la consultoría de cumplimiento y seguridad, así como la mejora de sus redes. Además, planean invertir más en servicios de seguridad, formación y, en definitiva, en estar mejor preparadas ante posibles ciberataques.
En general, sus principales preocupaciones están relacionadas con el acceso. Las vulnerabilidades en firewalls, sistemas de teletrabajo como VPN y sistemas expuestos en la web son las más preocupantes, ya que los ciberdelincuentes las utilizan rápidamente. Identificar y mitigar estas vulnerabilidades es clave para evitar robos.
¿Cómo ve las cosas en la Administración pública?
Se están poniendo las pilas, unos años más tarde de lo que les tocaba, pero, en general, todavía están muy deficientes. El Esquema Nacional de Seguridad (ENS) sigue teniendo una baja implementación por parte de la administración pública. Y creo que hay mucha preocupación, pero poca ocupación por parte de la administración local.
España es uno de los países más ciberatacados del mundo y, a pesar de eso, no se encuentra entre los primeros puestos en cuanto a inversión en ciberseguridad
Parte de la culpa de esto la tiene la falta de consecuencias, ya que si un responsable de una administración no pone seguridad, tampoco le sucede demasiado: no hay un coste político alto, no hay un coste económico, no hay un régimen sancionador para el político de turno que no ha tomado la decisión adecuada, etc. Así que están empezando a poner medios, pero van lentos.
¿Cómo se presenta el 2024 para el mundo de la ciberseguridad y para empresas especializadas como la suya? ¿Cuáles son las tendencias que lo marcarán?
Los ciberataques evolucionarán significativamente en 2024, sobre todo si lo comparamos con años anteriores. Se prevé que haya una mayor influencia política en la generación y dirección de estos ataques, con conflictos como la guerra en Rusia, Israel y la situación política en España y Europa, incidiendo en su frecuencia y efectividad.
Se espera que los ataques sean más dirigidos y eficaces, focalizándose en personas VIP, especialmente aquellos capaces de tomar decisiones, como pagar rescates dentro de una organización. Los ciberdelincuentes aprovecharán esta situación y podrían hacerlo público si un ataque no se ha pagado debido a la negativa de un alto directivo, lo que probablemente aumentará la presión para que las víctimas paguen los rescates exigidos.
El ransomware, una amenaza persistente, se está convirtiendo en un triple chantaje y es probable que evolucione a un cuádruple chantaje con la inclusión del factor VIP. Esto implica un aumento en la presión ejercida sobre las víctimas para incrementar la probabilidad de pago de rescates.
En 2024 se espera que los ataques sean más dirigidos y eficaces, focalizándose en personas VIP
Además, se prevé un incremento de los ataques dirigidos a entornos industriales debido a su propensión a pagar rescates. También se anticipa un incremento en los ataques de robo de credenciales en entornos cloud, que afectará sobre todo a sectores como banca, aseguradoras y proveedores de servicios (un ejemplo de ello lo encontramos en el ataque de robo de credenciales que sufrió Orange recientemente). La falta de autenticación de doble factor puede facilitar estos ataques.
Otro aspecto destacado es el incremento previsto en los ataques de suplantación de identidad. Mientras que los métodos tradicionales como el phishing o el fraude al CEO eran relativamente burdos, se espera que la llegada de la inteligencia artificial generativa permita la creación de ataques mucho más sofisticados y difíciles de identificar como falsos.
¿Cómo ha ido el negocio específicamente para Secure&IT en 2023? ¿Qué ingresos ha tenido, cuánto ha crecido con respecto a 2022 y con qué plantilla ha acabado el ejercicio?
2023 ha sido un gran año para nosotros. Hemos crecido un 22%, un dato muy considerable ya que el sector de la ciberseguridad, en el ámbito de los servicios, ha crecido alrededor de un 12%. Como siempre, han experimentado un gran crecimiento los fabricantes y las tecnologías de seguridad porque hay más implantación y es más cara. Pero, como empresa de servicios, hemos crecido bastante por encima del mercado y eso demuestra que lo estamos haciendo bien. En cuanto a la plantilla, en la actualidad, la empresa la conformamos alrededor de 100 personas.
¿Cómo ve la configuración de la industria de la ciberseguridad en España? Lo pregunto porque en los últimos tiempos está habiendo muchas compras y fusiones entre partners especializados, en busca de mercado, pero también de un talento que sigue siendo muy escaso.
El mercado se está consolidando y esos es una fase normal en todos los negocios que crecen. Las grandes compañías van comprando a las pequeñas y, al final, lo que tenemos son menos empresas con una capacidad mayor, que van copando el mercado. Las pequeñas empresas que seguimos en el sector de la ciberseguridad nos hemos convertido en “boutiques”, frente a las grandes consultoras y organizaciones que compran empresas con la intención de comprar mercado, pero que, luego, no son capaces de ofrecer a los clientes la cercanía que el sector de la ciberseguridad necesita.
Y, por último, y hablando de falta de talento, ¿cómo valora este problema y qué soluciones puede haber para remediarlo? ¿Cree que la IA y la automatización de muchas tareas puede ser un recurso para combatirlo?
El talento sigue siendo muy escaso, de hecho, se estima que hay unas 35.000 vacantes sin cubrir en el sector. Yo considero que generar talento es responsabilidad de las empresas de seguridad (no solo captarlo y retenerlo), y eso pasa por establecer colaboraciones con centros de formación profesional o universidades, así como por impartir formación para ir generando cada vez más talento.
Las pequeñas empresas que seguimos en el sector de la ciberseguridad nos hemos convertido en ’boutiques
Con respecto a la IA o la automatización de tareas, creo rotundamente que no puede ni debe ser un recurso para combatirlo. Creo que la inteligencia artificial ha venido para hacer de una forma distinta las cosas que ya estamos haciendo, pero no cubre (por lo menos, no significativamente) la necesidad de personas que hay.
Hay que pensar que, si los “buenos” somos capaces de automatizar la respuesta, los “malos” lo van a aprender rápidamente y serán capaces de saltarse esta automatización. Así que siempre tenemos que ser capaces de identificar lo que un atacante hace y aplicar “cabeza”. La automatización está muy bien para todos los ataques que ya son conocidos, pero las personas son muy necesarias para ese uno o dos por ciento de ataques en los que el ciberdelincuente aporta su “arte”, por decirlo de alguna forma.