Informe ejecutivo sobre Ciberamenazas 2022: Un año en retrospectiva

La era moderna de la ciberseguridad no solo tiene en alerta a los defensores, sino también a los atacantes. El año 2022 estuvo marcado por la convergencia de tipos y motivos de ataque en un remolino de sabotaje, espionaje y hacktivismo, motivado cada vez más por la geopolítica.

Tanto las empresas privadas como las organizaciones públicas se encuentran entrelazadas en un vínculo de riesgo geopolítico, de ciberseguridad y de cadenas de suministro. Los directores generales que afirman estar expuestos a riesgos geopolíticos están tomando medidas. Casi la mitad afirma estar invirtiendo más en ciberseguridad o privacidad de datos, realizando ajustes en la cadena de suministro para aumentar la seguridad o replanteando dónde ubicar su negocio a medida que las alianzas políticas cambian rápidamente.

El 6º informe anual de PwC, 2022 Year in Retrospect, revela las nuevas tendencias de las ciberamenazas. Esta retrospectiva detallada sobre actores, técnicas y herramientas también apunta al año en curso, aconsejando lo que hay que tener en cuenta en 2023.

¿Qué significan los resultados para 2023?

El 2022 Year in Retrospect cubre varias tendencias en detalle. Aquí destacamos dos que los directores generales y los consejos de administración deberían comprender.

La ciberdelincuencia y las motivaciones los estados-naciones están convergiendo

Algunos estados-naciones, que compiten por la supremacía política, territorial y económica, utilizan tácticas, técnicas y tecnologías de ciberdelincuencia. Para estas naciones, la seguridad económica es la seguridad nacional. Pretenden obtener ventajas debilitando las instituciones y economías de los gobiernos rivales y robando información y secretos. Otros estados-naciones toleran e incluso dan cobijo a los ciberdelincuentes porque ello responde a sus intereses geopolíticos.

Los bolsillos de los gobiernos atacantes y su acceso a sofisticados actores de amenazas pueden ser formidables, quizás más allá de los recursos de las empresas objetivo. Las empresas deben saber que, cada vez más, los grupos organizados de ciberdelincuentes y los gobiernos podrían actuar de forma concertada.

Para adaptarse a estos cambios significativos, los defensores deben cambiar de rumbo. Reconociendo que sus recursos por sí solos no pueden igualar a los de los atacantes financiados por los estados-naciones, harían bien en asociarse con sus propias agencias gubernamentales.

El intercambio de información y las respuestas conjuntas entre el sector público y el privado están propinando un doble golpe incluso a los atacantes más nefastos, derribando a los principales actores y grupos de la ciberdelincuencia, un enfoque eficaz en 2022 que sigue ganando impulso.

El ransomware prevalecerá mientras existan objetivos lucrativos (y desprevenidos)

El dinero sigue siendo el principal motivo por el que los atacantes irrumpen en los sistemas y despliegan ransomware para bloquear el acceso de las víctimas a sus datos. Los ciberdelincuentes utilizan dos palancas de extorsión: paga para desbloquear tus datos y/o paga o liberaremos todos tus datos en Internet.

El número de ataques de ransomware sigue siendo elevado, y la razón es lamentable: muchas organizaciones no han tomado medidas básicas para protegerse.

Los ciberdelincuentes saben qué empresas son fuertes y cuáles débiles. Las empresas con seguridad en capas y defensa en profundidad, incluida la autenticación multifactor y las arquitecturas de confianza cero, no tienen tantas probabilidades de ser atacadas: los actores de amenazas tienden a ir por el blanco fácil. Después de todo, tienen mucho de donde elegir, ya que muchas empresas descuidan incluso los aspectos básicos de la ciberhigiene.

Siete preguntas (no retóricas) para debatir en la sala de juntas

Los consejos de administración quieren saber: ¿Cuál es nuestra exposición al riesgo de estos acontecimientos? ¿Cuáles de nuestras iniciativas estratégicas y empresariales aumentan esta exposición al riesgo? ¿Nos empujan más allá de nuestro apetito de riesgo? ¿Está actuando la dirección, incluidos el director de seguridad de la información (CISO) y el director de informática (CIO), con la rapidez suficiente para mitigar los riesgos?

Recomendamos que los directores de seguridad de la información y otros ejecutivos de la directiva estén preparados para responder a estas preguntas:

¿Tenemos cubiertos los aspectos básicos? ¿Hemos implementado la seguridad de defensa en profundidad, es decir, tenemos capas de defensa de modo que, si un mecanismo falla, otro se pone en marcha para frustrar el ataque? ¿Incluye una sólida gestión de identidades y accesos, supervisión continua y confianza cero? ¿Nuestro protocolo de escritorio remoto está orientado a Internet? Si es así, ¿lo hemos protegido adecuadamente?

¿Somos resilientes? ¿Conocemos a fondo nuestras dependencias críticas? ¿Hemos mapeado nuestros sistemas? ¿Hacemos copias de seguridad de nuestros sistemas y datos, y podemos acceder a ellos rápidamente?

¿Hemos puesto a prueba nuestros planes de gestión de crisis, recuperación en caso de catástrofe, continuidad de la actividad y gestión de catástrofes? ¿Tenemos un ejecutivo designado para dirigir estos esfuerzos en toda la organización?

¿Hemos previsto las decisiones que tendremos que tomar rápidamente en caso de ataque? ¿En qué circunstancias pagaríamos un rescate, si lo hiciéramos? ¿Disponemos de información sobre los daños potenciales -operativos, financieros, jurídicos, de reputación- para tomar una buena decisión? ¿Está nuestro proceso en consonancia con nuestros valores corporativos?

¿Hemos puesto a prueba nuestro plan de comunicación en caso de ataque? ¿Cómo informamos al consejo de administración y al director general? ¿Cómo y cuándo comunicaríamos un ataque dentro de la organización y a nuestros accionistas?

¿Tenemos un seguro cibernético y es adecuado para cubrir nuestras pérdidas? ¿Qué cubre? ¿Cubre el pago de rescates? ¿Cómo funciona? Si no tenemos seguro cibernético, ¿cuál es nuestro plan para cubrir el costo?

¿Hemos pensado en posibles nuevos conflictos geopolíticos? ¿Consideramos las normas de protección de datos, privacidad y ciberseguridad en un contexto más amplio, por ejemplo, que las naciones podrían estar utilizándolas para mejorar su propia competitividad económica? Cuando nos enfrentamos a una propuesta de ley de protección de datos o a sanciones económicas, ¿queremos seguir haciendo negocios en ese mercado a nuestro nivel actual, o en absoluto? ¿Merece la pena correr el riesgo? ¿Queremos reorganizar nuestra cartera, desplazando parte o toda nuestra atención a otros mercados? ¿Nos preocupa que nuestra propiedad intelectual pueda ser vulnerable? En caso afirmativo, ¿cómo podemos protegerla?

La confianza depende de que la balanza de la ventaja se incline hacia los defensores

Aumentando sus inversiones en ciberataque y ciberdefensa, ambos bandos afinan continuamente sus equipos, procesos y técnicas cibernéticas, como relata con todo lujo de detalles el 2022 Year in Retrospect. La buena noticia es la siguiente: los defensores ya no somos meras víctimas, sino que ahora podemos hacernos valer y ganar la partida.

¿Es imprescindible para las empresas? La defensa en profundidad unida a la inteligencia sobre amenazas en tiempo real. Los consumidores, los empleados y los inversores cuentan con ello; la confianza de la sociedad depende de ello.