En los últimos años hemos leído en los medios de
comunicación impactantes historias sobre "ciberataques" producidos
contra grandes empresas o gobiernos. Millones de registros personales son
robados, informes altamente secretos son divulgados, infraestructuras críticas
son destruidas o puestas fuera de servicio. La amenaza de un gran ataque
a estos grandes y preciados objetivos es diaria y atrae todo el interés de la
Sociedad.
Sin embargo, hay miles de otras historias que pasan
desapercibidas y afectan a millones de pequeñas empresas y ciudadanos en todo
el mundo. En un informe de PWC, citado por el portal Welivesecurity, en mayo
de 2014 se calculaba que se realizaban globalmente un promedio de 117,000
ataques por día, creciendo a un ritmo superior al 30% anual.
Mirando más cerca, un informe del INCIBE (www.incibe.es),
ex-INTECO, afirmaba ya en 2012 que una cuarta parte de las PYMEs en España
había sufrido incidentes de seguridad de la información. Y con la
presunción de que una gran parte de los incidentes no son reconocidos ni
siquiera identificados (la tasa de incidentes sube al 46% cuándo la empresa
contaba con un especialista en Seguridad).
Desde entonces todo hace pensar que esta proporción ha
crecido.
(Es interesante que la encuesta también confirma los
datos de la ENISA respecto a Seguridad Móvil en Europa, como comentábamos en
este post).
En marzo de 2015, Zeedsecurity afirma que, de todos los incidentes
de Seguridad en España, el 70% se focaliza en empresas con menos de 100
empleados. Y que España ya es el tercer país en cantidad de ataques,
según un par de estudios aunque es muy difícil medir esto en forma homogénea
por las diferentes formas de contabilización que existen.
Sin embargo, los estudios de mercado coinciden en
algo. La inversión en Seguridad está aumentando ligeramente en las
Grandes Empresas globalmente (en el orden del 5% según PWC, algo más fuerte en
Europa, pero lejos de los crecimientos anteriores), lo que confirma este
informe de ESET en Latinoamérica. Pero está disminuyendo en las PYMEs, tanto a nivel global
como en las distintas regiones, justo en el momento en que ocurre la mayor
proporción de incidentes en las PYMEs¿Qué está pasando? (por supuesto la definición de PYME siempre será
discutible). Para
entender lo que está pasando permítaseme una analogía con la batalla del
Atlántico en la II Guerra Mundial.
Como sabemos, el objetivo de la Alemania
nazi era interrumpir el abastecimiento de materiales, soldados y alimentos por
mar a Gran Bretaña, para obligarla a rendirse o, al menos, a neutralizar
cualquier acción ofensiva mientras durara la guerra con la Unión Soviética.
Para el responsable de esta misión, el Almirante Karl
Dönitz, la lógica de la batalla del Atlántico estaba basada en un principio
bastante simple: la "guerra del tonelaje". El desafío era
hundir más barcos que los que el enemigo pudiese reemplazar en el mismo período
de tiempo. Esto implicaba competir contra toda la industria naval del Imperio
Británico y de los EE.UU. (aunque este entró en guerra formalmente en diciembre
de 1941, siempre fue el principal proveedor de Gran Bretaña).
Basado en esta lógica, Dönitz dirigía a sus
sumergibles hacia las áreas donde se podía obtener el mayor número de
hundimientos al menor coste en pérdidas de submarinos. Si el enemigo protegía
el golfo de Vizcaya, ordenaba atacar la desprotegida costa americana. Si
el enemigo conseguía mejorar la vigilancia en la zona enviaba sus unidades al
Caribe. Y así.
La culminación de esta táctica fue la implementación
de las "manadas de lobos". Los Aliados estaban convencidos de
que la seguridad de sus barcos mejoraba concentrándolos en grandes convoyes.
protegidos por numerosos destructores, cruceros y portaaviones. Contra
esa medida, Dönitz replicaba concentrando grandes cantidades de submarinos
contra el mismo convoy. Apenas un sumergible detectaba uno, transmitía la
posición al Cuartel General en Paris y desde allí Dönitz ordenaba a toda unidad
cercana, navegar a toda prisa para concentrarse en un punto y lanzar un ataque
conjunto.
Durante mucho tiempo esta táctica dio resultados
impresionantes. A pesar de que las bajas alemanas era elevadas, las de los
Aliados eran lo eran mucho más. En marzo de 1943, se batió el récord
total de tonelaje hundido, mucho más de que los astilleros de los Aliados eran
capaces de construir, mientras que el número de submarinos no paraba de
crecer. De seguir con este ritmo de perdidas, la invasión de Normandía
(programada para el verano del año siguiente) no podría tener lugar y los
Aliados occidentales estarían neutralizados.
Sin embargo, en mayo de 1943, los Aliados lanzaron una
contraofensiva largamente planeada. Aviones en gran número, volando por
turnos, algunos desde tierra, otros desde portaaviones en diferentes
cuadrantes, cubrieron el Atlántico Norte las 24 horas. Un nuevo radar
aéreo permitía a los aviones detectar a los submarinos incluso de noche y
bombardearlos por sorpresa, cuando salían a recargar aire y baterías.
Decenas de corbetas ligeras y rápidas salieron a patrullar las costas por
turnos dando una gran protección al tráfico costero. Todo al mismo tiempo.
En menos de un mes, Dönitz se dio cuenta de que había
perdido. Los aliados hundieron casi 2/3 de los submarinos en el mar,
reduciendo al mínimo sus pérdidas. La ecuación se había invertido: ahora
eran los alemanes que perdían más barcos de los que podían construir, mientras
los aliados eran capaces de multiplicar su tonelaje. El Almirante Alemán
sabía que no podía seguir así o su flota de submarinos se extinguiría.
Manteniendo su fría lógica hasta el final, volvió a
buscar el equilibrio. Retiró a sus unidades supervivientes del Atlántico
Norte y las envió a rutas mucho menos patrulladas: el Atlántico Sur, la costa
sudafricana y el Oceáno Índico. Ya no podría barrer al enemigo, pero
intentaría obtener la mayor rentabilidad posible de su actividad reducida,
marginal. De esta forma redujo el número de pérdidas a un número tolerable y
volvió a "hacer rentable" la actividad submarina.
¿A cuénto de qué viene esto? Lo que está ocurriendo no
es tanto que estén aumentando los incidentes sobre las PYMEs, sino que
está disminuyendo la proporción de ataques efectivos sobre las Grandes
Empresas. Las enorme inversiones en Ciberseguridad realizada por
las Grandes Empresas y Gobiernos (según PwC, la inversión se duplicó entre 2010
y 2013), en los últimos años ha empezado a tener efecto. Los Grandes
Convoyes ya no son tan rentables.
En conclusión, la próxima generación de ataques quizás sea menos espectacular, pero no menos dañina. El gasto en PYMEs no aumenta porque no hay todavía percepción de este riesgo. Según diferentes estudios, los empresarios PYMEs siguen pensando que este es un problema de las grandes corporaciones o de los sectores de alto riesgo.
En conclusión, la próxima generación de ataques quizás sea menos espectacular, pero no menos dañina. El gasto en PYMEs no aumenta porque no hay todavía percepción de este riesgo. Según diferentes estudios, los empresarios PYMEs siguen pensando que este es un problema de las grandes corporaciones o de los sectores de alto riesgo.
Pero los que antes sufran o perciban la amenaza,
tendrán menos consecuencias, que los más tardíos, aunque, seguramente la
inversión en Seguridad en la PYME aumentará de todos modos en el corto
plazo. Posiblemente no es forma lineal, debido a que la industria buscará
soluciones más eficientes para atender a compañías más pequeñas y ganar escala.
Un último corolario. En el fondo Dönitz nunca
abandonó la ilusión de volver a disputar la batalla del Atlántico Norte.
Pero era consciente de que, para ello, necesitaba una profunda evolución
tecnológica que equilibrara la balanza contra la vigilancia aérea continua.
Apenas retiró sus submarinos del frente, puso a trabajar a sus ingenieros en
otras soluciones. El resultado fue el submarino Tipo XXI, capaz de
permanecer sumergido durante semanas y de navegar sumergido a grandes
velocidades, entre otras mejoras.
Moraleja: las Grandes Empresas no pueden
descuidarse. No deben bajar la guardia, pese al éxito que acompaña las
mejoras implementadas en sus esquema de Seguridad. El enemigo sigue
trabajando activamente en desarrollar nuevas amenazas efectivas contra sus
sistemas. Si la revolución digital ha llegado para quedarse, la Ciberseguridad
debe contemplarse como un requisito más del negocio (como la Seguridad Física o
los servicios energéticos). Al menos, en este aspecto, no creo que pueda
decirse que la guerra ha terminado.
PS. Por cierto las encuestas de PwC y el ESET indican
la importancia que las empresas dan a las acciones sobre sus empleados, como
elemento clave de la Seguridad de la Información, como preguntaba la gente de
Reporte Digital en esta nota que publiqué hace algunas semanas.
No hay comentarios:
Publicar un comentario