Cuando llegamos a los últimos días de diciembre, es usual que salgan análisis y comentarios de lo ocurrido durante el año transcurrido. En materia de ciberseguridad es una buena práctica también considerar los mayores incidentes, analizar los vectores de ataques más recurrentes y reconocer el actuar de los delincuentes informáticos, tanto para recuperarse ante un incidente en caso de haber ocurrido, como también para anticiparse, prevenir y evaluar riesgos dentro de cada organización.
Sin perjuicio de esto, es bueno tener una mirada anticipatoria de los principales problemas que podrían ocurrir dentro del próximo año, por lo que es recomendable conocer los desafíos y tendencias en ciberseguridad para el año 2023.
Lo que es transversal para distintos analistas, empresas de ciberseguridad y organizaciones del área, es que los costos de los ataques, brechas y acciones de los delincuentes serán tan elevados como el año 2022. Así, Para el 2023 se prevé que el costo del cibercrimen aumente hasta los 8 billones de dólares, según informe de Cybersecurity Ventures.
Para entender lo que significa este costo, extrapolando la cifra, sería la tercera economía más grande del mundo después de Estados Unidos y China. También representa la mayor transferencia de riqueza económica de la historia, pone en riesgo los incentivos para la innovación y la inversión, es exponencialmente mayor que el daño infligido por los desastres naturales en un año, y será más rentable que el comercio mundial de todas las principales drogas ilegales combinadas.
Por el lado, el crecimiento de inversión en ciberseguridad aumentará. Así, la empresa Fluid Attacks menciona que “la industria de la ciberseguridad ha tenido un desarrollo continuo en los últimos años y el 2023 no será la excepción. Se estima que el mercado global de ciberseguridad cierra el 2022 con un crecimiento de casi 156 mil millones de dólares y de 177 mil millones el 2023. Esta tendencia se debe a la importancia que ha tenido la protección y prevención contra ciberataques en el mundo empresarial”
Respecto a lo que se puede esperar en tipos de ciberataques y las medidas preventivas de la industria, existe consenso en algunas referencias, tales como:
- El phishing seguirá siendo una de las principales amenazas a las que se enfrentarán los usuarios. Este consiste en engañar y manipular personas y resulta altamente efectivo para conseguir robar información o instalar malware en sistemas empresariales. Para 2023, se espera una evolución hacia el “phishing geodirigido”, en el que los mensajes sean cada vez más elaborados, dirigidos a grupos poblacionales específicos y clickbaits más relevantes, con lenguajes característicos de distintas industrias o marcas, haciéndolos más difícil de detectar que el phishing tradicional.
- Lo exitoso y lucrativo que ha sido para múltiples grupos de delincuentes informáticos, harán que sigan poniendo al ransomware como uno de los principales ciberataques en el mundo. Se espera que los costos de esta modalidad sean cercanos a los 30 mil millones de dólares para el 2023. Comprender la totalidad de la situación alrededor del secuestro de datos se ha dificultado, debido a las pocas denuncias que hacen las víctimas sobre los incidentes.
- Ataques a Cadenas de suministro.
Muchas empresas de tecnología descuidan los componentes y software desarrollados por terceros y resultan gravemente afectadas cuando criminales empiezan a aprovechar fallas críticas que se encuentran en estos. Gigantes como Toyota, Nvidia, Samsung y SolarWinds ya han sido víctimas de este tipo de incidentes, pero incluso pequeñas y medianas empresas salen afectadas al usar el mismo software comprometido. Se ha informado que los ataques a la cadena de suministro de software crecieron más del 300% en el 2021 y se espera que su crecimiento continúe en el próximo año. - Uso de Deepfake para engañar y generar noticias falsas
El uso de inteligencia artificial (IA) se ha popularizado para distintos fines, incluyendo lúdicos y recreativos. Sin embargo, su uso indebido ha prendido las alarmas de los equipos de ciberseguridad, ya que por medio de la IA se puede crear, modificar o falsificar contenido de audio y visual con resultados bastante creíbles. Esto se conoce como deepfake, y ha logrado que circulen narraciones cautivadoras y engañosas para que los ataques de ingeniería social sean aún más efectivos. Este empieza a ser uno de los principales retos de la industria, ya que es una tecnología fácil y asequible para cualquier persona y facilita crear información para manipular opiniones o incluso obtener recursos económicos de usuarios y organizaciones. - Internet de las cosas (IoT)
En los próximos años, se espera que haya más de 64 mil millones de dispositivos desplegados y conectados a distintas redes empresariales, industriales y personales, ampliando la cantidad de puntos de entrada disponibles para los ciberataques. Los pocos controles de seguridad en equipos como sensores, escáneres, vehículos, cámaras, relojes inteligentes, aumentarán en el 2023 las oportunidades de ataques exitosos. Frente a esta amenaza, es necesario que los dispositivos se sometan a pruebas de seguridad continuas que permitan encontrar las vulnerabilidades, para así entrar a minimizar el riesgo que estas representan. - “Zero Trust” pasará de la idea a la realidad
Los beneficios de la nube se volverán todavía más atractivos en 2023. Frente a la incertidumbre económica, las organizaciones valorarán su rápida escalabilidad, además de poder brindar un mejor soporte a la fuerza de trabajo híbrida moderna.
Pero la adopción de la nube también borra el perímetro tradicional de seguridad. Este cambio llevará a Zero Trust del ámbito del concepto a una aplicación práctica generalizada. En un modelo Zero Trust, ningún usuario, servicio u otro elemento se autentica una única vez, en cambio, se requiere una verificación continua: se utiliza información en tiempo real de múltiples fuentes para tomar decisiones de acceso y otras respuestas del sistema.
Las organizaciones crearán, refinarán y compartirán las mejores prácticas para implementar un modelo Zero Trust, brindando orientación práctica que impulsará la adopción y mejorará los resultados.
Predicciones de una Inteligencia Artificial
A propósito de innovación y desarrollo tecnológico, también quise experimentar con la IA de ChatGPT, que es una nueva herramienta de inteligencia artificial que para muchos está revolucionando la escritura predictiva.
Lo que me respondió frente a la pregunta ¿cual crees que serán los grandes desafios de la ciberseguridad para el 2023? :
Es difícil predecir exactamente qué desafíos de ciberseguridad surgirán en el 2023, ya que la ciberseguridad es un área en constante evolución y es difícil anticipar qué amenazas surgirán. Sin embargo, es probable que algunos de los desafíos más importantes de la ciberseguridad en el 2023 incluyan:
- Ataques cibernéticos más sofisticados y avanzados: Los ciberdelincuentes siempre están buscando nuevas formas de atacar a las empresas y a los individuos, y es probable que veamos ataques cibernéticos más sofisticados y avanzados en el futuro.
- Amenazas de la Internet de las Cosas (IoT): La Internet de las Cosas (IoT) se está convirtiendo cada vez más en una parte integral de nuestras vidas, pero también presenta una serie de desafíos de seguridad. Es probable que veamos más ataques dirigidos a dispositivos IoT en el futuro.
- Ciberataques de ransomware: Los ataques de ransomware, que bloquean el acceso a los sistemas o datos de una empresa a cambio de un rescate, han sido un problema creciente en los últimos años. Es probable que estos ataques sigan siendo una gran amenaza en el futuro.
- Protección de la privacidad y la seguridad de los datos personales: A medida que más y más empresas recopilan y almacenan datos personales, es importante garantizar que se protejan adecuadamente. Es probable que veamos un énfasis en la protección de la privacidad y la seguridad de los datos personales en el futuro.
- Seguridad en la nube: A medida que más empresas migran a la nube, es importante garantizar que los datos almacenados en la nube estén protegidos adecuadamente. Es probable que veamos un énfasis en la seguridad en la nube en el futuro.
—————————–
Sin perjuicio de todas las predicciones y tendencia, es siempre importante tener en consideración el factor personal, el capital humano y competencias digitales para afrontar a las amenazas y ataques de ciberseguridad. Se estima que a nivel mundial, habrá 3,5 Millones de puestos de trabajo de Ciberseguridad sin cubrir en 2023, suficientes para llenar 50 estadios de la NFL, según Cybersecurity Ventures. Esto es superior a la estimación anterior de Cisco de 1 millón de aperturas de ciberseguridad en 2014.
Se estima que la tasa de desempleo de ciberseguridad está en cero por ciento (para trabajadores experimentados, no para puestos de nivel de entrada), tasa que se ha mantenido desde 2011. Esto porque el aumento de la ciberdelincuencia dará lugar a un número igualmente grande de puestos vacantes al menos para los próximos 5 años.
¿Y cómo estamos por casa?
En el caso de nuestro país, las tendencias y desafíos en ciberseguridad son plenamente aplicables. Pero en un sentido más local y con una mirada regulatoria, los principales desafíos en estas materias que se deberán resolver este 2023, podemos considerar:
- Actualización de la Política Nacional de Ciberseguridad y Ciberdefensa de Chile
Considerando los ataques a instituciones públicas y privadas durante el 2022 y tras una ausencia en actualización de Política Nacional de Ciberseguridad que tenemos del año 2018, es altamente recomendable y deseable que esta actualización se realice y se encuentre operativa a partir del 2023. - Nuevo marco normativo con relación a Ley Marco de Ciberseguridad e Infraestructura Crítica.
tal como es la tendencia en países desarrollados y hemos hablado sobre su actualización en la Unión Europa, Chile necesita que por primera vez tengamos aprobada una ley marco de ciberseguridad e infraestructura crítica. Estamos muy al debe y a pesar de que este proyecto se encuentra en primer trámite constitucional en el senado, la urgencia de regulación, los cambios sociales y sobre todo las amenazas en ciberseguridad, deberían acelerar el trámite en el congreso y lo ideal es tener una ley aprobada para el 2023. - Nueva ley de protección de datos personales
En un correcto entorno digital es altamente necesario que exista regulación que establezca derechos y deberes respecto a la protección de datos personales, datos que finalmente son el objeto de protección por parte de medidas de ciberseguridad. Sin embargo, si se cuenta con normativa que no proteja o que permita usos poco regulados en datos personales, desincentiva la correcta aplicación y conciencia de una cultura de ciberseguridad. Es por eso que del 2023 no podemos pasar sin contar con una regulación moderna y actualizada en este ámbito. - Uso de Inteligencia Artificial, IoT y foco en Ciberseguridad
El uso de inteligencia Artificial en instituciones privadas y también en organismos públicos va en aumento. Actualmente participo en una mesa organizada por la Subsecretaría de Prevención del Delito sobre uso de IA sobre todo para fines de colaboración en combate de crímenes y delitos, dentro de política de Seguridad Nacional. Sí echo de menos una mirada complementaria y necesaria a considerar del rol de la ciberseguridad como colaborador en la seguridad del uso de IA en estos entornos. Será necesario, por tanto, exigir estándares copulativos al uso de IA y también en uso de IoT o dispositivos que se conectan a internet en forma masiva, de medidas exigibles de ciberseguridad. No podemos esperar que pasen más años sin entender la necesidad de contar con una ciberseguridad adecuada al desarrollo tecnológico del país.
