“Soluciones de ciberseguridad con IA nos van a ayudar a ser mucho más eficientes para identificar y dar respuesta a los ciberataques cada vez más sofisticados y reducir el error humano”
Que la ciberseguridad y la protección de los datos se han convertido en uno de los puntales sobre los que se sustenta la digitalización de las empresas es una realidad. Las organizaciones de todo tipo de sectores y de tamaño tienen necesidades de protección cada vez más robustas ante el incremento en el número de ciberataques y la mayor sofisticación de las diferentes ciberamenazas.
Algunos datos importantes acerca del estado de la ciberseguridad de las empresas se pueden ver en el reciente informe Digital Defense Report 2023 elaborado por Microsoft: cada segundo se bloquean en todo el mundo más de 4.000 ataques relacionados con la autenticación de identidades; el número de ataques de ransomware, en sus diferentes variantes, ha pasado de 3.000 millones en 2022 a 30.000 millones en 2023; el phishing sigue suponiendo un serio problema para las empresas… El dato positivo que se extrae del informe de Microsoft es que, con una buena estrategia, las empresas se pueden proteger del 99% de las amenazas.
Con todo ello, entrevistamos a una de las principales voces del panorama de la ciberseguridad actual, Alberto Pinedo, National Technology Officer de Microsoft, que desgrana cuál es la situación actual de las organizaciones en torno a la ciberseguridad, cuáles son los retos a los que se enfrentan o qué va a suponer la irrupción de la inteligencia artificial en sus estrategias.
¿Cuál es el estado de la ciberseguridad en las empresas españolas?
Las ciberamenazas han crecido no solamente en España, sino a nivel global. De alguna forma, esto ha mermado la confianza en la tecnología y ha puesto de relieve la necesidad de mejorar las ciberdefensas a todos los niveles. La buena noticia es que hay un interés creciente en mejorar la seguridad y sobre todo lo que vemos en Microsoft es una mayor colaboración entre el sector público y sector privado.
Para entender esa necesidad de colaboración es necesario considerar el concepto de umbral de ciberpobreza, que es el nivel mínimo de recursos necesarios para una protección adecuada frente a las ciberamenazas. Nos estamos encontrando con muchas medianas y pequeñas empresas que nos están preguntando qué es lo mínimo que tienen que tener para subsistir en este mundo de ciberamenazas y cómo les podemos ayudar desde Microsoft.
¿Y cómo les ayudan?
Justamente ahora estamos trabajando con diferentes actores en España para proponer líneas de colaboración al gobierno que permitan ayudar a aquellas empresas que lo necesitan y que están por debajo del umbral de ciberpobreza. Y ahí tenemos una serie de activos y una posición muy buena, porque analizamos cerca de 65 billones de señales diarias, es decir, unas 750 millones de señales por segundo. Esto es algo que nos ofrece una visión muy precisa de lo que pasa en el mundo, sobre todo gracias a esos más de 10.000 analistas que tenemos, pero también gracias al uso de la inteligencia artificial. Todo ello, tal y como se explica en el informe Digital Defense Report 2023, nos permite bloquear alrededor de 4.000 ataques de identidad por segundo y controlar a cerca de 300 grupos de ciberdelincuentes.
¿No cree que, muchas veces, el problema es que las empresas no saben cómo desarrollar una estrategia de ciberseguridad? ¿Quizás hay un overbooking de soluciones en el mercado? ¿Cómo están afrontando las empresas los retos derivados de la ciberseguridad?
Sí, es verdad. No hablo de empresas grandes que sí tienen los recursos, sino de medianas o pequeñas empresas. Y es cierto que muchas no tienen definida una estrategia de ciberseguridad y funcionan en modo de silos. Nos encontramos con numerosas empresas que piensan que con un antivirus o con simular campañas de phising es suficiente. Otras tienen un nivel de madurez mucho más alto y lo que buscan es tener una estrategia de seguridad más completa y entonces incorporan herramientas para la protección de la identidad, para la protección del dispositivo o para la protección de la información.
Por otro lado, la ciberseguridad, quizás por lo compleja que es, no está tan interiorizada en algunas empresas como ocurre con otras tecnologías. Al final, lo que nosotros les decimos a las empresas es que la estrategia tiene que estar adaptada a sus necesidades, objetivos y a las capacidades que tenga la empresa. No es lo mismo una pyme de 20 personas que una empresa de 300 empleados. No tendrá los mismos recursos, ni los mismos objetivos, pero lo que les decimos en Microsoft es que lo primero que tienen que hacer es una evaluación de su situación, identificar cuáles son sus activos, y lo que quiere proteger. Tienen que identificar cuáles son las potenciales amenazas que puedan tener. Además, les enseñamos que no basta con desarrollar una estrategia e implementar una serie de soluciones, sino que es necesario estar vigilando de forma constante ya que no hay una estrategia de ciberseguridad infalible. Es decir, no hay riesgo cero y siempre existe un margen de incertidumbre o de imprevisibilidad que hay que saber gestionar.
En lo que respecta a los retos, yo destacaría cuatro. Uno, tiene que ver con la transformación digital que hemos vivido post-covid que ha ampliado la superficie de ataque y el grado de exposición.
El segundo reto es el talento. No hay y el poco que hay está muy solicitado. Otro elemento que también es importante es el cumplimiento del marco regulatorio y finalmente, pero casicreo que es el principal, la concienciación y establecer un conjunto de buenas prácticas para evitar los incidentes.
Es curioso lo del talento, porque sí que parece que a los jóvenes les atrae el mundo de la ciberseguridad…
Se trata de un reto, falta formación, pero también lo que sucede es que hay mucha demanda a nivel global y el talento se marcha a otros países. Muchas veces pensamos en el talento como algo muy patrio, pero es que hay que pagarlo. Al final también es importante poner las cosas en su sitio y pensar que el talento se está marchando porque no le estamos pagando lo suficiente.
La formación continua que siempre ha sido importante, ahora es imprescindible. Podemos convertirnos en un polo de atracción de talento digital y generar conocimiento en áreas específicas como Inteligencia Artificial y ciberseguridad. Hay que hacer un esfuerzo, por ejemplo, en que sea un sector más diverso. Hace unos meses anunciamos una ampliación de nuestra iniciativa de Competencias en Ciberseguridad, con un foco especial en la capacitación de las mujeres para reducir la importante brecha de género que existe en este sector tan crítico. Actualmente, las mujeres representan sólo el 25% de los profesionales en esta área, lo que pone de manifiesto la grave escasez de competencias en un campo de rápido crecimiento.
Se trata de un problema demasiado grande y urgente como para poder hacerlo solos. Administraciones Públicas, empresas, instituciones educativas y entidades sociales, debemos trabajar juntos en todo el mundo para mejorar y promover la capacitación digital en este ámbito.
Centrémonos ahora en el informe. Se asegura que las empresas se pueden proteger del 99% de los ciberataques. ¿Cómo nos protegemos en ese 99%?¿Qué sucede con el 1% restante?
Hay varias líneas básicas en la protección. Una es el establecimiento de una estrategia confianza cero. Es decir, verificación explícita, mínimos privilegios y asunción de brechas en los sistemas. A partir de ahí, lo que primero recomendamos es la protección de la identidad con sistemas de autenticación multifactor y luego pensar sobre todo en un buen sistema de detección y respuesta que contenga también la parte de antimalware.
Otra línea importante es tener los sistemas actualizados porque muchos de los ataques vienen por vulnerabilidades no parcheadas. Y finalmente, también es necesario tener un sistema de protección del dato allí donde esté. Teniendo en cuenta estos cinco elementos, lo que dice el informe es que se cubriría el 99% de los casos de ciberataque.
El 1% restante se corresponde con ataques más complejos de los que, por supuesto, también nos podemos proteger. Lo que sucede es que el informe quiere destacar que con unos umbrales mínimos de protección, se pueden cubrir el 99% de las amenazas.
El ransomware parece ser la mayor preocupación de todas las empresas. Cada vez ha evolucionando más. El estudio afirma que desde marzo- abril han empezado a reducirse los ciberataques. ¿Por qué?
Es una combinación de varias cosas. En Microsoft tenemos una Ransomware Task Force con la que vamos a donde más les duele a los ciberatacantes que es al apartado económico. Desde la Digital Crime Unit, la unidad de delitos digitales de Microsoft, lo que hemos hecho ha sido apostar por una estrategia que va dirigida al entorno financiero de los atacantes. Cuando detectamos o un cliente nos contacta denunciando un ataque de ransomware, con su permiso previo, nos coordinamos con la NCFTA (siglas en ingles de la National Cyber Forensics and Training Alliance) y con las autoridades locales con el objetivo de analizar el monedero virtual que se haya identificado para realizar el pago. Se analizan los detalles de comunicación, se hace un seguimiento en coordinación con las fuerzas y seguridad del Estado, se bloquea dicho monedero, tras el pago acordado, para devolver de forma legal el dinero a la víctima y se actúa para perseguir a los ciberdelincuentes y arrestarlos. En definitiva, utilizamos toda la tecnología y la información para interrumpir el pago del rescate y desincentivar el modelo de negocio.
Otros factores que han podido influir en el descenso de este tipo de ataques es que ha cambiado el modelo de ransomware. Antes se intentaba desplegar todo el cifrado desde dentro y ahora los ataques son en remoto, con lo cual las técnicas también varían. Además, las protecciones de los accesos remotos han madurado mucho en postpandemia, lo que ha dificultado el éxito de este tipo de ataques. Asimismo, el uso de servicios en la nube, con esa inteligencia global de seguridad que tenemos, nos permite detectar un ataque mucho antes y, por lo tanto, ofrecer mayor protección. Y obviamente, también influye el poder aprovechar las mismas herramientas que los malos tienen. La inteligencia artificial puede utilizarse de manera muy mala, pero también muy buena.
En esa línea va su herramienta Security Copilot, ¿verdad?
Sí, soluciones como Security Copilot nos van a ayudar a ser mucho más eficientes en la identificación y dar respuesta a este tipo de ciberincidentes y nos va a permitir reducir el error humano. Copilot es una ayuda. El piloto sigue siendo el analista. Es el que sabe conducir. Security Copilot es el encargado de ayudar en tareas que el analista tiene que realizar como automatizar, simplificar las tareas de gestión, la monitorización, la respuesta a incidentes o la generación de informes. Al final estos sistemas lo que hacen es aplicar la IA al mundo de la ciberseguridad y la ventaja que tienen es que son muy buenos manejando grandes volúmenes de datos, lo que permite detectar anomalías, para identificar patrones y responder de forma rápida y eficiente a los ciberataques.
¿Cómo nace Security Copilot?
Surge de la estrategia de la compañía de reunir a todas las áreas de Microsoft para el desarrollo de nuevas herramientas de ciberseguridad en torno a tres grandes ejes. Uno es el desarrollo de inteligencia artificial o la aplicación de esta tecnología para crear ese ciberescudo. Esto lo estamos haciendo en colaboración con el Centro de Inteligencia de Amenazas de Microsoft y el Centro de Análisis de Amenazas de Microsoft. Es decir, uno aporta inteligencia y otro aporta análisis. Security Copilot es el primer paso que se ha dado en esa línea.
Los dos otros ejes tienen que ver con los avances en la ingeniería de software para la protección de toda la cadena de suministro del desarrollo de nuestros productos y finalmente queremos buscar un compromiso, y esto es lo más difícil, a nivel internacional, de aplicación eficaz de las normas internacionales.
Vamos a la parte de inteligencia artificial más general. ¿Qué crees que puede aportar a los departamentos de ciberseguridad de la empresa?
Se trata un producto que compagina muchas cosas. Cuando pensamos en el uso que damos a Security Copilot y en su funcionamiento, estamos hablando de un modelo de lenguaje natural masivo que está unido a una inteligencia sobre amenazas global, que ya está testada, que se está utilizando y que es un activo importante. Y ahí estamos hablando de Microsoft Defender, Microsoft Sentinel, Priva, de Purview para datos y de Intune para dispositivos. Lo que se ha hecho es homogeneizar todo eso, incluso los datos de terceros para simplificar lo complejo, porque lo que estamos viendo es que lo que nos dicen las empresas es que tienen muchas herramientas y les cuesta mucho integrarlas, formar a la gente, conectar con todas las herramientas que utilizan en su organización y eso les complica todo mucho más. Entonces, simplificar lo complejo es uno de nuestros objetivos y es el valor que aportan estas soluciones de IA.
Otro punto importante es que la IA sea capaz de captar lo que otros potencialmente pueden pasar por alto. Y el tercer punto es la capacidad de la Inteligencia Artificial de potenciar el talento de los analistas. Al final, lo que se persigue cuando introduces una pregunta al Security Copilot, gracias a que está entrenado con ese conocimiento de inteligencia y seguridad global de Microsoft y que está conectado con el resto de herramientas, es proporcionar una visualización que ayude a entender el contexto completo de un incidente, el impacto que puede tener o los siguientes pasos que se tienen que dar.
Finalmente hablemos sobre cumplimiento. La directiva NIS2, establece un marco de seguridad para prevenir ataques. ¿Qué es lo novedoso que aporta la directiva y cuál va a ser el papel de Microsoft para que los clientes la cumplan?
NIS fue un paso muy importante que dio la Unión Europea para mejorar la seguridad de las redes y los sistemas de información en entornos críticos, como el transporte, la sanidad o la energía. Fue muy revolucionaria en su día, pero en la actualidad se queda un poco corta. Los nuevos retos de ciberseguridad no tienen nada que ver con los que vivimos cuando se lanzó esta directiva. NIS2 busca responder a la evolución de este panorama, al aumento de vulnerabilidades en los servicios esenciales. Y es una actualización que lo que amplía primero es el ámbito de aplicación. Pasamos a tener 18 sectores que potencialmente van a afectar a unas 160.000 empresas en la Unión Europea y que son de suma importancia, porque al final cualquier organización que opere dentro de la UE va a tener que cumplir con esta directiva. Incluye cinco grandes objetivos. El primero, sin duda, es reforzar la ciberseguridad con medidas más robustas, evaluaciones de riesgo, gestión de incidentes o seguridad a la cadena de suministro.
También amplía el alcance, normaliza la normativa o busca coherencia normativa, que es muy importante. Además, permite mejorar la resiliencia, haciendo mucho hincapié en las medidas proactivas y reactivas, pero sobre todo en las proactivas. Y luego establece unos criterios de responsabilidad mucho más estrictos en cuanto a los directivos, multas y consecuencias jurídicas en caso de incumplimiento.
De todos los principios que incluye, hay cuatro grandes bloques donde nosotros hemos puesto el foco. En este sentido, hemos publicado una guía para ayudar a los clientes a cumplir con la directiva y que mapea los requisitos con nuestros servicios. Lo que proponemos para todo lo referente a detección de amenazas y gestión de riesgos, es la suite de Microsoft Defender. Para dar una visión general de la postura de seguridad y una analítica en tiempo real, apoyada por inteligencia artificial, recomendamos Azure Sentinel. Para todo lo que tiene que ver con asegurar las operaciones internas y externas en la cadena de suministro, el uso de Microsoft Defender for Cloud Apps sería la opción idónea. Para asegurar el cumplimiento proponemos Compliance Manager. Y luego todo lo que es la seguridad extremo a extremo de los datos y de la información en plataformas, aplicaciones y proveedores cloud, con Purview. Realmente, no deja de ser una extensión de todas las características que provee Microsoft 365, que cubre los requisitos de seguridad, cumplimiento y de gobierno del dato. Esa guía es pública, accesible y lo que traslada es nuestra propia experiencia, porque nosotros somos proveedores esenciales, con lo cual, también tenemos que adaptarnos a la directiva y ya se está trabajando internamente en dar cumplimiento a la misma.