La democratización de la ciberseguridad en las empresas exige más concienciación, capacitación y liderazgo, y la IA puede actuar como un revulsivo en este proceso. Así lo sostuvieron expertos del sector en la mesa de debate «Ciberseguridad empresarial: Desafíos y respuestas de la transformación digital» organizada por Economía 3 y celebrada el pasado 21 de febrero en la sede de S2 Grupo, compañía especializada en ciberseguridad.

En la segunda parte de la jornada (puedes encontrar la crónica de la primera parte aquí), participaron José Miguel Rosell, CEO y fundador de S2 Grupo; Rafael Rosell, director comercial, de marketing y de ESG de S2 Grupo; Carmen Serrano, subdirectora general de ciberseguridad de la Generalitat Valenciana; Pablo López, jefe del área de normativa y servicios de ciberseguridad de Centro Criptológico Nacional Computer Emergency Response Team (CCN-CERT); Oscar Alcobendas, director de innovación y sistemas de información de Itínere; Francisco Lázaro, gerente de ciberseguridad y privacidad de Renfe; José María Martínez, CISO de Ferrovial; y Luis Fernández, editor y copresidente de securmática de Revista SIC.

En el debate se reivindicó que el factor humano es fundamental para evitar ciberataques y que se necesita concienciar, formar y capacitar adecuadamente al personal en las empresas, además de identificar el talento.

Por otro lado, la IA fue una de las grandes protagonistas del encuentro, puesto que entraña, a juicio de los expertos, un grandísimo potencial en el mundo de la ciberseguridad. No obstante, también señalan que el principal reto es el coste que tiene implementarla, ya que por el momento está solo al alcance de las empresas con más recursos. Además, los participantes mostraron su preocupación sobre si estamos preparados para asumir los desafíos que plantea la inteligencia artificial.

La importancia del factor humano en la ciberseguridad

La información lleva a la concienciación, la concienciación a la formación, la formación a la capacitación y la capacitación a la seguridad en las conductas digitales. Todos los participantes coincidieron en que estas cuatro fases son necesarias para la interiorización de la ciberseguridad en las empresas.

Carmen Serrano señaló a este respecto que el aumento de la cibercriminalidad «no solo tiene que ver con fallos o vulnerabilidades tecnológicas», sino que en la mayoría de casos «se debe a los fallos de las personas». «Esa concienciación la vamos adquiriendo a base de golpes. Lo que nos pasa a nosotros o lo que le pasa al vecino es lo que nos hace reaccionar», observa la experta, que demanda una conducta más prudente: «No podemos esperar a que se produzca el incidente. Hay que estar preparados».

Carmen Serrano, subdirectora general de ciberseguridad de la Generalitat Valenciana. (Reportaje gráfico: Santi Burgos)

En relación a ello, Jose María Martínez corroboró que «el factor humano es clave». «En todos los ataques, el primer paso de entrada o compromiso suele ser el factor humano, bien sea mediante phishing, suplantaciones de identidad, etc». Por ello, el especialista cree que, más allá de la concienciación y la formación, la automatización debe ser fundamental: «Cada vez tenemos que depender menos del factor humano. Todo lo que podamos hacer para reducir la exposición al error humano, mejor».

Por su parte, Óscar Alcobendas lanzó una idea que al resto de los asistentes les pareció muy interesante: «La formación es implícita a la capacitación, pero la concienciación no. Puedes formar a una persona en algo y que no esté concienciada de ello». Con ello, el especialista de Itínere llama a dedicar recursos a la sensibilización destacando los peligros o riesgos que entraña el mundo tecnológico.

Pablo López respondió con un enfoque aún más radical: «A mí no me gusta hablar de concienciación o sensibilización, sino de capacitación. Hay que ir más allá para que lo interioricen». Algo que Francisco Lázaro aderezó concretando que «puedes estar formado, pero si no lo has hecho nunca, no estás capacitado».

En el entorno laboral, el experto de CCN-CERT expuso dos alternativas para conseguir esta capacitación. Una de ellas consiste en «realizar un diagnóstico sobre la persona trabajadora que permita averiguar qué tipo de comportamiento tengo como organización y que tipo de formación tiene que ser de obligado cumplimiento». Tras este «mapeo», el experto propone utilizar los resultados para crear una herramienta que proponga distintos planes de formación personalizados para capacitar a los empleados en ciberseguridad.

Pablo López, jefe del área de normativa y servicios de ciberseguridad del CCN-CERT. (Reportaje gráfico: Santi Burgos)

La segunda vía comentada por Pablo López fue la de la gamificación. Como ejemplo de ello, explicó que en el CCN-CERT han creado una plataforma que posibilita crear diseños curriculares que incluyen actividades recreativas como los scape room o la visualización de series que sirven para concienciar y capacitar mientras entretienen. Bautizado como Escudo Digital, este entorno interactivo de aprendizaje está teniendo un gran éxito en la organización, con 35.000 usuarios activos.

Jose María Martínez también respaldó la utilidad y el éxito que pueden tener este tipo de acciones: «En Ferrovial hace poco lanzamos una serie de capítulos muy cortitos de 5 minutos, con sus personajes, su trama y su evolución. Buena parte del trasfondo está relacionado con temas de ciberseguridad. Yo pensaba que no lo iba a ver nadie, pero hemos recibido felicitaciones e incluso nos están preguntando cuándo sacamos temporada nueva».

El ser humano sigue siendo confiado

Francisco Lázaro, por su parte, opinó que «el ser humano sigue siendo confiado y con los sentidos llegamos al corazón». «Es esencial que tanto la alta dirección como las personas trabajadoras entiendan que deben protegerse, porque están velando de esa forma por el negocio», especificó, en relación a la falta de concienciación sobre la seguridad en internet.

Algo parecido manifestó el CEO de S2 Grupo, José Rosell, cuando admitió no ser muy optimista con la concienciación: «Todavía se utilizan muchas contraseñas de 12345. ¿Qué estamos haciendo con la gestión de las contraseñas? Nadie las utiliza bien. Nosotros hemos hecho recientemente una auditoría a una empresa y hemos sido capaces de obtener 7.500 contraseñas de 14.000 únicamente con una maquinita y dos CPUs».

José Miguel Rosell, CEO y fundador de S2 Grupo. (Reportaje gráfico: Santi Burgos)

Para Rafael Rosell, director comercial de S2 Grupo, la clave para solucionar estos problemas reside en preguntarse «cómo controlamos la conducta de las personas que forman parte de nuestra organización». «Aunque suene feo, ¿qué riesgo introducen las personas? Desde el punto de vita conductual, ¿qué comportamientos nos llevan a problemas de seguridad?», planteó durante su intervención. No obstante, el experto apuntó  que también hay medidas técnicas que pueden evitar los errores humanos, por lo que «hay que tener en cuenta que hay veces que tiene sentido la concienciación y hay veces que no».

Rafael Rosell, director comercial, de marketing y ESG de S2 Grupo. (Reportaje gráfico: Santi Burgos)

Las claves de la concienciación y la capacitación

Acerca de este tema, Carmen Serrano concretó las tres acciones básicas en materia de concienciación y capacitación de los empleados: «Hay que hacer que entiendan la necesidad de seguridad y dónde está el riesgo; hay que darles formación para que sepan cómo aplicarla; y luego ponérselo fácil y darles herramientas para no usar mil contraseñas, que para el acceso no haya que dar muchos pasos, etc.».

La experta de la Generalitat Valenciana explicó que, aunque el personal que trabaja con herramientas cada vez tiene más claro por qué es necesario un comportamiento responsable en términos de ciberseguridad, todavía falta mucho para que la sociedad en su conjunto asimile esta conducta: «Esa necesidad de seguridad la tenemos que transmitir a los usuarios. Les construimos murallas, pero solo entienden la parte de incomodidad funcional».

Jose María Martínez también se mostró optimista en cuanto a la concienciación, sobre todo en los empleados. Y aunque reconoció que la concienciación es mucho más baja en el mundo de las OT (tecnologías operativas), aseguró que el ciberataque sufrido por el Oleoducto Colonial de Estados Unidos en 2021 supuso «un punto de inflexión respecto a la valoración de la importancia de la ciberseguridad en OT».

José María Martínez, CISO de Ferrovial Construcción. (Reportaje gráfico: Santi Burgos)

Luis Fernández afirmó que «basta con hacer un recorrido por las actuaciones públicas para ver el fracaso de nuestro país en la misión de intentar proteger a la ciudadanía». «Hace aguas la manera en la que nos aproximamos para proteger a la sociedad: no es lo mismo las empresas grandes que los ciudadanos y empresas pequeñas, que necesitan un baño mucho más consensuado».

El papel de la comunicación y la dirección en la toma de decisiones sobre ciberseguridad

José Rosell tomó la iniciativa en el debate para lanzar una nueva cuestión: «¿Tienen los directivos una percepción adecuada del riesgo que puede llegar a tener no prestar atención a la ciberseguridad en sus negocios? ¿Tienen un conocimiento suficiente?». «Muchos te preguntan qué deben preguntar para saber si están bien o no en términos de seguridad. Otros te preguntan si es verdad que un problema de este tipo puede paralizarles el negocio».

En respuesta a ello, Francisco Lázaro manifestó que «todos los directivos entienden que el ciberriesgo existe y tiene un gran impacto». Pero puntualizó que «si además de estar concienciado tienes formación, tienes criterio para tomar decisiones». «Defendemos que debe haber un responsable de ciberseguridad y que entre sus responsabilidades esté concienciar a la dirección. Debe tener un nivel determinado de reporte para comunicar el mensaje», agregó.

Francisco Lázaro, director de Ciberseguridad y Privacidad de Renfe. (Reportaje gráfico: Santi Burgos)

«Cuando llevamos el coche a un taller no tenemos por qué entender cómo funciona el airbag, pero alguien te tiene que decir lo importante que es tenerlo. Con los directivos pasa lo mismo. No tienen que entender exactamente cómo funciona, sino tomar una decisión con una información», ejemplificó el experto de Renfe.

José Rosell volvió a intervenir para hacer autocrítica: «Los expertos muchas veces hablamos en Klingon. No hablemos tanto de vulnerabilidades y de tecnicismos, hablemos con ejemplos. Hay que hablar en términos de negocio, no en un lenguaje que no entiende nadie. Nosotros mismos nos ponemos las cosas complicadas a la hora de comunicar».

En opinión de Luis Fernández, si un primer ejecutivo interioriza la ciberseguridad, estará más preparado para entender los beneficios. Sin embargo, planteó la cuestión de «cuánto hay que saber o qué nivel de comprensión sobre ciberprotección es necesario para interiorizarlo y saber qué decisiones tomar».

Claves para la transformación

Para Rosell, parte del problema radica en «obligar a implantar ciberseguridad a colectivos que no son conscientes de los problemas que podían tener». «Nosotros sí somos conscientes de lo que puede llegar a pasar. Por ello pensamos constantemente en cómo abusar de la tecnología, porque es lo que nos van a hacer a nosotros», aseguró.

Relacionado con esto, el fundador de S2 Grupo señaló que «debemos hacer auditorías de los sistemas de control, ya que nuestros negocios son totalmente dependientes de ellos». «La ciberseguridad es esencial en este proceso de transformación digital y clave a muy corto plazo para la continuidad del negocio», agregó.

Pablo López incidió, por su parte, en la utilidad de «escuchar a las entidades responsables de realizar el cambio» y «ayudarlas a transformarse». «No basta con hablar el mismo idioma que ellos para comunicar el problema, sino dar también la solución y acompañamiento. Si tienes un nivel de madurez, me parece aceptable, pero no todo el mundo lo tiene». Habla, por tanto, de «incentivar la interiorización ayudando a las empresas a llevarla a la práctica».

Acabar con el paradigma de la contraseña

«En 140 años de telecomunicaciones, el mayor fracaso de las tecnologías ha sido no ser capaces de incorporar una solución viable, generaalizada y no ortopédida para la identificación de las personas en los sistemas. Hemos hecho virguerías a nivel tecnológico pero aún seguimos con la contraseña. Ese es el gran error de la civilización digital». Así de contundente fue Luis Fernández sobre el hecho de que el mecanismo de identificación digital por antonomasia siga siendo la contraseña convencional.

Luis Fernández, editor y copresidente de securmática de Revista SIC. (Reportaje gráfico: Santi Burgos)

Y aunque el experto considera que la creación de un marco regulatorio de la IA y la progresiva entrada de los sistemas de identificación mediante biometría son pasos positivos, advirtió que esto puede tener derivadas peligrosísimas, por lo que deseó que «se celebre de una vez por todas un cónclave mundial con el objetivo de inventar una alternativa segura y eficiente a la contraseña».

«¿Es factible en el mundo de hoy tener contraseñas diferentes y robustas en todas las herramientas que tenemos? El paradigma usuario-contraseña hay que matarlo. El doble factor tiene que ser obligatorio», estimó José María Martínez, algo con lo que el resto de los convocados se mostraron muy de acuerdo.

Francisco Lázaro también corroboró que «no hay un gran mecanismo de autenticación». «Está el doble factor, nos sentimos a gusto con él», comentó, pero reconoció que este mecanismo puede no ser suficiente cuando el iPhone, por ejemplo, invita a los usuarios a que «compartan fácilmente su contraseña para acceder a determinadas aplicaciones» o cuando «se infectan los equipos», por lo que considera necesario innovar en los sistemas de acceso e identificación.

La IA en ciberseguridad: un futuro prometedor, pero también incierto y descontrolado

¿Cómo está revolucionando la inteligencia artificial las estrategias de defensa en ciberseguridad para empresas y organismos públicos? ¿Cómo está impactando la IA en la evolución de los sistemas de autenticación y gestión de identidades para reforzar la seguridad de los accesos? ¿Cómo podemos fortalecer el eslabón humano para no convertirlo en el punto más vulnerable de nuestra seguridad?

Son algunas de las cuestiones que lanzó Elisa Valero, socia directora de Economía 3 y encargada de moderar la mesa, para discutir el presente y el futuro de la IA en el sector de la ciberseguridad.

Elisa Valero, socia directora de Economía 3. (Reportaje gráfico: Santi Burgos)

Francisco Lázaro partió de algo obvio pero no por ello menos relevante: «La IA, como todo, se puede usar para el bien y para el mal». En el lado positivo, ha hablado de dos posibilidades: «Una es la de ayudarnos de todas esas herramientas para hacer un mejor análisis de la situación: y la otra es poder optimizar la respuesta». «Para ello la IA debe estar correctamente alimentada, contar con una buena tecnología y estar conectada a infraestructuras de calidad. Y esto está solo a la altura de determinadas empresas», concretó.

José Rosell señaló que «como toda tecnología disruptiva, la IA tiene un lado tenebroso que puede, y lo comenzamos a ver, ponernos las cosas muy complicadas en materia de ciberseguridad». «Por ejemplo, para los malos, ahora crear un Ransomware es mucho más fácil con la ayuda de esta tecnología».

Por otra parte, Rosell también indicó que «la IA también tiene un lado positivo y de igual forma que se puede utilizar para el ataque, nosotros la estamos utilizando para defendernos mejor. En consecuencia, hay que apostar por el uso de esta tecnología, ya que sin duda los malos ya lo están haciendo».

A ello se suma la imposibilidad de poner barreras: «La contención de esta tecnología es imposible. Está tan democratizado que es inútil. En el caso de la IA generativa, no veo la forma de atajarlo. El avance puede ser exponencial. A mí es eso lo que me preocupa: el crecimiento no controlado. Una vez abierta la tecnología, veo más el uso negativo, la facilidad con la que se crean los deep fakes». El especialista terminó su intervención con una reflexión: «¿Qué vamos a hacer con las pruebas en los procedimientos judiciales? Las pruebas desaparecen».

Óscar Alcobendas, en cambio, se mostró más optimista al apuntar que la IA no solo permite falsear la realidad o generar deep fakes, sino que «también tiene la capacidad de diferenciar lo real de lo ficticio». Con esta afirmación, Alcobendas se refiere a las posibilidades de la IA para la detección de falsificaciones o suplantaciones.

Oscar Alcobendas, director de innovación y sistemas de información en Itínere. (Reportaje gráfico: Santi Burgos)

«No nos imaginamos hasta donde puede llegar la IA. Hay cosas que ni se nos ocurren». Así de intrigado se mostró Jose María Martínez ante el potencial de la IA, cuyo poder, según el experto, radica en la capacidad de perfeccionamiento y en el crecimiento exponencial: «Es de uso abierto y lo va a poder aprovechar cualquiera, pero con una enorme escalabilidad que va ser clave».

El portavoz de Ferrovial habló de un uso de la IA que puede ser muy útil ciberseguridad: «Algo en lo que nos va a poder ayudar es con la concienciación y el factor humano. La teoría dice que algunos trabajos quedarán reemplazados, pero la IA va a ser un copiloto. Trabajaremos juntos con ella. Si la IA tiene claras cuáles son las prácticas, qué se puede hacer y qué no, podrá ser utilizada como fuente de consulta. También en el mundo OT: si al diseñador industrial le acompaña la IA, aunque él no tiene conocimiento de determinadas cuestiones, la IA le puede ayudar a introducir la ciberseguridad desde el diseño».

Por otra parte, Francisco Lázaro afirmó que «la IA tiene que evolucionar, como ocurrió con la firma digital». «Pensábamos que iba a morir, y ahí sigue», recordó, poniendo énfasis en la necesidad de que cualquier avance técnico debe pasar por un proceso de refinamiento, tanto de la propia tecnología como de los métodos que se usan para validar sus resultados.

Pese a su alarmante intervención anterior, José Rosell retomó la palabra para comentar también las enormes potencialidades de la IA en entornos controlados: «Nosotros la estamos usando en desarrollo, pero internamente, en nuestra nube privada. Conlleva un gran consumo, pero cuando entrenas bien a los algoritmos, el resultado es espectacular. Y si el resultado es espectacular, vas a poder convertir perfiles júnior en muy poco tiempo en perfiles sénior».

Con este objetivo, en S2 Grupo han creado una biblioteca de prompts para que los perfiles con poca experiencia puedan usar para trabajar más rápido. «Probamos muchos prompts y cuando ya tenemos uno fino, lo subimos a una biblioteca. Los júniors los usan para programar, crear reglas de correlación, etc. ¿Cómo va a impactar? No lo sé. Pero lo que estamos haciendo tiene resultados muy buenos con IAs puestas aquí. Y creo que va a repercutir bastante en el mercado laboral. Los niveles 1 de ciberseguridad desparecerán».

Carmen Serrano reparó en que, si bien las aplicaciones IA en ciberseguridad son numerosas y abarcan desde la automatización de la respuesta hasta la alerta temprana, existen «muchos problemas jurídicos y morales que están sin resolver».

Por su parte, Pablo López afirmó que hay que «utilizar la IA en nuestro beneficio», bajo el enfoque de «complementar».  Con esta idea, habló de emplear la IA como herramienta de «ciberinteligencia» para «analizar un problema y cuál es la posible solución». «La IA puede utilizarse para identificar tendencias, ver hacia dónde vamos, en qué nos tenemos que defender…», especificó.

El experto auguró que la IA puede servir para, a partir de una información y unos elementos dados, «mejorar la toma de decisiones y saber priorizar». «La inteligencia debe estar preparada para cada caso. Hay que crear algoritmos adaptados a problemas concretos. Por ejemplo, a la hora de diseñar una estrategia de defensa, puede ayudarnos a hacer análisis de riesgos, ver la mejor manera de aplicar determinadas medidas, contribuir a una mejor vigilancia…». «Pero habrá que esperar a que venga y adaptarnos a ella», anotó.

Rafael Rosell apuntó, por otro lado, que el «avance en inteligencia artificial aplicada a la ciberseguridad es asimétrico». «La defensa siempre ha sido mucho mas difícil que el ataque porque el ataque responde a un agujero o un problema de seguridad», agregó.

Recapitulando, la jornada se saldó con la constatación de que las empresas necesitan estrategias de supervivencia a largo plazo, y para ello no basta solo con la prevención y la concienciación en ciberseguridad, sino que también es necesario dotar de recursos para aplicarla.

También se manifestó que el factor humano es fundamental para evitar ciberataques, por lo que se necesita formación, pero también talento. En cuanto a la IA, se calificó como una tecnología cuyas posibilidades son inimaginables, pero en la que los principales desafíos serán el coste de implementación y la dificultad de contrarrestarla sin ir a remolque de su uso malicioso.