La relación entre ciberseguridad e inteligencia artificial está cambiando las reglas de juego en el entorno de las organizaciones: a veces favoreciendo, a veces dificultando y, en todo caso, cambiando nuestra forma de trabajar. Con Selva Orejón, licenciada en Ciencias de la Comunicación, fundadora y directora ejecutiva de Onbranding —firma especializada en protección de identidad digital y gestión de crisis—, hemos analizado de qué manera empresas y profesionales pueden afrontar las incesantes amenazas digitales.
Entrevista realizada por:
Rocío Celis
Periodista y socióloga
¿Cuáles son los principales riesgos en materia de ciberseguridad que tienen las organizaciones actualmente?
Los riesgos no son estáticos, van mutando en función de cómo va evolucionando la sociedad. Es muy importante estar siempre al día de cuáles son las nuevas situaciones que están generando estos cambios. Hay que entender que los riesgos, además de que van evolucionando, muchas veces no son únicos, sino que están integrados por multitud de circunstancias. Estamos en un contexto líquido —como diría Bauman— tanto desde el punto de vista político como económico, social y, por supuesto, tecnológico; estamos en un proceso de situaciones que son muy difíciles de prever. Con lo cual, creo que el mejor antídoto para estar preparados y hacer frente a estos riesgos es saber que siempre habrá alguna situación que no sea previsible. Con lo único que podemos trabajar es con aquellos escenarios que nuestra organización tenga más probabilidad de poder sufrir y, a partir de ahí, diseñar el mapa de riesgos con niveles de probabilidad. Lo primero es conocer nuestra organización, su contexto, el mercado en el que está operando, cómo va cambiando la sociedad a nivel nacional e internacional, y ser capaz de ir previendo los diferentes escenarios geopolíticos y cómo todo esto puede acabar afectando a nuestro día a día.
¿La IA aplicada a la ciberseguridad es una aliada o una herramienta de doble filo?
Lo veo por los dos lados. En lo que más nos deberíamos fijar es cómo la IA nos puede servir. Como profesionales de la ciberseguridad, nos está sirviendo para ser capaces de procesar grandes volúmenes de datos, que de otro modo sería muy difícil analizar, y extraer conclusiones en el mínimo tiempo posible. Para eso nos harían falta muchos más recursos humanos. Cuando nosotros estamos pintando escenarios, no lo podemos hacer solo con herramientas tecnológicas de análisis de inteligencia o análisis de intención, sino que siempre vamos a necesitar esa capa humana para pintar las diferentes situaciones y valorar los riesgos. Con la cantidad de ataques que se reciben a diario, eso sería mucho más tedioso sin la IA y, en consecuencia, también hay una reducción de costes. Por supuesto, las herramientas de IA no son gratuitas, pero sí hay que tener en cuenta que a día de hoy se están consiguiendo muchos más beneficios que nos acaban dando la razón. Pero del mismo modo, esto también les sirve a los criminales en el lado negativo. Al final, dependerá de cómo se utilice la tecnología, sobre todo, en temas de desinformación. Las campañas de desinformación son cada vez más efectivas porque se trabaja con IA desde esa vertiente.
«Las campañas de desinformación, hoy por hoy, son prácticamente incontrolables»
Sobre esta visión más preocupante, dice que estamos en el momento más tranquilo de lo que vamos a vivir respecto a las amenazas. ¿Qué podemos esperar?
Podemos esperar lo inesperado. Recuerdo el apagón que hubo en toda la península ibérica en abril, este podría ser uno de los escenarios que podríamos prever. A pesar de que el origen no haya sido un ciberataque —por lo que se conoce hasta la fecha—, esas podrían ser, por ejemplo, las consecuencias de un ciberataque a menor o mayor escala. No existe ningún servicio en este mundo que esté conectado a una red de telecomunicaciones y que sea capaz de aguantar cualquier situación. Al final, se trabaja de manera preventiva justamente para que estas situaciones que afectan tanto a la sociedad, si ocurren, se puedan resolver en el mínimo tiempo posible. Un ejemplo, que puede ser más cercano para cualquiera, podrían ser las campañas de desinformación que aprovechan la situación para sacar rédito. Aquí me gustaría introducir un concepto que son los ‘sesgos cognitivos’. Todos tenemos una serie de creencias y teorías que la experiencia que nos ha dado la vida nos ha hecho creer. ¿Qué ocurre entonces?, que cuando hay un evento de estas características, puede haber gobiernos, personas con sus ideales políticos, grupos criminales…, que quieran explotar esas vulnerabilidades y ahí es cuando entra en acción la IA. Si hemos estado haciendo una monitorización y nos hemos dado cuenta de cuáles son los sesgos que podemos identificar, una de las formas en las que se puede sacar rédito de estas crisis es justamente esta. Es algo que, hoy por hoy, es prácticamente incontrolable. Para mí, este sería uno de los escenarios en los que, por un lado, la IA más nos puede ayudar para darnos cuenta de lo que está ocurriendo y, por otro lado, más nos va a poner a los pies de los caballos porque es capaz de generar identidades en diferentes redes sociales y alimentarlas, sin que seamos conscientes de que quien está detrás no es un usuario.
Usted opina que hay que aportar mucho más valor humano a la tecnología. ¿En qué sentido lo dice?
Siempre, cuando estamos en el desarrollo de nuestro trabajo, tenemos que apoyarnos en profesionales de la salud mental y emocional que nos ayuden a poner los pies en el suelo. Uno se da cuenta de cuán importante es estar en contacto consigo mismo y ser consciente de qué es lo que tiene a su alrededor, porque hay una realidad que es la que vemos en nuestro día a día, pero luego, también está la realidad que cada uno lleva dentro. Esto, para mí, es algo principal porque siempre estamos conectados, las horas se dan por hechas, y cuando dejas de estar conectado, el choque es muy gordo. Podríamos hablar de personas que han empezado a manifestar ansiedad bastante grave. Si no estás en continuo contacto con psicólogos que te ayuden a hacer esta conexión con “cable a tierra”, es muy complicado gestionar situaciones de crisis. Y hablo no solo desde el punto de vista profesional, sino también en general. Dentro de cada empresa, recomiendo mucho poder tener ese apoyo no solo en situaciones de crisis, sino también en situaciones de calma.
¿Qué conocimiento tiene el tejido empresarial en España acerca de la ciberseguridad?
Es muy variado porque el ecosistema empresarial en España está formado en gran parte por pymes y por profesionales autónomos, pero también es verdad que hay un tejido de instituciones públicas y de gran empresa privada. El conocimiento es bastante variado en función de las experiencias que hayan tenido, y también de la legislación. Me explico. Cuando estamos hablando de multinacionales, sí o sí tienen que cumplir la legislación y además los propios empleados tienen que ser miembros muy activos en las formaciones que se imparten. Pero entre las pymes y los profesionales autónomos muchas veces ocurre que ya tienen suficiente con garantizar su continuidad de negocio cuando tienen un incidente de ciberseguridad, con lo cual, están más en el plano reactivo porque desde el principio no ha habido una educación en términos de ciberseguridad. Lo más importante es hacer estas labores de divulgación para que las pymes y los profesionales autónomos, que son una grandísima parte de este país, sean capaces de hacer frente a estas situaciones y lo tengan integrado en su día a día. Es algo que preventivamente nos va a ayudar muchísimo.
«La amenaza digital que puede afectar a la empresa es algo real y palpable»
Usted no concibe que puedan diseñarse los planes estratégicos de una empresa sin una estrategia concreta en ciberinteligencia, ¿no?
Claro, son dos cuestiones paralelas e igual de importantes. Todo lo que tenga que ver con ciberinteligencia lo podemos vincular más a un tema preventivo. Los informes de ciberinteligencia sirven para ver oportunidades de negocio, prever escenarios en el día a día, redimensionar sus recursos y evitar, o por lo menos minimizar, una posible crisis de ciberseguridad. Las pymes podrían empezar a ponerlo en marcha. Por ejemplo, el Centro Criptológico Nacional pone a su disposición una serie de herramientas y soluciones de software que les pueden ayudar, y hay muchísima formación gratuita a través del Instituto Nacional de Ciberseguridad. Lo primero de todo es levantar esa conciencia y tratar de asumir que la amenaza que puede afectar a nuestra empresa es algo real, palpable y acabará afectando a la cuenta de resultados.
Denos algunos consejos elementales de buenas prácticas en ciberseguridad.
Podríamos dividirlas en tres grandes líneas. Las primeras tienen que ver con el comportamiento del usuario, que claramente es lo más complicado a la hora de concienciar y lograr que esté todo el tiempo en alerta. Estas medidas requieren una formación continuada. El segundo gran tema es la configuración de nuestros dispositivos y nuestras propias redes, esto es importante tenerlo en cuenta. Hay muchas empresas que están utilizando todavía una forma de conexión que se conoce como bring your own device, es decir, que cada uno se trae su propio dispositivo, que Dios reparta suerte y ya ver que acaba pasando, si hay filtración o no. Es muy importante que seamos conscientes de que así se estaría exponiendo a la organización y a las personas que la integran a un riesgo bastante alto. Si no tenemos otra porque no tenemos recursos, lo mínimo es que el riesgo se pueda restringir al máximo posible a través de, por ejemplo, Mobile Device Management y Mobile Application Management [softwares]. La idea es que seamos capaces de dotar de herramientas que los profesionales puedan integrar en sus propios dispositivos —a pesar de que yo no soy muy fan de ello, pero si no hay otros recursos, mejor esto que nada—. Y lo último es cómo son nuestras comunicaciones: si nuestra conexión wifi es o no por cable, si utilizamos una VPN (red privada de navegación), si es gratuita o es de pago, si estamos utilizando conexión con teléfonos satelitales… Y de manera transversal, aparte de la formación, deberíamos tener siempre una vigilancia activa. Esto quiere decir que tengamos sistemas de monitorización para identificar vulnerabilidades y también la monitorización desde el punto de vista reputacional y de gestión de la propia marca, ya sea personal o corporativa.
¿Qué opinión tiene acerca del desarrollo normativo español y europeo para hacer frente a los problemas de ciberseguridad?
He tenido la ocasión de estar en el Parlamento Europeo y he podido compartir opiniones con otros profesionales del sector. Parece que de nuevo hay otras dos realidades paralelas. Por un lado, está toda la buena fe y la teoría más garantista, que considero que debe existir porque no podemos estar en el “lejano oeste digital”, tiene que haber unos mínimos y unas garantías. Y luego está la capacidad que pueden tener las empresas para ejecutar todas esas normativas y leyes. Esto es lo que yo creo que marca la diferencia: si, como empresas, vamos a ser capaces o no de llegar a implementar toda esa normativa. Ahí, las ayudas de los fondos europeos y de las comunidades autónomas juegan un papel tan importante como la legislación. Aun así, tengo que reconocer que los malos siempre van a estar por delante porque les da absolutamente igual la legislación, el Código Penal, el Código Civil y son muy conscientes de cuáles son las vulnerabilidades de nuestro sistema y de la falta, muchas veces, de coordinación entre la seguridad privada y la seguridad pública, así como de acuerdos internacionales con diferentes países. Esta es una carrera que nunca va a acabar.
