Javier Castro, de Stratesys, analiza el futuro de la ciberseguridad con la inteligencia artificial

La ciberseguridad se ha convertido en una de las principales preocupaciones para empresas y gobiernos por igual. La creciente sofisticación y volumen de los ciberataques exigen soluciones innovadoras y proactivas. En este contexto, Javier Castro, Director Asociado de Stratesys y líder del equipo de expertos en ciberseguridad, comparte su visión sobre cómo la inteligencia artificial (IA) está revolucionando la manera en que enfrentamos estos desafíos.

¿Cómo está cambiando la inteligencia artificial la manera en que las empresas se protegen de los ciberataques?¿Cuáles son los problemas más comunes que enfrentan las empresas en ciberseguridad hoy en día?

«Nos movemos en un contexto sin precedentes en el que el volumen y la sofisticación de los ciberataques está aumentando a ritmos alarmantes. Por poner un ejemplo, hace tan solo dos años, Microsoft detectaba 579 ataques de contraseñas por segundo en toda su infraestructura digital. Hoy en día, ese número ha aumentado a más de 4.000 por segundo.»

«Si sumamos, por un lado, el contexto actual de inestabilidad geopolítica y el uso de la ciberguerra como arma de desestabilización; y por otro el uso de tecnologías emergentes como la inteligencia artificial por parte de nuestros adversarios; nos encontramos en un momento clave para que las empresas empiecen también a incorporar la inteligencia artificial para reforzar sus capacidades de ciberseguridad y sacar el máximo partido a los recursos que tienen para defenderse. Ahora bien, la tecnología por sí sola no puede resolver los problemas, sin embargo, puede ayudar a los profesionales de ciberseguridad a rediseñar y simplificar procesos o flujos de trabajo y a descargarles de trabajos más rutinarios u operativos, como el análisis de información o la preparación de informes. Por ejemplo, según un informe de Microsoft, Security Copilot, la IA de Microsoft aplicada a herramientas de seguridad, como Microsoft Defender o Sentinel, puede ahorrar a los analistas de seguridad hasta un 40% de su tiempo para completar tareas de investigación. Además, para otras tareas rutinarias como la elaboración de informes, puede llegar a ahorrarles hasta un 60% del tiempo».

«En este sentido, considero que la inteligencia artificial puede ayudar a los equipos de seguridad de las empresas a afrontar muchos de los retos que enfrentan en el contexto actual, entre otros»:

• En la protección de la información, asistiendo en la identificación, clasificación, etiquetado y protección de información sensible allá donde se encuentre. Por ejemplo, coordinándose con sistemas de prevención de fuga de información y respondiendo en tiempo real bloqueando o cifrando datos sensibles para evitar su exfiltración.
• En el ámbito de la gestión de accesos y autenticación, fundamental como parte de una estrategia “Zero Trust”, analizando el contexto y comportamiento de los usuarios y adaptando el nivel de verificación y seguridad requerida para prevenir accesos no autorizados a cierto tipo de sistemas o información sensible.
• En la detección, respuesta y recuperación ante incidentes de seguridad. Por ejemplo, mejorando las capacidades de detección de las herramientas actuales, siendo capaz de filtrar eventos y descartar falsos positivos; asistiendo a los analistas en recopilar y resumir toda la información relacionada con el contexto de un posible incidente; también, generando scripts de automatización de respuestas; o documentando todos los detalles del incidente en un informe. También puede ayudarnos en la fase de “post-mortem” a extraer lecciones aprendidas de los incidentes y proporcionar sugerencias de mejora para la futura prevención.
• Más concretamente, en el caso de ataques de phishing o suplantación de identidad a través del correo electrónico, sms o incluso llamada telefónica (vishing), la IA puede ayudar a mejorar la detección y el bloqueo de estos ataques mediante el análisis del contenido del correo electrónico y la identificación de patrones, anomalías y lenguaje sospechoso.
• Por último, también puede asistir en el análisis e inteligencia de ciberamenazas, permitiendo el análisis de grandes cantidades de información para encontrar patrones y tendencias en foros o mercados “underground”, donde se orquestan los ciberataques. También pueden agregar contexto a la inteligencia de amenazas realizando tareas técnicas como el análisis de malware.

¿Cómo afectan las nuevas regulaciones de ciberseguridad a las empresas cotidianamente?¿Cómo pueden las empresas prepararse mejor para los desafíos futuros en ciberseguridad?

«En este contexto, los organismos reguladores llevan años trabajando en el desarrollo de directivas que obliguen a las empresas y administraciones públicas a reforzar su ciberseguridad. Durante el 2023 se han publicado una serie de directivas de ciberseguridad a nivel mundial que serán de obligado cumplimiento a partir de 2024, a destacar en Estados Unidos (con la regulación definida por la Comisión de Seguridad, “SEC”) y en la Unión Europea, con la directiva NIS-2».

«Estas directivas están dirigidas a empresas medianas y grandes de sectores considerados críticos para la economía y la sociedad, como el Energético, Transporte, Banca y Finanzas, Sanitario, tratamiento de aguas y residuos, infraestructura digital y gestión de servicios TIC, Espacio, y por supuesto la Administración Pública. Su objetivo es definir ciertas responsabilidades y obligaciones para dichas empresas, como adoptar medidas técnicas y organizativas para gestionar los riesgos de ciberseguridad y prevenir y minimizar el impacto de posibles ciberincidentes, así como notificarlos en tiempo y forma ante los órganos competentes. También introducen la responsabilidad de la alta dirección y sanciones millonarias para las compañías por el incumplimiento de las obligaciones de ciberseguridad».

«Además, estas directivas como NIS-2 contemplan también la seguridad de la cadena de suministro y las relaciones con los proveedores, lo que supone que las compañías que estén sujetas a ellas deberán exigir a sus colaboradores cumplir también con las mismas obligaciones y responsabilidades de ciberseguridad, lo que amplía el ámbito de aplicación de estas normativas a gran parte del tejido empresarial. Por lo tanto, aquellas compañías que no se vean afectadas de forma directa por esta normativa dado que no pertenecen a los sectores en alcance, deberán tomar también la responsabilidad de gestionar sus riesgos de ciberseguridad de forma proactiva con el objetivo de estar a la altura de los requerimientos de sus clientes, viendo en este sentido su ciberseguridad como un habilitador de negocio si quieren seguir colaborando con estas empresas».

«Otro punto a destacar es el énfasis de estas nuevas directivas en reforzar los procesos de continuidad de negocio y resiliencia operacional de las compañías. Dado que cualquier compañía puede ser víctima de un ciberataque, se espera que las empresas (principalmente las “críticas” para la economía y sociedad, pero también sus colaboradores) deben estar preparadas para responder ante incidentes de ciberseguridad siendo capaces de continuar con sus operaciones durante la contingencia y de recuperar sus sistemas y su información lo más temprano posible. En este sentido, las empresas deben conocer el contenido de dichas normativas y adaptarse a su cumplimiento de forma proactiva, no solo para evitar sanciones regulatorias, sino con el objetivo de reforzar sus propios niveles de ciberseguridad, estar preparados ante cualquier ciberincidente y contribuir a un entorno más ciberseguro».

«Para estar preparados ante los futuros desafíos de ciberseguridad, la mejor opción para las empresas es adoptar un framework de ciberseguridad reconocido, como el ENS (Esquema Nacional de Seguridad), o los de CIS o NIST, que definen los procesos mínimos de ciberseguridad que toda compañía debería implementar. Por ejemplo, NIST define 6 ámbitos de aplicación donde se estructuran estas medidas (Gobierno, Identificar, Proteger, Detectar, Responder y Recuperarse) y CIS define diferentes niveles de madurez de los requerimientos de ciberseguridad, para adaptarse a los diferentes tipos de compañías y sus necesidades».