Las empresas suspenden en ciberseguridad

Los ciberataques en las empresas y Administraciones Públicas cada vez son más habituales. En muchos de ellos quedan comprometidos los datos personales de clientes o ciudadanos y ciudadanas, exponiéndose a que se comercialice con ellos en la Dark Web y terminen siendo objeto de estafas, robos de identidad, etc. Asumiendo que en primer término la culpa es de quien ataca y comete el delito, cabe también preguntarse si las organizaciones se están protegiendo como es debido. Y todo indica que no; lo denuncian los propios profesionales informáticos.

ISACA es una asociación que agrupa a más de 180.000 expertos en Tecnologías de la Información (TI) de 188 países, con más de 50 años de experiencia. La asociación acaba de publicar su Informe sobre el Estado de la Ciberseguridad en 2024 y los datos son demoledores: el 61% de los profesionales de ciberseguridad piensa que no cuentan con suficiente personal para hacer frente al aumento de las amenazas y más de la mitad (52%) afirma que tampoco cuentan con el presupuesto necesario, de hecho, ha vuelto a caer.

Tan sólo un 36% de los profesionales entrevistados considera que los presupuestos de ciberseguridad con los que cuentan son adecuados a las necesidades y el número de expertos que ven sus partidas algo infrafinanciadas ha subido cuatro puntos hasta el 44%. La situación no tiene ningún viso de mejorar, puesto que el 41% cree que los presupuestos para el año que viene se mantendrán estables, un 13% que se produzca un nuevo recorte y menos de la mitad (47%) que sí aumenten. En contraposición, el 55% de los expertos considera que el número de ataques que han recibido este año ha aumentado respecto al año anterior, culpando de ello mayoritariamente a los ciberdelincuentes (28%), hackers (20%) y las naciones y estados (13%), con los ataques de ingeniería social a la cabeza con casi un 20% del total.

El resultado es que los responsables de ciberseguridad en las organizaciones cada vez acusan mayores tasas de estrés: el 68% de los encuestados admite tener más estrés ahora que antes de la pandemia. De hecho, un 46% sitúa su nivel de estrés en niveles muy altos. Ello, unido al progresivo envejecimiento de las plantillas del área de ciberseguridad y la caída en los presupuestos de formación interna en materia de ciberseguridad pone cada vez más en jaque a las empresas y Administraciones y, con ello, a nosotros y nosotras mismas.

El informe de ISACA revela cómo por primera vez en los 10 años que se lleva realizando esta encuesta, el mayor porcentaje de encuestados tiene entre 45 y 54 años (34%), frente a la franja de 35 a 44 años, que se sitúa en el 30%. Como dato adicional que enciende las luces de alarma aparece el hecho de que ni ha crecido el número de encuestados menores de 34 años ni tampoco el de quienes gestionan personal con menos de tres años de experiencia. Los puestos de gerentes de ciberseguridad se encuentran en su nivel más bajo desde que se registran datos y las vacantes para puestos senior o de dirección han vuelto a caer por tercer año consecutivo.

Ante esta situación surgen iniciativas como la recientemente anunciada por Google, que acaba de suscribir un acuerdo con la Universidad de Málaga (UMA) para poner en marcha un programa de Seminarios de Ciberseguridad (Cybersecurity Seminarsque), inyectando en esta universidad un millón de dólares. La UMA se convierte así en la primera universidad española escogida a nivel europeo por Google.org -la rama filantrópica de la multinacional tecnológica- para poner en marcha este tipo de iniciativa, apoyándose en la Escuela Técnica Superior de Ingeniería Informática.

Google planea que este sea el inicio de un proyecto europeo hasta 2026 para fomentar la formación en ciberseguridad en el ámbito universitario, ligándola estrechamente a la Inteligencia Artificial (IA). Sólo en el caso de la UMA se espera formar gratuitamente al menos a 200 estudiantes brindándoles, además, la oportunidad de realizar prácticas.

En este sentido, el informe de ISACA advierte que el uso de la IA en operaciones de seguridad se encuentra en sus estados iniciales, con aplicaciones como la de detección y respuesta a amenazas (28%) a la cabeza, junto a la seguridad de los endpoints, esto es, los últimos dispositivos de acceso a la red como portátiles o sensores de IoT (Internet de las Cosas, por sus siglas en inglés) con un 27%. Le sigue, con un 24%, la automatización de las tareas de seguridad más rutinarias.

Tal y como expone literalmente el informe “el número de encuestados que reportan que ellos o un miembro de su equipo están involucrados en el desarrollo, implementación o adopción de soluciones de IA es desalentador”, puesto que casi la mitad (45%) indica que no participa en modo alguno en proyectos de este tipo. Algo parecido sucede en el caso de los proyectos de desarrollo de políticas de gobernanza de IA, lo que para los autores del estudio todavía es más alarmante si cabe, pues entraña el modo en que la IA se utiliza en las organizaciones.