Experto, empresario y autor, Peter Hacker es especialista en cambio digital, ciberdelincuencia y ciberseguridad a escala mundial. Su experiencia es solicitada por empresas, organizaciones internacionales y regionales, autoridades reguladoras y agencias de calificación. Peter Hacker es el fundador y director general de Distinction.global, un grupo de reflexión independiente y de ámbito mundial sobre ciberseguridad y transferencia de riesgos con sede en Suiza. 

En la entrevista, Hacker habla de puntos que examinará en detalle en su discurso de apertura exclusivo: La percepción de los ciberriesgos en la alta dirección, los crecientes retos geopolíticos, la importancia de la inteligencia artificial y la resiliencia como factor decisivo para resistir los ciberataques.  

Como nos gusta compartir explícitamente esta entrevista también para países francófonos, o áreas específicas de habla francesa, decidimos extender la entrevista a los seguidores de Peter Hacker y a las partes interesadas en Latam para adaptar algunas preguntas específicamente a la región. 

¿Desde cuándo se dedica a la ciberseguridad y hubo algún desencadenante en particular?

Desde hace muchos años me fascinan las nuevas tecnologías y la digitalización. Desde muy pronto sentí pasión por la programación y el desarrollo de código. También me atraía el lado oscuro de la tecnología. Enseguida me di cuenta de la estrecha relación que existe entre las posibilidades técnicas y la seguridad. Por tanto, la ciberseguridad encaja perfectamente conmigo. Preparar a los clientes con mi equipo para un panorama de riesgos en rápida evolución, desarrollar nuevas tecnologías, aprovechar las oportunidades y abordar los riesgos: como experto en seguridad informática activo a escala internacional, asumo mi parte de responsabilidad en un futuro digital seguro. 

Como experto solicitado, usted viaja por todo el mundo y participa directamente en la percepción de los ciberriesgos al más alto nivel directivo. Qué preguntas le plantean los altos directivos?

Los riesgos cibernéticos ocupan ahora el primer lugar en el radar de riesgos de muchos miembros de consejos de administración o miembros de la dirección con los que hablo. El hecho de que miembros de consejos de administración -especialmente en EE.UU.- ya hayan sido despedidos y considerados legalmente responsables de daños materiales causados por ciberataques desempeña sin duda un papel en este sentido. En consecuencia, experimento cierta ansiedad por dedicar suficiente atención al tema. Además, por fin, aunque sólo gradualmente, se está tomando conciencia de que invertir en ciberseguridad protege activos intangibles como la propiedad intelectual o la reputación de las marcas. Sin duda, esto también se debe a la creciente frecuencia y complejidad de los ciberataques contra infraestructuras críticas o áreas de servicios básicos, así como a sus consecuencias financieras, jurídicas y relacionadas con la seguridad. Poco a poco, la seguridad informática a nivel directivo ya no se percibe sólo como un «gasto operativo». Sin embargo, aunque crece el temor a que nos pillen con el pie cambiado, se invierte demasiado poco. Además, simplemente faltan recursos cualificados suficientes. Las tensiones geopolíticas afectan actualmente al comercio internacional y a las cadenas de suministro en una medida sin precedentes. 

Usted menciona la situación geopolítica cada vez más inestable. ¿En qué aspectos del panorama de la seguridad mundial se está centrando en particular?

Las tensiones entre las superpotencias seguirán aumentando. La complejidad de los ciberataques ha aumentado a escala mundial, lo que hace probable una nueva carrera armamentística. Las elecciones estadounidenses también conducirán a una mayor intensificación de nuevos vectores de ataque y objetivos potenciales en el ciberespacio. Conflictos regionales como Rusia-Ucrania e Israel-Gaza han alimentado nuevas tendencias de ataque y hacktivismo, centradas en objetivos sociales, económicos y políticos. Seguimos enfrentándonos a la ingeniería social, el ransomware, el compromiso del correo electrónico empresarial (BEC), la desfiguración de sitios web y los complejos ataques de malware wiper. Además, los nuevos métodos de ataque basados en inteligencia artificial, a menudo apoyados por fuerzas estatales, están aumentando los retos. 

En su opinión, ¿hasta qué punto están bien posicionadas las empresas en España y Latinoamérica en materia de ciberseguridad??

En en esta región, trabajo a menudo con empresas industriales, tecnológicas, farmacéuticas y financieras. Su tecnología informática u operativa sigue siendo uno de los objetivos favoritos de los ciberdelincuentes. Las plantas industriales son mucho más fáciles de atacar hoy que en el pasado, cuando TI y OT estaban separadas. El vínculo con IIoT (Industrial Internet of Things) aumenta el riesgo de ataques exitosos a OT, ya que ahora estamos vinculando simultáneamente datos organizativos (logística y envío) con datos técnicos de sistemas de fabricación asistida por ordenador (producción). Con demasiada frecuencia faltan inversiones y actualizaciones muy necesarias. Me alarma la frecuencia de los ataques de ingeniería social (‘phishing’) en sectores como la energía, el gas, el petróleo, la ingeniería, la automoción, la banca, los seguros, los productos farmacéuticos y la tecnología. Los incidentes masivos son sólo cuestión de tiempo. Por lo tanto, no se trata sólo de visibilidad sino también, y mucho más, de inteligencia y control procesables. 

¿Qué podemos aprender de otros países?

Nos encontramos en una carrera armamentística digital. Los piratas informáticos atacan infraestructuras críticas en todo el mundo, incluida la región . Invertir en la protección de estas infraestructuras debería ser una prioridad. Mi recomendación urgente: replantearse los conceptos de seguridad, mantener los sistemas actualizados, formar a los equipos con regularidad, relevarlos lo antes posible (los recursos imitados conducen inevitablemente al agotamiento) y remunerarlos mejor. Pero, sobre todo, hay que seguir recordándolo: Las personas suelen estar en el centro del ataque. La concienciación en materia de ciberseguridad es, por tanto, lo más importante. La resistencia cibernética, es decir, la respuesta y la recuperación, es al menos igual de importante. Hoy es más importante que nunca mantener la capacidad de actuar incluso en caso de ataque, es decir, reaccionar activamente.  En el consejo de administración o en la dirección de la empresa, debe haber una mayor conciencia de que la ciberseguridad no es sólo una cuestión de costes, sino que también está al servicio del valor de la empresa. Esto requiere una comprensión a nivel de alta dirección de lo que está en juego, incluidos los riesgos de responsabilidad (incluida la responsabilidad del consejo) y, en particular, las opciones de acción en 12-72 horas – la llamada «inteligencia procesable». 

Entonces, ¿los directivos deberían considerar la ciberseguridad como un factor positivo para el éxito de la empresa?

Exacto. Entender cada inversión en ciberseguridad como una inversión en la protección de activos intangibles y no como un factor de coste es la cuestión central para una mayor seguridad informática. Aquí necesitamos un cambio cultural. Un ataque de gran alcance contra el sistema financiero mundial, una central nuclear o la infraestructura energética es un escenario de terror, pero desgraciadamente no puede descartarse. El riesgo cibernético potencial cambia constantemente y es cada vez más sistémico. Los parches que faltan, los recursos sobrecargados, el software obsoleto y el rápido ritmo de la digitalización son la base de ello. Además, existen dependencias físicas y digitales masivas, en rápido crecimiento y a veces muy complejas, y amenazas a la cadena de suministro de software. Esta evolución plantea retos exponencialmente crecientes a la comunidad de seguridad informática. Se necesita una actitud clara que defina la seguridad de las TI como una contribución positiva al éxito de la empresa desde las más altas esferas. 

¿Qué obstáculos ve a la hora de aplicar de forma sostenible los conceptos de ciberseguridad?

Los delincuentes necesitan cada vez menos habilidades y recursos financieros. Tampoco necesitan ya una organización extensa: el cibercrimen como servicio significa que muchos actores actúan de forma independiente. Al mismo tiempo, el coste y la presión organizativa y laboral sobre los equipos de seguridad crecen exponencialmente. Todavía estamos al principio de la era digital. El uso de la IA también agravará aún más la situación de las amenazas, y ya disponemos de recursos insuficientes y, a menudo, de financiación demasiado escasa. En mi opinión, ya es hora de que la importancia de la ciberseguridad se establezca no sólo a nivel de dirección, ¡la seguridad informática también debe estar representada a nivel de personal! Por desgracia, veo con demasiada frecuencia en nuestros mandatos globales que primero deben surgir obligaciones de daños materiales y responsabilidad antes de que los miembros de los consejos de administración se den cuenta de la enorme importancia de la ciberseguridad para el día a día de las empresas. 

Hay mucho revuelo en torno al tema de la IA, y el debate sobre las oportunidades y los riesgos desempeñará un papel importante en it-sa Expo&Congress. Cómo valora el potencial de la IA para la ciberseguridad y el intercambio de golpes entre atacantes y defensores?

Me gusta analizar esta cuestión desde tres perspectivas.

Gracias a la IA, podemos reconocer más rápidamente los patrones de ataque y obtener información importante sobre las mutaciones del malware. Las tecnologías de IA acortan los tiempos de respuesta y mejoran las estrategias de defensa mediante la evaluación en tiempo real de los datos sobre amenazas. En el futuro, se podrán analizar de inmediato y aún mejor grandes cantidades de información y correlaciones y comprobar si existen patrones sospechosos.

La experiencia demuestra que la denominada opción de recuperación de la última configuración buena conocida no suele ser suficiente en caso de ataque de ransomware. Como resultado, constantemente se producen nuevos ataques. Incluso hoy en día, el uso de tecnologías de IA en salas limpias de datos aporta costosas pero enormes ventajas. Se trata de entornos seguros y protegidos en los que los datos personales se limpian y procesan utilizando tecnologías de IA. Esto permite utilizarlos para una amplia gama de análisis de datos.

Pero los atacantes también se benefician. Un enfoque directo, por ejemplo, se centra en programar malware y vectores de ataque en escáneres de virus basados en IA. El objetivo del atacante es en realidad banal y, sin embargo, muy eficaz: identificar comportamientos y eventos específicos que el escáner analiza deliberadamente. Tales actividades conducen a un perfil, que a su vez optimiza el modelo de IA en consecuencia. Esto permite crear patrones en términos de táctica, tecnología y comportamiento, haciendo posible recrear modelos de IA existentes y engañarlos con datos falsificados.

Llevamos tiempo investigando las tecnologías de IA para ayudar a nuestros clientes en un panorama de riesgos en constante cambio. Una cosa está clara: incluso con la IA, seguirá siendo un juego del gato y el ratón con los atacantes. Por lo tanto, hacemos bien en dar prioridad a las oportunidades que ofrecen las tecnologías de IA tanto como a los riesgos. 

Usted se ocupa intensamente de los seguros cibernéticos. En su opinión, ¿qué importancia tiene este elemento del seguro?

Trabajamos con aseguradoras y empresas en el tema del ciberseguro. Esta cobertura tiene sentido si se adapta al perfil de riesgo y se prueba en la realidad. Sin embargo, los daños por ataques a infraestructuras críticas u organismos gubernamentales son difícilmente asegurables.

En principio, soy de la opinión de que los ciberataques estatales de cualquier tipo tienen un componente sistémico. En consecuencia, no pueden ser asegurados únicamente por el sector privado. Porque si los ataques estatales tienen un impacto sistémico, el delta entre las pérdidas económicas y la capacidad de aseguramiento es insalvable. La única vía que veo para estos riesgos cibernéticos es una asociación entre la industria aseguradora y el sector público. Ya ha habido algunos esfuerzos en Singapur o proyectos en curso en Estados Unidos y el Reino Unido.

¿Cómo evoluciona el mercado de los ciberseguros?

Desde una perspectiva global, estamos hablando de un volumen de primas de algo menos de 16.000 millones de dólares este año. De ellos, el 85% se concentra en Norteamérica y Europa. Más de dos tercios corresponden a Estados Unidos y Canadá. Los terceros mercados en crecimiento son Sudamérica, Asia-Pacífico y Oriente Medio, incluida la India. Suponemos que el volumen de primas globales se duplicará de aquí a 2030 debido a la digitalización. En la región LATAM, existe un gran potencial de recuperación para las PYME, pero al mismo tiempo se requiere una fuerte inversión en la aplicación de estrategias de seguridad informática y gestión de riesgos. Hoy, menos del 3 por ciento (fuera de Mexico) de las empresas en Latam compran ciberseguros. 

Como ponente especial de it-sa Expo&Congress, subirá al escenario de Núremberg el 24 de octubre. Usted se pregunta « Quo vadis cyber risks »: ¿qué pueden esperar los participantes en la feria?

Por supuesto, echaré un vistazo al statu quo y profundizaré en mi análisis de los puntos ya mencionados aquí, como los riesgos cibernéticos, la IA y la geopolítica. Pero mucho más importante para mí es la evolución que ya se vislumbra en el horizonte:

La digitalización y los riesgos cibernéticos asociados son irreversibles. Nuestro nivel de interconexión nunca ha sido tan alto, las dependencias informáticas nunca han planteado tantos retos y el potencial de nuestra industria nunca ha sido mayor. En el futuro, las tecnologías, los códigos, el malware y los virus se convertirán en activos estratégicos, económicos y geopolíticos -pero también en retos- a una escala antes inimaginable. Por tanto, la importancia de la ciberseguridad crecerá exponencialmente.

Nuestro futuro es cada vez más imprevisible y menos predecible. La pregunta es: ¿a dónde nos llevará esta evolución y qué significa para los países, las empresas y la sociedad?