Las pérdidas que ocasionarán los ciberataques de aquí a 2030, el impacto de la IA y por qué es algo que debería importarte

Un buen día recibes un correo electronico con el asunto del mensaje “Aviso importante”: una brecha de seguridad ha expuesto todos tus datos. Tu cuenta de usuario, tus contraseñas, tu DNI, tu pasaporte e incluso tus datos bancarios asociados. ¿Y ahora qué? Hoy día, este es uno de los problemas más comunes y uno en el que las empresas invierten cada vez mayores sumas. Por suerte, también se están dando importantes pasos para blindar la seguridad.

Se estima que en 2024 se producirán 8.750 millones de euros en pérdidas debido a ciberataques, segun Cybersecurity Ventures. Para que te hagas una idea, el PIB de España es solo de 1.500 millones. Es como intentar sacar el agua de un barco con cientos de agujeros en su cascarón: si te despistas un segundo, el barco se hunde. O, más bien, como ir poniendo parches a un ajado barril con decenas de grietas. ¿Cómo evitar esto? Con anticipación. Planificando y ejecutando medidas antes de que esas pérdidas lleguen al usuario final.

El coste real de los ciberataques

Ningún sistema es 100 % invulnerable. Y los ciberataques son cada vez más comunes, pero también más sofisticados. Si el smartphone fue el game changer de comienzos de los 2000, la implementación de algoritmos en casi cualquier proceso automatizado —desde la traducción de documentos oficiales hasta el montaje de tráileres de cine— se está llevando la palma en los 2020-2030.

¿De qué estamos hablando? Del phishing coordinado por algoritmos de aprendizaje automático, del uso de deepfakes y de los muchos scams que pululan por internet. Estos modelos dejan bien claro que estamos ante peligros distintos; peligros muy nuevos. Y no solo plantean problemas a las empresas; también a gobiernos, hospitales y, cómo no, a particulares.

Predecir el coste real de esto no es fácil: la velocidad a la que evoluciona el mercado digital y su naturaleza cambiante complica cualquier estimación. Y más aún si sumamos otro ingrediente como la inestabilidad geopolítica, un factor que puede definir el crecimiento o depresión de economías enteras y que ha demostrado ir de la mano de ciberataques y secuestro de información confidencial.

Los ciberataques son la principal fuente de amenaza de muchas empresas de nuevo cuño. Una encuesta de Statista realizada entre 2018 y 2023 reveló que el 34 % de los encuestados calificaron los incidentes cibernéticos como su principal preocupación, tal y como revela ExpressVPN en su blog. Y los usuarios, según el informe Cost of Data Breach 2023 de IBM, somos los más perjudicados de esta cadena que es tan fuerte como su eslabón más débil.

Por ejemplo, muchos pensamos que servicios como la apps de streaming han subido de precio por una medida caprichosa, por engordar sus arcas sin hacer lo ídem con su catálogo. La realidad es que los costes de servicios bien blindados son cada vez más altos. Y eso repercute en el precio final de las suscripciones. ¿Hay alguna forma de reducir este coste y, de paso, reducir el impacto de los ciberataques? Por supuesto, existen muchos tipos de paliativos y medidas preventivas. Veámoslas.

La evolución de los ciberataques

Más gestión de datos implica, por pura estadística, una mayor posibilidad de verlos comprometidos. Un 19 % más que el año pasado, según el citado informe de Cybersecurity Ventures. Se estima que en 2025 este coste crecerá otro 10,5 % hasta los 10.500 millones de dólares. Y en 2030, otro 15 % hasta los 17.900 millones de dólares. Una genuina fortuna que socava la estabilidad y el crecimiento no solo económico, sino también social.

En la actualidad, EE.UU es el país más azotado: más de 1.600 millones de registros de empresas que contenían información personal de clientes y consumidores se vieron comprometidos. A la zaga le siguen los puntos calientes de Medio Oriente: se vulneraron datos por valor de 8,07 millones de dólares, lo que supone un aumento del 8,2 % con respecto a 2022.

Alemania como bastión clave es, junto a Reino Unido, la región más afectada de toda Europa, aunque ha vivido un ligero descenso respecto al año anterior gracias a la aplicación de normativas impuestas por los distintos gobiernos que han frenado parcialmente estos ataques.

Pero es que el alcance de los ciberataques va más allá de la sustracción de datos: el jaqueo de una red eléctrica puede mandar al traste toda la maquinaria que mantiene vivos a cientos de pacientes en una planta de cuidados de un hospital, por poner un ejemplo más radical. Los ciberataques, eso sí, continúan evolucionando hacia una máxima común: hiperespecializarse según el objetivo del cibercriminal.

Los tipos de ciberataque más común

Por todo lo anterior, queda claro que solo hay una forma de combatir los ciberataques: identificándolos y conociéndolos para entender bien el verdadero alcance de estas técnicas y para reconocer que cada ataque suele contar con métodos de ejecución distintos, pese a que la mayoría coinciden en los mismos fines.

• Phishing: el más popular por su coste-beneficio. Se trata de hacerse pasar por una entidad legítima para engañar al usuario o empresa y robar información clave. Casi el 40 % de todos los correos enviados en el mundo son puro phishing, una técnica que busca confundir y aprovechar los errores humanos en vez de las vulneraciones de un sistema. La Previsión de Ciberseguridad de Google Cloud para 2024 asume que las IA generativas —cada vez más accesibles— podrían complicar la detección de phishing.
• Ransomware: el ransomware, sin embargo, se basa en software capaz de encriptar archivos del sistema y secuestrar la información para después pedir un rescate. Irónicamente, el auge de las criptomonedas ha facilitado que los secuestradores cobren esos rescates sin que puedan ser rastreados. Empresas como Iberdrola o Telefónica —con el popular WannaCry— han sido atacadas con esta técnica que también mina la confianza y daña la reputación a largo plazo. En 2023, se produjo un aumento del 55 % en los casos de ransomware con respecto al año anterior, con 4.368 casos registrados.
• Ataques DDoS: el famoso ataque de denegación de servicio distribuido se centra en una única red, servidor o página web, focalizado normalmente en empresas de venta al por menor, autónomos o servicios de relaciones públicas. La técnica es sencilla: saturas el servidor con llamadas de tráfico hasta que el sistema se cae. Es como un atasco en el que hay tantos coches intentando conducir por la misma carretera que ninguno llega a su destino.
• Malware: esta palabra engloba casi cualquier forma de software ilegítimo creado con fines maliciosos. Virus, gusanos, troyanos… Cualquier programa creado para infiltrarse, hacerse pasar por otro, robar o simplemente destruir material.
• Extorsión de datos: merece categoría propia esta táctica que implica el robo de datos confidenciales y la amenaza de revelarlos. ¿Has recibido un mensaje o llamada donde se te asegura que alguien tiene un vídeo comprometido tuyo y que piensa difundirlo si no pagas cierta cantidad antes de cierto tiempo. El 27 % de los ciberataques en 2023 eran de este tipo y constituyen una forma de robo o fraude especialmente perniciosa. Y recuerda: pagar el rescate no garantiza recuperar nada.
• Ataques Man-in-the-Middle (MitM): ahora supón que un hacker ha descubierto un correo de la empresa donde se revela información importante. Él se cuela, altera la comunicación y puede modificar las claves de inicio de sesión o hacerse pasar por el dueño de esa información. Estos ataques son especialmente comunes en entornos con wifi públicas, menos seguras que las privadas.

El eslabón más débil

Por supuesto, no todos los sistemas suelen estar igual de comprometidos ni todas las personas son víctimas del mismo tipo de ataque. Durante años se han modelizado distintas herramientas para distintos perfiles. Estos son los más vulnerables o, como mínimo, aquellos que reciben el azote de ciberataques con mayor frecuencia:

• Sanidad y finanzas: año tras año, el coste dedicado a protección y cobertura de datos del sector sanitario y financiero es mayor. Y año tras año, acumulan pérdidas —10,93 millones de dólares solo en EE.UU durante 2023—. Estas son industrias especialmente jugosas para los ciberataques porque salvaguardan datos críticos de la población. E igual de crítica es sufrir una interrupción. Pero al depender de servicios en la nube, el riesgo es inevitable.
• Fabricación: las fábricas no pueden permitirse estar sin trabajar por mucho tiempo y esta urgencia les lleva a pagar rescates con tal de solucionar un problema rápido y seguir produciendo. Son, por esto mismo, objetivos favoritos de ransomware.
• Sector de tecnologías de la información (TI): por su papel de guardianes y responsables de mantener servicios esenciales, una mera interrupción implica una gran pérdida.
• Individuos de alto perfil: directivos, senadores, empresarios, estrellas como Bruce Springsteen o Lady Gaga o cualquier personalidad. Los deepfakes están a la orden del día y la explotación y venta clandestina de datos puede llegar a usarse para  manipular la opinión pública o erosionar y destruir carreras enteras. Tales son las implicaciones. Famoso fue el caso de Michal Šimečka, líder de Eslovaquia Progresista, víctima de varios vídeos deepfake difundidos por el partido de extrema derecha Republika. En estos vídeos, aparecía elaborando un plan para amañar las elecciones. Todo era mentira; sin embargo, menoscabó la credibilidad del partido. Recientemente también se ha sabido que el grupo ruso APT29 ha comenzado a atacar a partidos políticos alemanes con un nuevo malware, WINELOADER, y otra vez todo empieza a partir de correos con phishing buscando que alguien se despiste y caiga en una mentira cuidadosamente elaborada.

Qué medidas se están tomando

Ante un escenario así, las empresas están invirtiendo más que nunca en proteger sus sistemas informáticos contra los hackers y otros riesgos de internet. Por ejemplo, un informe de DigitalOcean muestra que más de un tercio de las empresas en EE.UU planean invertir en ciberseguridad. El coste proviene directamente de programas más avanzados para defenderse, la inversión en IA y la actualización de sistemas antiguos. Y no olvidemos los programas educativos y la inversión en formación.

Pero no solo las empresas tienen que preocuparse de estos peligros. Los gobiernos juegan un papel capital al establecer reglas y estrategias para proteger al país entero. Esto incluye construir defensas más fuertes, trabajar juntos con empresas privadas para compartir información y poner dinero en mejorar las infraestructuras de seguridad. La colaboración es clave porque los ataques cibernéticos no conocen fronteras y necesitamos un esfuerzo mundial para prevenirlos y responder adecuadamente.

Y qué medidas puedes tomar tú

Volvamos al principio. Al comienzo del artículo escenificábamos una situación que muchos hemos vivido. Casi cualquier usuario de internet con un mínimo de solera y un correo electrónico operativo. Todos somos susceptibles de sufrir un ataque. Por eso mismo, todos tenemos la responsabilidad de reforzar esa cadena. En nuestras manos está el poder fortalecer las líneas de defensa. ¿Cómo? Aplicando unas pocas acciones, tal y como exponen los expertos de ExpressVPN:

1. Adoptando protocolos de autenticación fuertes: este es el 101, el básico. Olvidémonos por favor de las contraseñas que son “1234contraseña”. Usemos contraseñas complejas y largas, que no repitamos en todos los lugares y que renovemos cada cierto tiempo. Y activemos la autenticación de dos factores (2FA) o la autenticación multifactor (MFA), de manera que si nuestras credenciales se ven comprometidas no puedan acceder sin autorización.
2. Plantéate usar una VPN: una VPN cifra tu conexión y cambia tu IP, ofreciendo una mejora básica de conexión. Además, encripta los datos enviados y recibidos. Una VPN es especialmente recomendada para usuarios de redes wifi públicas, como el internet de la universidad, el tren, el aeropuerto, hotel o cafeterías. Una VPN no es un muro infranqueable, pero protege de ataques Man-in-the-Middle y DDoS. En el caso de ExpressVPN, al implementar algoritmos de encriptación postcuántica, los datos quedan salvaguardados de los ataques más avanzados. ExpressVPN, además, se presenta como una solución integral, con herramientas adicionales como gestor de contraseñas, bloqueo de SPAM, sincronización en varios equipos...
3. Mantén tu equipo al día: actualizar a la última versión es la manera más sencilla y barata de protegerte. Anulas las vulnerabilidades del software obsoleto y aprovechas las últimas mejoras.
4. Sospechar de cualquier actividad extraña: estar alerta también es una forma de protección. Mensajes raros y estafas que parecen regalos con parte de información personal real son la punta del iceberg. Desconfiar de cualquier remitente desconocido por naturaleza es  lo natural.
5. Y, por último, informa: si has sido víctima, notifícalo. A la policía, a tu banco, al responsable de IT o al distribuidor del hardware o software que corresponda. Un informe de IBM reveló que las organizaciones tardan un promedio de 204 días en identificar una vulneración de datos, seguidos de otros 73 días en contenerla. Esto es demasiado tiempo. A mayor velocidad de actuación —que no te dé vergüenza, nadie es invulnerable, repetimos— mayor margen de recuperación de datos.

Imagen de portada | Sigmund

Imágenes interiores | ExpressVPN, Jefferson Santos, Sigmund, Roman Synkevych, Martha Dominguez