Otro día, otra gran brecha de seguridad cibernética. La semana pasada fue Twitch, la plataforma de streaming de Amazon, la que sufrió la revelación pública de su código fuente, los ingresos de sus grandes estrellas y otra información sensible.
Los ciberataques muy rápido se convierten en un difícil problema de seguridad global a gran escala. Se estima que Estados Unidos tan solo sufrió 65 mil ataques de ransomware el año pasado, y el enorme hackeo de Solar Winds expuso grandes brechas en la seguridad cibernética en el corazón del gobierno federal. Eso ayuda a explicar por qué los expertos estadunidenses encuestados recientemente por Axa citaron el riesgo cibernético como su mayor preocupación este año, y los expertos mundiales lo colocaron en segundo lugar detrás del cambio climático.
La naturaleza difusa del problema hace que sea difícil de abordar. Los ataques vienen de todas partes. Algunos están patrocinados por Estados o tienen motivaciones ideológicas, mientras que otros se tratan solo de dinero. Muchas víctimas se muestran renuentes a admitir que fueron hackeados. Algunos temen que compartir demasiada información sobre los métodos le dará más poder a los actores con malas intenciones.
Sin embargo, cada vez se vuelve más claro que los gobiernos deben asumir un papel mucho más activo en la recopilación y el intercambio de información y la coordinación de la defensa. El Senado de Estados Unidos está considerando un proyecto de ley que requiere que las agencias, los contratistas y las empresas de infraestructura crítica del gobierno informen todos los incidentes de seguridad cibernética y ataques de ransomware a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por su sigla en inglés) en un plazo de 24 horas o enfrentar fuertes multas. “Si no podemos verlo, no podemos defendernos eficazmente”, dijo Jen Easterly, quien encabeza la agencia.
- Te recomendamos Reforma eléctrica no afectará relación de México con Estados Unidos: Ebrard Política
El parlamento australiano avanza en la misma dirección. La Unión Europea —que ha estado a la vanguardia en muchas cuestiones del ciberespacio— adoptó en 2018 reglas de notificación de incidentes para los operadores de servicios esenciales.
Sin embargo, notificar a las autoridades debe ser solo el primer paso. Los inversionistas tienen derecho a conocer los hackeos significativos. Deben establecerse normas claras sobre lo que eso significa exactamente a escala nacional o mundial, al igual que las definiciones contables de acontecimientos financieros “materiales”.
A medida que las grandes empresas invierten en defensas adecuadas, es probable que los piratas informáticos dirijan sus ataques contra las pequeñas y medianas empresas, la mayoría de las cuales no estarán cubiertas por estos requisitos de información. Si no comparten sus experiencias, los piratas informáticos podrán explotar repetidamente las mismas debilidades.
Los gobiernos tienen que trabajar juntos de mucho mejor manera. Los piratas informáticos no respetan las fronteras nacionales y los problemas cibernéticos en un país pueden causar disrupciones en muchos otros, como lo demostró el reciente apagón de Facebook.
Un organismo global para establecer los estándares debe reunir a los reguladores nacionales para compartir información sobre hackeos y vulnerabilidades, garantizar que las empresas inviertan en una ciberdefensa eficaz y establecer colegios de supervisores para los principales actores multinacionales. Un posible modelo puede ser el régimen de seguridad aérea, que reúne a los investigadores y analistas del país de origen del grupo aeroespacial pertinente, así como a los del lugar del accidente. Otra forma de pensar en ello es la estructura reguladora de origen/anfitrión que se utiliza para los bancos.
Estos ataques cada vez más comunes tienen ramificaciones financieras. El mercado de seguros batalla para poner un precio a la protección contra estos ataques, y esto puede resultar ser un área, al igual que con el terrorismo y las inundaciones, donde se requiere un respaldo del gobierno. Los ciberataques ya no son una novedad. Es hora de dejar de actuar como si lo fueran.