El cibercrimen de modelo corporativo advierte a las empresas a medida que los delincuentes superan las defensas

El cibercrimen ha madurado hasta convertirse en una industria que refleja la empresa legítima, con cadenas de suministro y servicio al cliente. La industrialización del hacking, amplificada por la inteligencia artificial, exige un replanteamiento total de cómo las organizaciones gestionan a las personas, la tecnología y el riesgo, advierte Steve Durbin del Information Security Forum.

El cibercrimen ha evolucionado hasta convertirse en una industria global que refleja el mundo corporativo al que se dirige, con grupos criminales que ahora operan cadenas de suministro, atención al cliente 24 horas al día, 7 días a la semana e incluso políticas de reembolso, según el Foro de Seguridad de la Información (ISF).

En una entrevista exclusiva para Bloomberg TV, Steve Durbin, su director ejecutivo, advirtió que los ciberataques se han “industrializado”, dirigidos por redes estructuradas que invierten en investigación, reclutan especialistas técnicos y venden herramientas maliciosas a otros delincuentes como servicios de suscripción.

El resultado, afirmó, es una próspera economía sumergida que sigue superando en innovación a las empresas legítimas.

En declaraciones a Juliette Foster de The European, Durbin dijo que la creciente profesionalización de los ciberdelincuentes había redefinido el panorama global de amenazas.

Grupos que alguna vez se centraron en robar datos con fines de lucro ahora están manipulando información para socavar la toma de decisiones y la calidad del producto, una táctica que puede erosionar la competitividad mucho antes de que se detecte una infracción.

Cada vez más, los ataques se diseñan cuidadosamente para explotar el eslabón más débil de un ecosistema empresarial, a menudo a través de proveedores más pequeños con defensas menos maduras, añadió.

La advertencia se produce después de que los ciberataques alcanzaran niveles récord este año, y las empresas globales enfrentaron un promedio de 1.925 intentos de vulneración cada semana (un aumento del 47 por ciento con respecto a 2024), según datos de Check Point Software.

En el Reino Unido, la magnitud de la amenaza quedó al descubierto en mayo cuando Marks & Spencer reveló que un ataque “altamente sofisticado y dirigido” reduciría sus ganancias operativas en alrededor de £300 millones.

El fabricante de automóviles Jaguar Land Rover (JLR) se vio afectado por un ciberataque que paralizó sus líneas de producción desde principios de septiembre.

La producción recién se reanudó en algunos de sus sitios de fabricación esta semana.

“El ciberdelito es ahora una industria empresarial muy real y de gran tamaño, y el auge de la IA sólo está empeorando las cosas”, afirmó Durbin.

“Incluso hay organizaciones que ofrecen servicios de piratería con servicio de asistencia las 24 horas y garantías: si lo que ofrecen no funciona, le devolvemos el dinero.

“Todo esto significa que el punto de entrada de un ciberdelincuente se ha reducido considerablemente, y esto sólo continuará a medida que Ai se vuelva más sofisticada”.

La reciente actualización del proyecto de ISF encontró que las grandes organizaciones se ven cada vez más comprometidas a través de sus cadenas de suministro, donde los ciberdelincuentes se aprovechan de una supervisión limitada y estándares de seguridad inconsistentes.

Steve Durbin, del Foro de Seguridad de la Información, advierte cómo el cibercrimen ha madurado hasta convertirse en una industria sofisticada con sus propias cadenas de suministro y servicio al cliente 24 horas al día, 7 días a la semana.

El ISF, una organización global sin fines de lucro, ahora insta a las corporaciones a ampliar sus marcos de gestión de riesgos para incluir socios externos y compartir no solo orientación técnica sino también la lógica detrás de los requisitos de seguridad, para que las empresas más pequeñas comprendan su papel en la resiliencia colectiva.

Durbin añadió que la actual ola de ataques pone de relieve un problema organizativo más profundo. Sostuvo que demasiadas empresas todavía tratan la ciberseguridad como una función técnica especializada en lugar de estratégica.

La ISF cree que la seguridad debe integrarse en la planificación empresarial central, revisarse en un ciclo continuo de seis meses junto con la estrategia financiera y operativa, y respaldarse con educación a nivel de la junta directiva para que los directores comprendan plenamente los riesgos que están aceptando.

También exige un cambio cultural en la forma en que las empresas gestionan a las personas y la tecnología. Destaca que la inteligencia artificial, si bien es vital para identificar amenazas a escala, es tan eficaz como la gobernanza que la sustenta.

Las empresas deben invertir en capacitación y transformación de la fuerza laboral para garantizar que los empleados puedan trabajar de manera efectiva con sistemas habilitados para IA, en lugar de depender de la automatización para reemplazar el juicio humano, afirmó.

El análisis de la ISF también encontró que los silos organizacionales son una fuente importante de debilidad, con departamentos fragmentados (donde las funciones de ventas, finanzas y tecnología operan de forma aislada), lo que ralentiza las respuestas a incidentes y oscurece las vulnerabilidades emergentes.

Recomienda mapear las interdependencias entre las unidades de negocios para revelar dónde las brechas de información o los procesos duplicados podrían exponer a la organización a riesgos.

A nivel de liderazgo, las empresas también deben abordar la escasez de talento que sigue obstaculizando el sector de la ciberseguridad. Los rígidos criterios de ingreso y los estrechos canales de contratación han restringido la diversidad de pensamiento, dejando muchas vacantes sin cubrir, advirtió Durbin.

La ISF aconseja a los empleadores que miren más allá de la formación técnica tradicional, priorizando la aptitud y la curiosidad, y que establezcan asociaciones con proveedores de educación para ampliar la base de habilidades.

Según la ISF, la regulación no está a la altura de la velocidad del cambio tecnológico, y la formulación de políticas reactivas corre el riesgo de sobrecargar a las empresas con exigencias de cumplimiento que contribuyen poco a mejorar la seguridad.

En cambio, aboga por una supervisión proporcionada basada en los mismos principios de gestión de riesgos que las empresas ya aplican a las finanzas, la reputación y la seguridad.

Durbin dijo: “Los malos sólo necesitan tener suerte una vez y pueden causar estragos. El tipo de números que estamos viendo son aquellos actores que intentan derribar las defensas y encontrar una manera de pasar. Significa que tenemos que estar en la cima de nuestro juego 24 horas al día, 7 días a la semana”.

Vea la entrevista completa con Steve Durbin de la ISF sobre Asuntos de Negocios este domingo a las 9:30 am en Bloomberg TV (Sky 502 y Virgin 609).

LEER MÁS: ‘Por qué la ciberseguridad merece un lugar en el centro de atención política’. Puede que la ciberseguridad no gane las elecciones, pero es fundamental para la seguridad nacional, la estabilidad económica y la confianza pública, sostiene Steve Durbin, director ejecutivo del Foro de Seguridad de la Información, quien pide a los líderes que tomen medidas proactivas para proteger sus activos, fortalecer la resiliencia y garantizar el despliegue seguro de las tecnologías emergentes.

¿Tiene noticias para compartir o experiencia para contribuir? El europeo acoge con agrado las opiniones de líderes empresariales y especialistas del sector. Póngase en contacto con nuestro equipo editorial para obtener más información.