la importancia de la ciberseguridad

Impacto en Infraestructuras Críticas: Noticias recientes en España hablaban de la necesidad de ciberseguridad en infraestructuras críticas. La falta de energía afectó sistemas como el transporte, incluyendo el aeropuerto de Barajas y la estación de tren de Atocha, causando detenciones y situaciones inesperadas para la población. Este incidente demuestra cómo la dependencia de la tecnología y la interconexión de dispositivos los vuelven frágiles.

Efecto Dominó: Un evento aparentemente simple puede desencadenar un efecto dominó que afecta a la sociedad en su conjunto. La falta de electricidad, por ejemplo, impacta el transporte público y puede llevar a actos vandálicos.

Dependencia Tecnológica: A medida que la tecnología ofrece más facilidad, aumenta nuestra dependencia de dispositivos interconectados, que a su vez se vuelven más frágiles ante fallas o ataques.

Noticias de ciberseguridad en Perú: Se mencionan noticias locales sobre incidentes de ciberseguridad que afectaron a entidades como Interbank, BCP, BBVA y RENIEC (aunque el problema no fue directamente en Reniec, sino en un tercero). Estas noticias son importantes para reconocer que los ciberataques son parte de nuestro día a día.

La Seguridad de que Ocurrirá: En seguridad, la perspectiva es que te va a pasar. Es crucial cambiar la creencia general de que las desgracias solo les ocurren a otros. Esta industria sigue incrementándose.

Contexto Externo y Guerras No Convencionales: Factores externos como el contexto geopolítico (ej. guerra Ucrania-Rusia y el apoyo de España a Ucrania) pueden afectar incluso a países aparentemente imparciales. Existen guerras no convencionales que impactan a los países, como la de aranceles y la desinformación.

Rentabilidad del Ciberdelito: El ransomware y el phishing generaron miles de millones de dólares en ingresos para 2022. Esta actividad ya es más rentable que vender drogas sintéticas, la explotación infantil o vender marihuana. Se prevé que, en los próximos años, ransomware y phishing sean la principal fuente de ingresos para los ciberdelincuentes, superando incluso el lavado de activos.

Comportamiento Humano: La rentabilidad del ciberdelito no cambiará significativamente debido al comportamiento de las personas. El cambio de comportamiento es largo y suele ocurrir después de sufrir un ciberataque, que puede ser demasiado tarde. La industria del ciberdelito seguirá creciendo

Terminología y Motivación: La palabra correcta es "ciberdelincuente", ya que realizan acciones delictivas usando medios informáticos. Estos delincuentes buscan dinero, que encuentran en la información.

Vulnerabilidad del Ciudadano Común: A pesar de las advertencias básicas (no entrar en redes sociales dudosas, no descargar aplicaciones de origen desconocido, ignorar SMS sospechosos), siempre habrá personas que hagan clic en enlaces maliciosos, especialmente si los delincuentes atacan bases de datos masivas.

Negacionismo en Ciberseguridad: Dentro de las empresas, existe el negacionismo: la creencia de "esto no me va a pasar" o "eso es para otros". Algunos configuran sistemas de seguridad y se olvidan. Sin embargo, hoy estamos en la era de revisar, revisar y volver a revisar.

La Demanda del Ritmo: La Demanda del Ritmo: El ritmo de la ciberseguridad demanda vigilancia constante. No basta con trabajar 8 horas; se necesita monitoreo 24/7 porque el crimen evoluciona continuamente.

Uso de IA y Cómputo Cuántico por Ciberdelincuentes: Los cibercriminales ya están utilizando inteligencia artificial para sus actos. Se cree que en unos años (o antes), comenzarán a usar cómputo cuántico. Esto crea un escenario complejo para las empresas, y si las personas no están preparadas, serán víctimas.

El Nivel de Estrés: Trabajar en ciberseguridad, especialmente en la gestión de incidentes, tiene un nivel de estrés comparable al de los trabajadores de emergencias en hospitales o bomberos.

Tiempo del Atacante: Estudios muestran el tiempo que una empresa tarda en identificar un ataque. A esto se le llama "tiempo libre del atacante". Unos pocos segundos o minutos son suficientes para que un delincuente sofisticado cause un daño significativo dentro de la empresa.

Empresas Pequeñas y Estudios de Abogados: El tamaño de la empresa no es una protección. Las empresas pequeñas también son objetivos. Incluso estudios de abogados, que manejan información sensible, pueden ser blancos importantes para los delincuentes que buscan información para extorsionar.

Medición Clave: Es crucial medir cuánto tiempo se tarda en detectar un ataque y cuánto tiempo se tarda en responder. Durante todo ese tiempo, el atacante sigue actuando dentro de la empresa.

Planificación y Prevención vs. Reacción: La gestión de incidentes requiere un plan de respuesta. Muchas organizaciones no tienen un plan y esperan a que ocurra el ataque para improvisar ("sobre la marcha"). La gestión implica planificación proactiva y preventiva. La diferencia en el impacto de un ataque reside en cuán preparados hemos estado.

Evaluación del Incidente: Al enfrentar un ciberataque, se debe realizar una evaluación del incidente para identificar el tipo de ataque.

Playbooks (Manuales de Respuesta): Se necesitan "playbooks", que son manuales o guías para responder a situaciones específicas. Esto permite estar preparado, similar a cómo los bomberos ya tienen planes para diferentes tipos de incendios en lugar de buscar cómo actuar durante la emergencia.

Conocer a los Agentes de Amenaza: Entender quiénes son los posibles atacantes y cómo se comportan permite estar mejor preparado.

Desconexión de Activos: Desconectar activos informáticos como respuesta inmediata tiene interpretaciones. Primero, genera indisponibilidad del servicio para los clientes. Segundo, puede indicar al atacante que la empresa no tiene un plan sofisticado de contención y respuesta. Toda acción tiene una reacción, y las decisiones deben ser informadas.

Notificación Obligatoria: Las empresas están obligadas a informar si ha habido una fuga de datos personales.

Respuesta Técnico-Legal: Esto implica una respuesta técnico-legal. Es técnica porque requiere entregar evidencias, y legal porque deben registrarse formalmente los incidentes ante la Autoridad Nacional de Protección de Datos Personales y el Centro Nacional de Seguridad Digital

Valor de la Información: La información es crucial. Las empresas a menudo no valoran adecuadamente su información, delegando su seguridad solo a las áreas de TI o seguridad y no desde la perspectiva del negocio.

Datos Personales y Propiedad Intelectual: La información incluye datos personales y propiedad intelectual, ambos muy codiciados por los ciberdelincuentes. Estos datos son usados para prácticas de extorsión y espionaje industrial.

Impacto Económico: Se muestran datos sobre millones de registros de datos sustraídos a nivel mundial, destacando la magnitud del problema. Aunque los datos mostrados podrían no estar totalmente actualizados, reflejan una situación global y potencial para países como Perú.

Desconocimiento de Datos Personales: Muchas empresas no saben cuántos datos personales poseen.

Falta de Plan de Respuesta: Algunas empresas no tienen un plan de respuesta definido en caso de un ciberataque.

Cultura de Reacción: La tendencia es a esperar que algo suceda para actuar, en lugar de tener acciones preventivas y proactivas. La palabra "gestión" implica planificación y determinación de estrategias anticipadamente.

NIS Cyber Security Framework 2.0: Es un estándar para el gobierno federal de EE. UU., pero es abierto y puede ser utilizado por otras organizaciones. Su aplicación debe ser adecuada al nivel de madurez de la empresa; puede ser demasiado extenso para PyMEs. Ayuda en conceptos de arquitectura empresarial y de seguridad. Incluye la seguridad de datos.

ISO 27001 (Sistema de Gestión de Seguridad de la Información - SGSI): Es un modelo para garantizar la seguridad de la información en la operación. Es un documento de alto nivel cuya implementación varía. Existe un afán de certificación, pero tener un SGSI certificado no garantiza la invulnerabilidad. Un SGSI debe demostrar que realmente protege y agrega valor al negocio. La mejora continua dentro del sistema a menudo no se realiza si "funciona" o solo por la certificación.

ISO 31000 (Gestión de Riesgo): Es transversal y proporciona acciones de prevención y planificación para tomar decisiones informadas. Se está actualizando (esperada para 2026-2027) e incluirá riesgos emergentes, evaluación de impacto a la privacidad y riesgos de IA. El riesgo es como el "sistema nervioso" de la empresa, afectando horizontal y verticalmente; no es solo un mapa de calor, sino una gestión con procesos.

CIS Controls Versión 8.1: Es un modelo más operativo que las ISO, útil para empresas medianas y pequeñas que inician en ciberseguridad. Es abierto y gratuito. Puede ser un paso inicial antes de alcanzar la madurez para implementar una ISO o NIS.

Otros Estándares: Existen al menos 11 buenas prácticas más, que requieren revisión constante debido a sus actualizaciones. Se mencionan Cloud Security Alliance (controles para seguridad en la nube) y Secure Control Framework (SCF) como un gran compendio.

Limitaciones de las Herramientas: Las herramientas no eliminan el riesgo; ayudan a reducirlo. Es necesario describir situaciones en las que los controles no serán suficientes y aceptar el riesgo residual con sus consecuencias.

El Concepto de Repudio: Al evaluar las consecuencias de la seguridad (confidencialidad, integridad, disponibilidad), se debe añadir el "repudio". Esto modifica los cálculos de riesgo.

DLP (Data Loss Prevention): Monitorea el flujo de información y puede bloquear filtraciones.

MDM (Mobile Device Management): Ayuda a controlar dispositivos móviles como smartphones, smartwatches y tablets.

Antivirus / Antiexploit / XDR: Ayudan a proteger los dispositivos.

Controles como Activos: Un control en sí mismo es un activo con capacidades y vulnerabilidades, por lo que necesita ser actualizado (ej. un firewall). Se necesita una perspectiva de 360 grados de la seguridad.

Principio de Mínimo Privilegio: Los equipos deben configurarse con el principio de menos privilegio para evitar que los usuarios modifiquen configuraciones de seguridad.

Comportamiento del Usuario: El comportamiento del usuario es clave. A menudo, al usuario no le importa la información de la empresa. La concientización no debe ser solo un ruego; debe incluir la identificación de responsabilidades y las consecuencias (administrativas, civiles, penales) por incumplimiento.

Actualizaciones Legales: Se han actualizado códigos penales para incluir delitos informáticos, como el mal uso de la inteligencia artificial. El personal de seguridad y legal debe entender estas responsabilidades

Anticipación: Entender el comportamiento de los actores de amenaza.

Resistencia: Depende del tipo de ataque y si la infraestructura es crítica. La ley de ciberdefensa del país debería responder a ataques a infraestructura crítica.

Recuperación: Tener un plan de recuperación ante desastres (DRP), no solo a nivel de TI sino considerando ataques al propio SOC (Centro de Operaciones de Seguridad).

Adaptación: Los ataques están evolucionando con estrategias militares claras, requiriendo entender el comportamiento de los agentes de amenaza.

Aprendizaje Continuo: Cada ataque es una oportunidad de aprendizaje. Es importante analizar los incidentes y plantearse cómo se manejarían situaciones similares en el contexto local.

Proceso Cambiante: La ciberseguridad es un proceso cambiante que requiere revisión y actualización constante.

Ciberseguridad para Empresas Pequeñas: Un asistente pregunta cómo enfocar la ciberseguridad para empresas pequeñas. Gustavo responde que el tamaño no se define por la cantidad de personas, sino por la facturación. Es clave hacer entender a los dueños el riesgo de no invertir en seguridad en términos de pérdida de ingresos. Recomienda usar modelos gratuitos como CIS Controls 8.1 para empezar, siempre enfocados en asegurar los objetivos de negocio.

Gobierno de la Inteligencia Artificial (IA) en empresas: Se plantea la preocupación por el uso desmedido de la IA por parte de los usuarios, subiendo información sensible. Se pregunta cómo gobernar el uso de IA sin prohibirla, dado que también aporta valor.

Equilibrio y Gobierno: Gustavo responde que hay que entender el equilibrio entre funcionalidad y seguridad, que varía por negocio. Las empresas deben gobernar el uso de IA, definiendo quién puede subir qué tipo de información o realizar qué consultas. No se debe esperar que los usuarios se autorregulen.

Sistema de Gestión de IA: Se puede implementar un modelo de sistema de gestión de inteligencia artificial para establecer directrices desde el negocio hasta la tecnología.

Responsabilidad del Empleado: La empresa debe trabajar para que el empleado entienda que la información es crítica y que el mal uso puede acarrear consecuencias legales. Esto es parte del gobierno de la empresa.

Implementación de Políticas de IA: Sobre cómo implementar políticas de IA, se reitera que hay que enfocarse en lo más crítico del negocio e identificar la información indispensable para su operación. Esto requiere conocer los procesos de negocio y adaptar la seguridad a ellos, no al revés. El personal de ciberseguridad debe entender el modelo de negocio para identificar los procesos críticos que serán objetivo de los ciberdelincuentes, cuyo fin suele ser la extorsión.

Lourdes presentó el Bootcamp de Ciberseguridad de Cibertec, liderado por Gustavo.

Concepto Bootcamp: Nace para enseñar temas de manera práctica y sencilla, incluso a personas sin conocimientos básicos. Se enfoca en habilidades digitales clave para cualquier perfil profesional.

Tendencia reforzada: La necesidad de estas habilidades digitales se reforzó con la pandemia y la digitalización de las organizaciones.

Se presentó parte del portafolio de Cibertec, enfocado en ciberseguridad.

Se mencionaron otros bootcamps (IA Prompt Engineering, Gestión Inteligente de Datos).

Se ofrece un descuento especial y pago en cuotas.

Precio normal: 4,999 soles; Precio con descuento: 2,939 soles.

Opciones de pago: Hasta 12 cuotas sin intereses con tarjetas Diners, BCP y BBVA.

Inicio: 24 de junio.

Duración: 27 semanas.

Horas: 240 horas.

Certificación: Certificado de Cibertec con especialidad en ciberseguridad.

Acceso: Se invitó a seguir el enlace compartido en el chat o escaneando un QR, que lleva a la página de e-commerce con la malla curricular y opción de matrícula.

Finalmente, Lourdes agradeció la participación y el interés en el tema. Y también invitó a aprovechar la oportunidad de sumergirse en el mundo de la ciberseguridad a través del bootcamp.

¡No dejes pasar esta oportunidad de formarte en una de las áreas más demandadas del momento! Inscríbete ahora en nuestro Bootcamp de Ciberseguridad y aprovecha un 30% de descuento exclusivo en la web, con opción de pago en hasta 12 cuotas sin intereses.

Protege tu futuro profesional en un mundo cada vez más digital y vulnerable. Esta es tu oportunidad de adquirir habilidades clave para convertirte en un especialista altamente valorado en el mercado. ¡Click aquí para Inscríbete hoy mismo al Bootcamp de Ciberseguridad!