Natxo Vadillo
La dependencia digital y los riesgos emergentes: una tormenta perfecta
- Estrategia
- gerencia de riesgos
Desde las fábricas hiperconectadas que dependen de sensores inteligentes, hasta las herramientas de inteligencia artificial que analizan datos masivos en tiempo real, vivimos en un mundo donde las empresas están más conectadas que nunca. La interdependencia tecnológica se ha convertido en el núcleo de la economía global; sin embargo, esta conexión no solo multiplica las oportunidades, sino también los riesgos.
El informe «Negocios conectados: la dependencia digital alimenta el riesgo», publicado por QBE en colaboración con Control Risks, traza un panorama inquietante sobre cómo la transformación digital está intensificando la vulnerabilidad de las empresas y sectores estratégicos. Este análisis no solo identifica los peligros, sino que también lanza un mensaje claro: las empresas deben actuar ahora si quieren sobrevivir en un entorno cada vez más hostil.
El crecimiento digital y su impacto en la seguridad
La creciente digitalización, impulsada por el desarrollo de tecnologías como la inteligencia artificial (IA), el software como servicio (SaaS) o la infraestructura como servicio (IaaS), ha abierto nuevas oportunidades para las empresas, redefiniendo el panorama corporativo global. Según el informe, se espera que estos mercados crezcan exponencialmente en los próximos años, alcanzando cifras multimillonarias. Esto no es solo un indicativo de progreso; es también una señal de advertencia, ya que esta digitalización ha venido acompañada de un aumento significativo en las vulnerabilidades.
La dependencia de estas tecnologías está expandiendo la superficie de ataque de las empresas, haciendo que sean más propensas a incidentes cibernéticos de gran alcance. Porque los ciberdelincuentes están explotando estas tecnologías para robar datos, extorsionar empresas e incluso ejecutar ataques geopolíticos.
Incidentes emblemáticos: CrowdStrike y NotPetya
Basta con observar el impacto de eventos recientes como la interrupción en CrowdStrike en 2023, que dejó fuera de servicio 8,5 millones de dispositivos Windows, causando pérdidas estimadas en 5.400 millones de dólares para empresas globales. Aunque este incidente fue producto de un error humano y no de un ataque malicioso, sus repercusiones revelan cuán frágil puede ser la infraestructura tecnológica en la que hemos depositado nuestra confianza.
Por supuesto, no todos los incidentes son fortuitos. El informe destaca el ciberataque NotPetya de 2017 como un ejemplo paradigmático de la devastación que los actores maliciosos pueden causar. Diseñado para parecer ransomware, este ataque en realidad buscaba causar interrupciones masivas, afectando sectores críticos como la logística y el transporte en Europa, América del Norte y Asia Pacífico. Con daños estimados en 10.000 millones de dólares, NotPetya fue un recordatorio brutal de cómo las ciberamenazas pueden desestabilizar no solo a las empresas individuales, sino también a economías nacionales enteras.
El auge del ransomware: una amenaza omnipresente
Uno de los aspectos más alarmantes del informe es el ascenso imparable del ransomware. En 2023, este tipo de ataque creció un 74 % respecto al año anterior, con pagos de rescates que superaron los 1.000 millones de dólares a nivel mundial. Los ciberdelincuentes han perfeccionado sus tácticas, adoptando estrategias como la «caza mayor», en la que se dirigen a grandes corporaciones con demandas de rescate exorbitantes, a menudo superiores a los 50 millones de dólares.
Este fenómeno ha colocado a sectores como el manufacturero y la sanidad en el ojo del huracán. Con el 65 % de las empresas manufactureras informando ataques en 2023, y un preocupante aumento del 81,7 % en los ataques a organizaciones sanitarias, queda claro que ningún sector es inmune. Y para los ciberdelincuentes, estos sectores son especialmente atractivos debido al impacto punitivo que la interrupción de sus operaciones puede causar.
La interdependencia entre empresas y sus proveedores añade otra capa de complejidad. El informe revela que el 22 % de las infracciones de seguridad en 2023 fueron el resultado de ataques indirectos a través de proveedores de TI. Un ejemplo contundente fue el incidente relacionado con MOVEit, donde una vulnerabilidad de día cero permitió a los atacantes infiltrarse en 2.180 organizaciones. Este tipo de ataques no solo pone en peligro a las empresas directamente afectadas, sino que también compromete a toda su cadena de suministro, amplificando las repercusiones de manera exponencial.
Inteligencia artificial: ¿aliada o enemiga?
En este contexto, la inteligencia artificial emerge como un arma de doble filo, pues se ha convertido en una herramienta clave tanto para la defensa como para el ataque en el ámbito de la ciberseguridad. En el lado positivo, permite identificar patrones anómalos y amenazas en tiempo real, automatizando respuestas y reduciendo el tiempo de reacción ante incidentes.
Sin embargo, su uso por ciberdelincuentes ha transformado las tácticas de ataque. Tecnologías como los deepfakes y el phishing basado en IA han facilitado fraudes altamente personalizados, mientras que herramientas generativas están ayudando a crear malware avanzado con una precisión inquietante. Como destaca el informe, el ritmo al que se desarrollan estas tecnologías también está aumentando la capacidad de los atacantes de menor perfil, democratizando el acceso a herramientas avanzadas y ampliando aún más el alcance de las amenazas.
La proliferación de dispositivos IoT y servicios en la nube amplifica estos riesgos, ya que los atacantes utilizan IA para detectar y explotar vulnerabilidades en redes complejas. A pesar de ello, la IA también puede ser una poderosa aliada si se emplea estratégicamente, ayudando a las empresas a anticiparse a las amenazas, fortalecer su ciberdefensa y formar a sus empleados. El desafío está en aprovechar sus beneficios sin subestimar los peligros que representa en manos equivocadas, lo que requiere un enfoque proactivo y colaborativo para mitigar riesgos en un entorno digital cada vez más hostil.
Lecciones para el sector asegurador
Desde una perspectiva de gestión de riesgos, el panorama que describe este informe es tan alarmante como clarificador: las empresas que no inviertan en resiliencia cibernética están jugando con fuego. Esto incluye desde la implementación de medidas básicas, como la segmentación de redes y la actualización constante de sistemas, hasta estrategias más avanzadas, como la colaboración con aseguradoras especializadas que puedan ofrecer coberturas adaptadas a los riesgos emergentes, ofreciendo no solo protección financiera, sino también herramientas de gestión de riesgos cibernéticos y respuesta ante incidentes.
La interdependencia tecnológica y el aumento de las amenazas cibernéticas presentan un panorama complejo, pero también ofrecen al sector asegurador la oportunidad de posicionarse como un aliado estratégico en la lucha contra estos riesgos. En un contexto donde los ciberataques son inevitables, las aseguradoras tienen la responsabilidad de ir más allá de la simple compensación económica tras un incidente: la clave está en promover un enfoque preventivo, ofreciendo soluciones integrales que aborden la gestión de riesgos desde múltiples frentes.
Una lección fundamental que se desprende del informe de QBE es la importancia de personalizar las pólizas cibernéticas. Las amenazas varían significativamente según el tamaño de la empresa, el sector en el que opera y su nivel de madurez tecnológica. Por lo tanto, es imprescindible que las aseguradoras colaboren estrechamente con sus clientes para diseñar coberturas a medida, lo que no solo mejora la protección, sino que también fortalece la confianza del cliente en su capacidad para enfrentar riesgos específicos.
Además, el sector asegurador debe desempeñar un papel activo en la educación y preparación de las empresas. La introducción de herramientas como plataformas de simulación de ciberataques, evaluaciones de vulnerabilidad y talleres de concienciación puede marcar la diferencia entre prevenir un ataque y limitarse a reaccionar una vez que ocurre. La formación del personal es crítica, ya que la ingeniería social sigue siendo una de las tácticas más efectivas de los ciberdelincuentes; y las aseguradoras pueden liderar iniciativas para equipar a las empresas con las habilidades necesarias para identificar y responder a amenazas en tiempo real.
Otra lección clave es la integración de la inteligencia artificial y el análisis predictivo en los servicios aseguradores, que tienen la oportunidad de aprovechar estas tecnologías para identificar tendencias emergentes en ciberamenazas y anticiparse a ellas. Al ofrecer informes personalizados basados en datos, pueden ayudar a las empresas a reforzar sus sistemas antes de que sean atacados, lo que no solo protege a las empresas, sino que también reduce la probabilidad de reclamaciones.
Por último, pero no menos importante, las aseguradoras deben posicionarse como socios de confianza en los momentos más críticos. Esto implica ofrecer servicios de respuesta inmediata ante incidentes, como acceso a equipos forenses, asesoramiento legal y apoyo en la gestión de crisis reputacionales. Además, las aseguradoras también pueden facilitar la recuperación tras un ciberataque, ayudando a las empresas a implementar medidas para evitar futuras brechas y restaurar sus operaciones con rapidez.
Trabajando juntos hacia la resiliencia cibernética
El sector asegurador tiene ante sí un reto y una oportunidad únicos. La ciberseguridad no es un problema que pueda resolverse únicamente con tecnología o recursos internos; requiere un enfoque colectivo y colaborativo. Las aseguradoras que adopten un papel más activo y estratégico en la prevención y gestión de riesgos estarán no solo protegiendo a sus clientes, sino también contribuyendo a la estabilidad y resiliencia de todo el ecosistema empresarial.
En un mundo digital cada vez más hostil, la capacidad de anticiparse y adaptarse será el factor que determine el éxito, tanto para las empresas como para las aseguradoras que las protegen. Y las empresas que adopten un enfoque proactivo, invirtiendo en tecnología defensiva, formación y colaboración con socios estratégicos, estarán mejor posicionadas para enfrentarse a la tormenta perfecta que se avecina. Para el resto, el futuro digital puede ser tan prometedor como peligroso.
—-