Vivimos en un mundo totalmente interconectado que ha modificado la forma en la que vivimos, trabajamos o nos comunicamos. Si bien estos avances han supuesto una infinidad de ventajas, no se puede olvidar que también acarrean inconvenientes, como una mayor exposición frente a las ciberamenazas. De esta manera, ¿cómo disfrutar de los beneficios del mundo digitalizado y evitar los peligros asociados al mismo?
La respuesta pasa por establecer una defensa lo más avanzada y certera posible frente a esas amenazas, y la mejor herramienta para ello es la ciberinteligencia. A diferencia de las medidas de seguridad tradicionales, que abordan sus operaciones de forma reactiva, la ciberinteligencia adopta un enfoque proactivo, que busca anticipar y prevenir cualquier tipo de ataque antes de que pueda causar daños.
Solo basta con echar un vistazo rápido a todos los informes que se hayan realizado en los últimos meses para comprobar que España está en el punto de mira de los cibercriminales. De hecho, casi la mitad de las empresas españolas han sufrido un ataque en los últimos años y en 2024 el número total se incrementó hasta un 15 % respecto al año anterior. Nuestro país se encuentra, en la actualidad, en el top 10 de países más azotados por la ciberdelincuencia, por lo que aún hay mucho camino por recorrer en el campo de la seguridad digital. Esto se debe en gran medida al complejo tejido empresarial español, compuesto casi en su totalidad por PYMES, menos preparadas para afrontar ataques al no disponer de los mismos recursos que las grandes corporaciones ni de departamentos especializados.
No obstante, Europa también ha puesto el foco en este problema, impulsando legislaciones como NIS2 y DORA con el propósito de promover una seguridad más sólida en las empresas de la Unión, poniendo primero especial énfasis en servicios críticos y entidades bancarias, pero con vistas a una ampliación generalizada. De hecho, en España, se espera que gran parte de la inversión adicional en defensa para cumplir con la exigencia de la OTAN de dedicar un 2 % a este ámbito se centre en reforzar la ciberseguridad. La decisión ha sido celebrada por muchos expertos, ya que incrementar el gasto era una asignatura pendiente, especialmente si comparamos las cifras con otros países de la Unión (Gasto en España en 2024: 300 millones de euros vs más de 1000 millones en Francia o Alemania).
Este empeño por reforzar la seguridad es particularmente relevante en el paradigma geopolítico actual, con varios conflictos que aumentan la proliferación de amenazas y su morfología, pues ya no pasan tanto por un ataque físico sino por ataques digitales a infraestructuras críticas como centrales energéticas o de procesado de aguas, que tienen una repercusión directa en la vida de los ciudadanos. En este complejo y cambiante contexto las herramientas tradicionales de seguridad no son suficientes, por lo que se debe apostar por la inclusión de soluciones más avanzadas como la ciberinteligencia para evitar o mitigar el impacto de los ciberataques.
La ciberinteligencia es el proceso sistemático de recopilación, análisis y contextualización de datos digitales para poder anticipar y detectar posibles amenazas antes de que se materialicen. Esta herramienta hace uso de tecnologías avanzadas como la Inteligencia Artificial, el Big Data o el Machine Learning para mapear patrones, correlacionar información de diferentes fuentes y predecir con ello los comportamientos maliciosos. Uno de los aspectos más interesantes asociados a la ciberinteligencia es que no se queda en un mero bloqueador de ataques, sino que aporta información de gran valor para comprender todos los pormenores de las amenazas, y como explica el dicho popular, el conocimiento es poder.
Mientras que los sistemas tradicionales de protección se ponen en marcha una vez se ha producido una incidencia, la ciberinteligencia está rastreando constantemente para analizar y detectar comportamientos anómalos, con el objetivo de estar siempre un paso por delante de los cibercriminales.
Esto se puede realizar de diferentes formas, según la especialización de la empresa que preste sus servicios de ciberinteligencia. Por un lado hay entidades que se enfocan en la monitorización y gestión de la superficie de ataque externa (EASM, por sus siglas en inglés). Esto se traduce en identificar y analizar las vulnerabilidades y los activos expuestos de una empresa en internet, como servidores, aplicaciones web y bases de datos. La información obtenida no solo es útil para reforzar esas áreas, sino que también es clave en el cumplimiento normativo, permitiendo abordar las brechas de seguridad para evitar sanciones legales, por ejemplo, en cuestiones de cumplimiento con la protección de datos evitando filtraciones.
Por otro lado, para proporcionar mayor conocimiento sobre las amenazas y los actores maliciosos, otra rama de la ciberinteligencia utiliza rastreo y minería de datos para extraer información de una diversa variedad de fuentes, tanto privadas como públicas (esto pueden ser, por ejemplo, redes sociales o foros) así como la dark web. Para esto se aplican nuevas técnicas como algoritmos de procesamiento de lenguaje natural (NLP) y aprendizaje automático (ML), así como software especializado para automatizar la recopilación de datos, superando las dificultades que presentan estas fuentes, como el anonimato y el cifrado. La información posteriormente se indexa y analiza para identificar patrones y conexiones relevantes que puedan indicar una amenaza próxima. Gracias a esto se puede hacer seguimiento de la actividad de grupos de hackers o detectar preventivamente ataques de ransomware o DoS.
No hay que olvidar tampoco una pieza esencial de la infraestructura de ciberseguridad y detección de ataques, imprescindible para la mayoría de empresas, pues es habitual trabajar con proveedores externos. Se trata de la gestión del riesgo de proveedores y terceros, que suponen uno de los mayores vectores de entrada de ciberataques. Para ello se usan soluciones TPRM (Third Party Risk Management) como SecurityScore Card.
Me gustaría terminar destacando tres virtudes especialmente relevantes asociadas a la ciberinteligencia frente a las metodologías tradicionales, ya que son elementos transformadores que han permitido cambiar el paradigma de la seguridad digital. Por un lado está el alcance, pues mientras que habitualmente se suele operar por silos, la ciberinteligencia ofrece una visión holística con toda la información relevante para tomar decisiones informadas. Por otro lado, la adaptabilidad, ya que pese a que las metodologías tradicionales son vulnerables a los nuevos ataques (especialmente ahora que se ha introducido la Inteligencia Artificial para su confección), la ciberinteligencia y sus análisis avanzados aprenden constantemente y evolucionan junto a la amenaza. Finalmente, en caso de que el ataque no pueda evitarse, la velocidad, pues con los datos recopilados, la ciberinteligencia clasifica la amenaza y activa las defensas, reduciendo enormemente el tiempo de respuesta.
Carlos Lillo, Director de Ciberseguridad de nettaro
