Resumen: Los proveedores de TI de Long Island informan que más empresas están invirtiendo en ciberseguridad antes de que ocurra un incidente. Las estafas de phishing y robo de pagos basadas en inteligencia artificial continúan apuntando a las pequeñas empresas. Los requisitos de seguros cibernéticos, las leyes de privacidad de datos y los riesgos de los proveedores impulsan los estándares de seguridad. Los expertos dicen que la capacitación de los empleados y una cultura de ciberseguridad a largo plazo son importantes para reducir las infracciones.
Las llamadas de pánico a la ciberseguridad generalmente se realizan después de que algo sale mal, como un enlace defectuoso, un sistema congelado o una cuenta de correo electrónico comprometida.
Ahora, los proveedores de TI dicen que las empresas de Long Island hacen cada vez más llamadas telefónicas antes de que ocurra un desastre. Dado que octubre es el Mes de la Concientización sobre la Ciberseguridad, muchos ven este cambio como una señal de que la concientización finalmente se está convirtiendo en acción.
“La mayoría de las empresas se están tomando la ciberseguridad más en serio que antes”, afirmó Chris Coluccio, director general de Techworks Consulting en Bohemia. “Cuando mencionamos las evaluaciones de seguridad y las protecciones básicas, la gente ahora realmente escucha. Hay presión de los clientes, proveedores, compañías de seguros. Las pequeñas empresas están empezando a darse cuenta de que pueden ser atacadas tanto como las empresas más grandes”.
El avance hacia la seguridad proactiva se produce en medio de una ola implacable de ataques, que van desde tácticas de la vieja escuela hasta esquemas impulsados por inteligencia artificial. Pero Coluccio dijo que el phishing y los ataques de “hombre en el medio”, en los que los piratas informáticos pretenden ser contactos confiables para desviar pagos o robar información, siguen siendo los más comunes y efectivos.
“La estrategia no ha cambiado mucho”, afirma. “Simplemente hicieron caer el mercado. Las mismas tácticas que afectaron a Sony y Target hace unos años ahora están afectando a las pequeñas empresas”.
Armando Dacold, presidente y director ejecutivo de CMIT Solutions en el sur de Nassau, dijo que estas pequeñas empresas a menudo creen que son demasiado pequeñas para ser un objetivo, y él dedica mucho tiempo a corregir esa idea errónea.
“A los ciberdelincuentes no les importa quién eres. Les importa lo cómodo que estés”, dijo Dacold. “La mayoría de los ataques son automatizados. Los piratas informáticos buscan debilidades, no nombres. Eso significa que si sus contraseñas son débiles o su software no está actualizado, usted es un objetivo”.
Dacord dijo que la pequeña empresa promedio no puede permitirse un equipo de ciberseguridad dedicado, lo que hace que medidas básicas como la autenticación multifactor, la administración de contraseñas y la aplicación de parches al sistema sean esenciales.
“Todavía necesitamos capas de protección”, dijo. “El seguro cibernético y las copias de seguridad sólidas son imprescindibles”.
A medida que mejoren las herramientas defensivas, Dacold dijo que el progreso real se producirá cuando los hábitos de seguridad se vuelvan tan rutinarios como la nómina. Pero a medida que las empresas se ponen al día con las defensas básicas, los atacantes ya están empezando a pasar al siguiente vector de amenaza: la inteligencia artificial.
“Todo es más rápido con la IA”, afirma Coluccio. “Los atacantes ahora pueden crear mejores correos electrónicos de phishing, encontrar vulnerabilidades más fácilmente e incluso imitar voces, mientras nosotros utilizamos la IA para escanear redes, identificar debilidades y acelerar los esfuerzos de cumplimiento”.
Alan Winchester, socio de Harris Beach Martha y jefe de la práctica de ciberseguridad de la empresa, dijo que la acelerada batalla por la IA está creando nuevos desafíos legales y éticos. Asesora a las empresas sobre cómo navegar en el mosaico de leyes de privacidad de datos y cuestiones de responsabilidad posterior a la infracción, que evolucionan rápidamente.
“La IA ha facilitado que los ciberdelincuentes aprovechen las debilidades, pero también ha facilitado que las empresas detecten y prevengan ataques”, dijo Winchester. “El sistema legal aún tiene que ponerse al día. Actualmente estamos lidiando con preguntas como: ¿Quién es responsable cuando se utiliza la IA para generar ataques o defenderse de ataques? ¿Qué sucede con los datos que recopilan esos sistemas?”
Winchester dijo que las regulaciones varían según el estado y la industria, y las empresas deben hacer malabarismos con requisitos de cumplimiento superpuestos.
“Para algunos clientes, la supervivencia es más importante que la seguridad”, afirmó. “Si trabaja en el sector de la salud, la manufactura o las finanzas, está sujeto a múltiples regulaciones a la vez. Y los reguladores están comenzando a exigir pruebas de cumplimiento, no sólo promesas”.
Winchester añadió que las empresas también deberían revisar los contratos de los proveedores y los acuerdos de privacidad de datos para ver cómo los socios manejarán la información compartida. Las lagunas en estos contratos a menudo se convierten en obligaciones después de un incumplimiento.
En todo Long Island, un laberinto de requisitos legales y de seguros ha hecho de la ciberseguridad una parte permanente del negocio en lugar de un elemento del departamento de TI.
Las pequeñas y medianas empresas están sintiendo especialmente la presión. Dacord dijo que las aseguradoras de ciberseguridad han endurecido sus estándares en los últimos años, exigiendo evidencia de programas de capacitación, copias de seguridad de datos y autenticación multifactor antes de suscribir una póliza.
“Las compañías de seguros estaban en el punto de mira”, afirma. “Comenzaron a darse cuenta de que la mayoría de sus reclamos de seguros provenían de compañías que no seguían las mejores prácticas, por lo que ahora, si no se cuentan con ciertas salvaguardias, no se obtiene cobertura o se termina pagando el triple del precio”.
La formación de los empleados sigue siendo un punto débil. Según Coluccio, muchas infracciones todavía comienzan con un error humano.
“Puedes gastar todo tu dinero en firewalls y software, pero si alguien hace clic en el correo electrónico equivocado, vuelves al punto de partida”, afirma. “Por eso la formación es tan importante. La formación debe ser continua, no una vez al año. Cambia cada mes”.
Winchester estuvo de acuerdo.
Incluso las mejores políticas no tienen sentido si los empleados no comprenden sus funciones.
En el mantenimiento de la seguridad.
“En lugar de que un firewall haga clic en un enlace de phishing, un ser humano hace clic en él”, dijo. “La cultura importa. La mejor defensa son los empleados que saben cómo detectar los riesgos”.
Incluso con defensas mejoradas, ningún sistema es infalible. Coluccio dijo que es necesario responder de forma inmediata y sistemática a las empresas sospechosas de infringir la ley.
“El primer paso es aislar el problema. Apagar los sistemas afectados”, dijo. “Luego llame a su abogado, luego llame a su compañía de seguros. No lo oculte ni intente resolverlo usted mismo. Cada minuto cuenta”.
Y a medida que los ciberataques se vuelven más personales, con voces deepfake, clonación de voces e ingeniería social convirtiéndose en parte del panorama de amenazas, la línea entre las vulnerabilidades digitales y humanas continúa difuminándose.
“Podrías llamar a tu oficina mañana con tu propia voz generada por IA y la mayoría de la gente no notaría la diferencia”, dice Coluccio. “Ahí es donde nos encontramos ahora. Así que el siguiente paso es crear conciencia”.
Winchester está de acuerdo en que, aunque la concienciación está aumentando, el elemento humano sigue detrás de las amenazas modernas.
“La tecnología está evolucionando más rápido que el comportamiento humano”, afirmó. “Es por eso que meses de concientización como este siguen siendo tan importantes porque mantienen este tema en la mente”.
Y aunque la tecnología continúa evolucionando, los expertos dicen que el verdadero cambio se producirá cuando las empresas traten la ciberseguridad como una inversión a largo plazo en lugar de un proyecto único. Para Daccord, proteger a las personas, no sólo a las redes, es lo que lo mantiene dedicado.
“No vendemos peladores de patatas en la televisión”, dijo Dacold. “Estamos protegiendo a las personas. A veces puede resultar frustrante, pero también es un trabajo gratificante”.
