Lattre du Plessis.

Opinión

La III Guerra Mundial y los seguros cibernéticos

Guardar

Ciberseguridad empresarial
Ciberseguridad empresarial

La política del avestruz nunca ha salvado a nadie, ni a Sánchez, que lleva al PSOE de proclama triunfalista a proclama triunfalista hacia la catástrofe final. Como el general Custer. Y obviar tantos y tantos textos y testimonios que nos confirman que la III Guerra Mundial ya ha empezado no va a evitarla.

Empezando por “La tercera Guerra Mundial ha comenzado” (2004), de mi "primo" Laurent Artur Du Plessis, quien predijo la guerra de Irak y los ataques indiscriminados contra la población civil por parte de grupos islamistas. 

Desde este texto hasta "2034, A Novel of the Next World War", de Elliot Ackerman y James G. Stavridis (almirante 4 estrellas USA) casi todos coinciden en una serie de puntos:

  1. Que la mecha se encenderá con un “choque de civilizaciones” islam vs Occidente. Estuvimos a punto con el 11 S-
  2. Que los grandes perdedores serán Europa y el mundo islámico.
  3. Que antes de aviones, barcos y misiles cruzando cielo y mar nos encontraremos con una doble guerra económica y cibernética.

Respecto al tercer punto, en concreto a la guerra económica, ya estamos en ella. Para los que no lo sepan, el 70% del mercado de tierras raras lo controla China. ¿Le suenan estos nombres? Itrio, escandio, lantano, cerio, praseodimio, neodimio, prometio, samario, europio, gadolinio, terbio, disprosio, holmio, erbio, tulio, iterbio y lutecio. Deberían sonarle, porque sin ellos o sin sus componentes no se podrá entrar en la mitad del siglo XXI.

Como explica Juan Diego Rodríguez Blanco, profesor de nanomineralogía en el Trinity Colege de Dublín, "el holmio se emplea para crear barras de control en la industria nuclear, microondas... El neodimio sirve para hacer imanes muy fuertes, se usan para robots, coches, discos duros y turbinas eólicas”. Este experto indica que las llamadas tierras raras nos hacen falta "desesperadamente", pues se utilizan en la industria aeroespacial y militar, para crear vidrios resistentes y también para aditivos de combustibles, láseres y hasta misiles crucero.

Pero esto es asunto de un artículo posterior, porque hoy quiero poner el foco en el otro aspecto mencionado en ese tercer punto. Es decir, en la guerra cibernética, en la que también ya estamos inmersos.

En Los principios de los conflictos, y el Arte de la Guerra, los condicionantes tácticos siempre han sido elegir el lugar-posicionarse, la velocidad de desplazamiento y la capacidad de fuego.

El mar y el aire, como nuevos espacios de combate, nos daban una guerra de localización y destrucción del enemigo (a diferencia de tierra, que hay que ocupar ese espacio), y dominio, que no ocupación de esas dos dimensiones. Y ahora el ciberespacio, con su naturaleza abstracta e invisible, es el nuevo frente de guerra del siglo XXI.

Ni siquiera, se trata ya de tener arsenales cibernéticos, sino capacidades.

No se necesita el dominio de nada, ni la ocupación, solo la capacidad de hacerlo. Como el ataque estadounidense-israelí con Stuxnet sobre los ingenieros nucleares iraníes, una infiltración tan furtiva que los ingenieros ni siquiera se percataron.

No sabían qué estaba pasando. El equipo se dañaba constantemente, pero la causa era un misterio. Lo reemplazaban, pero volvía a ocurrir.

Los fallos causaron daños y retrasos al programa nuclear iraní era que un gusano informático llamado Stuxnet había infectado los sistemas electrónicos de la planta de enriquecimiento de uranio de Natanz, en Irán.

El descubrimiento de Stuxnet, en 2010, evidenció que los crímenes cibernéticos podían ir más allá del espionaje y el robo de datos con un fin económico: confirmó que se podían ocasionar daños físicos con una motivación política.

Y en esas estamos ahora.

¿Y cómo se concreta y se traduce eso a nivel cotidiano?

No hay más que ir al índice de Ciudades Inteligentes de IESE para hacerse una idea:

Aquí se puede comprobar, que de las 10 primeras del ranking, seis están en Europa -ninguna española-, siete son occidentales y tres asiáticas. Londres, Paris o Berlín se encuentran ahí, y como todos recordaremos, también han sido objeto de bombardeos en las guerras clásicas. 

Respiremos, paremos un momento, y pensemos en las consecuencias de estos ataques.

Aparte del daño concreto, este tipo de eventos tienen un efecto secundario muy importante: el psicológico. Y es que ya no hay sonido de sirenas, sensación de prevenirse, y esto es así porque la distancia física desaparece. En cambio se genera una sensación de miedo y ansiedad en la sociedad civil al pensar que todo lo que dependa de un programa informático puede ser programado para hacerte daño.

Y no solo hablo de la industria de la ciberseguridad, y sus esfuerzos por impedir estos ataques, sino de una alianza muy estrecha con el mundo del seguro, porque necesitamos paliar sus efectos.

Todos recordamos a Lloyds. El nombre Lloyd’s viene del apellido de Edward Lloyd, quien inauguró una cafetería en el sector financiero en la ciudad de Londres en 1688. Al poco tiempo se empezaron a juntar en su cafetería empresarios y mercantes de productos provenientes de y destinados a ultramar.

Y de ahí fue surgiendo entre los clientes de la cafetería la idea de compartir los riesgos de transportar mercancías Estos suscriptores o “aseguradores” pasaron a llamarse “Lloyd’s Underwriters”, y el negocio de suscribir y compartir los riesgos de un embarque se llamó un “Seguro”.

Ese riesgo compartido fue uno de los factores que hicieron de Inglaterra la mayor potencia naval hasta el siglo XX.

El ciberespacio es la nueva navegación. Sabemos que estamos en guerra, y que nuestras infraestructuras, servicios y empresas, van a ser atacados sí o sí.

De una parte, el Estado, con su mayor capacidad, toma las decisiones pertinentes y cuenta –esperemos- con los recursos para ello.

Pero la sociedad civil debemos ser conscientes y actuar en consecuencia a nuestro nivel. Se define la seguridad (cualquier tipo, desde una alarma a una alfombrilla baño) como el conjunto medidas tomadas para disminuir la probabilidad de un daño.  Y el seguro, como aquella cobertura que, una vez producida, disminuye su trascendencia.

España, es el tercer país con más ciberataques del mundo, tras USA y Reino Unido (unos 120.000 al mes), y durante el confinamiento fuimos el cuarto país con más incremento de ataques, luego la posibilidad de que estemos en la diana es cierta.

Contamos, además con uno de los mercados de seguros, más consolidados del mundo, tanto en empresas nacionales como internacionales.

Pero, necesitamos, siendo los terceros o cuartos con mayor riesgo, dos elementos para estar a nivel de Estados Unidos y Reino Unido, países que están considerados, respectivamente, como los que “mejor ataque” y “mejor defensa” tienen: 

  1.  Política de conciencia a nivel PYME y mediana empresa, con el siguiente ejercicio: Determinar el impacto que puede tener sobre tu negocio un ataque de hackers + enumerar las medidas de seguridad actuales. PROBABILIDAD.
  2. Ofertas claras de mix combinados, MEDIDAS+SEGUROS, que nos hagan más fácil esa toma de decisión.

Europa necesita de muchas alianzas y matrimonios de ese tipo. El mercado de la ciberseguridad aún es joven y muchas empresas están optando por renunciar a este tipo de seguro debido a su incierto retorno de la inversión (ROI). En los Estados Unidos, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), que opera bajo el Departamento de Seguridad Nacional (DHS), está alentando a las empresas a mejorar su seguridad cibernética a cambio de una mayor cobertura a tarifas más asequibles.

¿Cuáles son los pasos de un ciberataque?

  • Investigación: recopilar y analizar la información existente acerca del blanco para identificar vulnerabilidades y decidir quiénes serán las víctimas. En organismos estatales -y ya hemos visto lo del SEPE, que las “malas lenguas” dicen fue un “aviso” por la presencia de nuestros aviones en fronteras OTAN- mucho más difícil; en empresas mucho más fácil, casi regalado por el departamento de Marketing y RSC.
  • Transporte: llegar al punto débil del sistema informático que se puede explotar. Obviamente, con el teletrabajo estamos mucho más expuestos.
  • Ingreso: explotar esa vulnerabilidad para obtener acceso no autorizado. Para lograrlo, se modifica el funcionamiento del sistema, se accede a las cuentas en la red, se obtiene el control de la computadora, el celular o la tableta del usuario.
  • Afectar: realizar actividades dentro del sistema para lograr lo que el hacker quiere.

La pregunta que debe hacerse: ¿Qué podemos hacer para proteger mejor a estas empresas, a sus propietarios y a las personas que emplean?

Un hecho que se ha demostrado es que el empleo de medidas de ciberseguridad por sí solo no es suficiente. Si bien muchas ofertas de ciberseguridad están preparadas para prevenir y proteger contra ataques cibernéticos, sabemos que no es realista esperar que se bloqueen todas las amenazas. Los dueños de negocios deben estar preparados para lo peor con suficiente cobertura de seguro cibernético.

¿Un ejemplo?

En Europa, a raíz de la “espantada” USA de Afganistán, cada vez son más las voces que propugnan una mayor independencia de Europa, fuera del escudo OTAN.

Para ser realistas, tenemos que saber cuánto nos cuesta nuestro modelo de vida y nuestra libertad. Y Europa ya lo ha calculado: no menos de dos billones de euros en los próximos 5 años.

Y en ciberseguridad, como cuarta dimensión, pero la primera en número de ataques recibidas, en esa III Guerra Mundial, no menos de 200.000 millones de euros.

Un esfuerzo económico de este tamaño necesita de 3 cosas:

  1. Un sector de la Ciberseguridad que acompañe con resultados esta inversión. Esto es un asunto de Seguridad Nacional, y no vale esas empresas tipo CiberPP.com, PSOESecurity,com o Podemosevitarlo.es.
  2. Sabiendo de antemano, que como dice CISA-USA, podremos evitar la mayor parte de los ataques, pero no todos, se precisa de una oferta de ciberseguros que impidan caiga parte del PIB español por estos “bombardeos”.
  3. Una política de comunicación de Estado y empresas, seria y responsable, que sea capaz de –sin acongojarnos- sensibilizarnos en esta nueva situación.

En una reedición del 2 de Mayo, si nuestras calles e instituciones fuesen ocupadas por un enemigo nos organizaríamos y enfrentaríamos. Pero si ese mismo enemigo hiciera caer los servidores de citas de la Seguridad Social, del Metro Madrid o los semáforos, volcaríamos nuestra ira sobre las propias victimas (SS, Metro Madrid, etc.) De este tipo de guerra estamos hablando.