La intel·ligència artificial, clau per lluitar contra la ciberdelinqüència

Cada 39 segons, es produeix un ciberatac. El 2023, n'hi va haver més de 2.200 al dia, una xifra molt elevada. No només afecta temes econòmics: el ciberatac a l'Hospital Clínic de Barcelona l'any passat va posar en perill la salut i la privadesa dels pacients. L'accelerada transició digital obre la porta perquè el crim augmenti exponencialment, fet que col·loca la ciberdelinqüència entre els temes més importants de l'agenda social, política i econòmica.

Per debatre sobre la ciberseguretat, els atacs a través d'internet i les millors estratègies per prevenir-los i detectar-los, El Periódico va celebrar el segon Fòrum de Ciberseguretat el 7 de novembre a Barcelona. Hi van participar veus expertes com Marcos Gómez Hidalgo, subdirector de l'Institut Nacional de Ciberseguretat (INCIBE); Manel García, responsable de ciberseguretat a la zona nord-est de SIA (Indra); Llorenç Malo, CIS de CaixaBank; José Luis Rojo de Luque, soci de Ciberseguretat d'EY, i María Mira, surts manager est de Fortinet. Va moderar la taula de debat Martí Saballs, director d'Informació Econòmica de Prensa Ibérica.

El subdirector de l'INCIBE va obrir la cita amb una xerrada sobre la consolidació en ciberseguretat i la integració de la intel·ligència artificial, un dels paradigmes principals de l'actualitat. "Hem d'adaptar-nos als canvis i prevenir-los -va afirmar Gómez.- Espanya ha estat el primer país a elaborar una estratègia nacional d'IA". El potencial d'aquestes eines fa que siguin molt perilloses, però també molt útils si se saben fer servir.

Arma de doble tall

"Amb la IA podem millorar la gestió d'incidents de ciberseguretat, entrenant el sistema amb estadística i modus operandi per optimitzar aquesta gestió i donar respostes de recuperació més ràpides", va explicar. I va afegir que es poden utilitzar per detectar vulnerabilitats del sistema i entrenar i formar professionals del sector. "La IA ens ha d'ajudar a la següent evolució de l'ésser humà". Tot i això, no va oblidar totes les amenaces d'aquesta nova eina. "La que s'utilitza més són les fake news: la desinformació, vídeos de polítics, actors o futbolistes, dient coses que no han dit, imatges falses… Ho hem vist a Ucraïna i Gaza". La intel·ligència artificial és doncs una arma de doble tall. "Un ciberdelinqüent pot fer servir la IA per cometre frau bancari, però també es pot utilitzar per detectar-ho, si poses la IA treballant en ciberseguretat, tindràs més èxit", ha destacat.

El repte de formar talent

Per dur a terme aquesta implementació, el subdirector de l'INCIBE va calcular que calen més de 70.000 professionals només a Espanya en l'àmbit de ciberseguretat, gairebé el doble que l'any passat. Les xifres actuals, tant d'universitats com de cicles formatius, no arribaran a cobrir aquesta demanda. "Un repte fonamental és el talent, la manca de personal", va coincidir María Mira. "A Espanya hi ha universitats d'enginyeria potents, però calen anys d'experiència per arribar a la maduresa necessària. A Fortinet som 200 persones, però no seríem ningú sense els col·laboradors, és important crear una xarxa", va detallar.

En canvi, a la ciberdelinqüència no hi falten professionals. "Ens enfrontem a organitzacions criminals que generen el tercer PIB més gran del món. La persecució d'aquests crims és complexa. Què podem fer? Organitzar-nos, col·laborar perquè la informació flueixi -va resoldre García, de SIA (Indra)-. O treballem de manera organitzada i col·laborativa o estem a costa dels ciberdelinqüents". Treballar de manera coordinada permetria actuar més ràpid i preparar processos per reaccionar.

Sovint, va assenyalar, causa vergonya admetre que s'ha estat víctima d'un cibercrim, però denunciar-ho és essencial per tenir la informació més gran possible sobre els ciberdelinqüents. "Als simulacres d'incendis sabem què cal fer, també hauria de passar a la ciberseguretat", va posar com a exemple. Va coincidir que la IA pot ajudar, però que sense la unió de les empreses i una bona organització seria inútil.

Els experts van coincidir que la ciberseguretat ha de formar part de la cultura empresarial, tots els treballadors han de ser conscients dels riscos que comporten els ciberatacs i cal invertir en augmentar la prevenció. "Tota mena d'empreses reben amenaces: grans, mitjanes, petites, de tots els àmbits. El crim organitzat no entén de mida, sinó de facilitats", va emfatitzar Rojo. "Hi ha certs sectors que fa molt temps que inverteixen en ciberseguretat, la gran empresa té més recursos per fer-ho, però per a la resta invertir no és opcional", ha afegit.

A causa del teixit empresarial espanyol, conformat per una gran majoria de pimes, la inversió en ciberseguretat ha estat menor que en altres llocs, cosa que ha fet aquest “sigui un dels països més atacats del món”. Tot i això, l'especialista ha destacat que és un referent mundial de ciberseguretat i dels seus serveis.

Un dels punts fonamentals per protegir-se és tenir un bon pla. "Si hi ha un sistema d'alerta reaccionarem abans i de manera més eficaç", va explicar el soci d'EY. "Cal assajar, fer simulacions, aconseguir que tota l'empresa ho tingui molt interioritzat. Aquest dia D, si s'improvisa, malament. Perds temps i, com més temps passi, més grans seran els impactes", va argumentar. Quan el moderador els va preguntar què passaria en cas de no tenir un pla preparat, els experts en ciberseguretat van negar amb el cap, això ja no és una opció: “Si no tens un pla, busca ajuda en una empresa, al teu proveïdor de ciberseguretat , però caure davant d'una amenaça i pagar el que et demanen els delinqüents és la darrera opció”.

Pagar un rescat hauria de ser el darrer recurs. "D'una banda, col·labores amb una organització criminal, i de l'altra, res no et garanteix que puguis recuperar la informació", ha destacat Rojo. "Et convertiràs en el client VIP i obriràs les portes perquè es pugui extorsionar més empreses", va afegir l'expert de ciberseguretat de SIA.

Empreses com aquesta i la dels altres professionals són un gran recurs per protegir-se d'aquests atacs, ja que comptar amb experts en ciberseguretat propis no sempre és viable. "Cada vegada hi ha més conscienciació que s'ha d'invertir, fins i tot l'empresa mitjana està conscienciada -va apuntar Mira-. Tot i això, la carència sovint són els seus propis recursos. Som tan pocs que les millors empreses atrauen el talent i les pimes queden desemparades".

No només les empreses han de prendre consciència de la importància de la ciberseguretat. Cada dia milions de persones regalen sense adonar-se'n milers de dades pròpies. Accedeixen a internet, utilitzen xarxes socials, instal·len noves aplicacions on s'han de registrar amb el correu electrònic i accepten totes les cookies per poder entrar en una web. Una cosa que pot semblar tan inofensiva com posar la teva data d'aniversari o crear un usuari amb el teu nom alimenta tot un banc de dades que es pot fer servir en campanyes publicitàries i polítiques, però també en ciberatacs.

Baula més feble

Per als experts, aquest desconeixement i la vulnerabilitat dels ciutadans fan que siguin un objectiu freqüent per als ciberdelinqüents. "La baula més feble són les persones", va destacar Malo, CIS de CaixaBank. Tot i que les entitats bancàries són contínuament atacades, estan altament protegides, però sovint les persones lliuren les seves credencials bancàries de forma conscient o inconscient. "És molt més fàcil que, mitjançant un phishing, un delinqüent pugui obtenir les credencials per entrar al nostre compte que arribar a aquesta informació trencant les mesures de seguretat de les entitats", va alertar.

Des d'entitats com CaixaBank ja preveuen aquest tipus d'atacs i tenen mecanismes per protegir els clients. "Si una persona fa operatives no freqüents, ho podem detectar", va afegir. Com que és un dels sectors més atacats, tenen molta conscienciació. "Manegem informació molt crítica, la segona més important després de la salut. Per això fem una inversió molt forta per protegir els clients". Igual que els bancs, la majoria de les empreses han hagut d'implementar la ciberseguretat, a través de figures com el CISO o empreses externes de ciberseguretat, com Fortinet, SIA o EY.

"La transformació digital accelerada ha fet que estiguem més exposats al cibercrim -va reiterar la sales manager de Fortinet-. Les empreses són cada cop més conscients". No passa el mateix amb la ciutadania. "Proporcionem informació personal a internet perquè no se'n valoren les conseqüències. A canvi d'utilitzar una cosa gratuïta, donem informació sense problema. Si ho multipliques per milers, té un valor molt important", va alertar Rojo. Si aquesta informació arriba als ciberdelinqüents, és més probable que siguem víctimes d'un atac. "Els seus enganys funcionen perquè usen informació veraç dels afectats".

Qüestió d'identitat

"Fa res uns xavals lliuraven els seus iris a través d'un escaneig a canvi d'unes criptomonedes, una informació molt valuosa -va alertar l'especialista de SIA-. La identitat es pot veure compromesa, i és el nostre actiu més important a protegir". A través de la informació que regalem i la que ens poden robar, la suplantació d'identitat és cada cop més fàcil.

A Indra consideren que la bona ciberseguretat es basa en tres punts: el que recordem, com a contrasenyes; el que tenim, com ara pendrives, smartphones o dispositius amb contrasenyes que permeten identificar-nos, i el que som, com la nostra empremta digital. Un element clau és la creació de bones contrasenyes. "Les fàcils -l'aniversari del teu fill, el nom de la teva mascota- són les primeres que permeten l'accés a ciberdelinqüents", va recalcar el CISO de CaixaBank. "És millor fer servir contrasenyes complexes, fins i tot les que et proporciona el mateix navegador, i gestionar-les amb gestors de contrasenyes".

"Cal aconseguir que els ciutadans europeus estiguin més conscienciats", va insistir Malo. Després de la pandèmia, la transició digital s'ha accelerat, així com també ha crescut la preocupació per la ciberseguretat i l'interès per part de governs com Espanya i la UE. "Quan en una empresa es pregunta qui treballa en l'àmbit de la ciberseguretat, la resposta correcta hauria de ser tots. Tots hem de ser responsables tant a la feina com a la vida privada", ha afegit. "Igual que ensenyes el teu fill a moure's per la ciutat, cal ensenyar a navegar per internet", ha conclòs.