2023 pasará a la historia como un año de transición para la ciberseguridad y la tecnología de la información en general. La computación cuántica está aún en pañales y la inteligencia artificial se limita todavía a la creación de contenidos escritos y visuales (en su mayoría) auténticos, más que a la Inteligencia Artificial General. La tecnología transformadora llegará pronto, pero mientras tanto, seguimos luchando contra el aumento de los índices de delincuencia en línea y una economía tambaleante en gran parte del mundo desarrollado.

2024 puede ser el año en que empecemos a ver cómo estos temas comienzan realmente a cambiar el mundo, y su impacto se dejará sentir en el ámbito de la ciberseguridad y, en última instancia, en todas nuestras vidas. En este artículo, examinaremos algunos de los avances más importantes que nuestros expertos ven venir en 2024, tanto en tecnología como en el mundo en general con el que se cruza.

El efecto 2000 de PQC

Aunque para los usuarios de ordenadores domésticos el "efecto 2000" era en gran medida un mito y las historias de 'aviones cayendo del cielo y reactores nucleares apagándose' fueron muy exageradas, la transición del siglo XX al XXI sí produjo problemas en una serie de sistemas heredados vitales que era necesario abordar.

Vemos similitudes con la criptografía post-cuántica (PQC) que protegerá todos los sistemas informáticos y la comunicación contra los ataques de los ordenadores cuánticos. A diferencia del efecto 2000, no tenemos una fecha fija para saber cuándo los ordenadores cuánticos serán capaces de romper la criptografía actual, pero cuando llegue el día en que los ordenadores cuánticos sean capaces de romper la criptografía actual, afectará a toda la sociedad. Para las grandes organizaciones y gobiernos que dependen de sistemas heredados, el impacto podría ser especialmente peligroso. Con IBM anunciando un chip cuántico de 1.000 qubits y un chip de 133 qubits resistente a errores es evidente que se están produciendo avances.

Ya ha habido un esfuerzo concertado para desarrollar criptografía segura desde el punto de vista cuántico, y ya está ampliamente desplegada - desde hace varios años. Con el efecto 2000, la industria realizó un esfuerzo concertado para reducir el riesgo de que causara un impacto significativo. Ahora, deben realizarse los mismos esfuerzos para evitar un apocalipsis de datos en el futuro. Es un largo proceso de adaptación a la realidad de la computación cuántica, pero uno que ya ha comenzado en serio y que se acelerará este año.

Inteligencia artificial

La mayor historia digital de 2023 seguirá siendo sin duda un tema importante en 2024 y, como muchas nuevas tecnologías, pasará de ser una novedad a una necesidad, con una regulación en vigor para mantenerla a salvo.

Ya hemos visto a agencias de ciberseguridad de gobiernos de todo el mundo reunirse para trabajar en principios de seguridad para la IA haciendo hincapié en el diseño, el desarrollo, el despliegue, las operaciones y el mantenimiento. De hecho, se ha alcanzado un acuerdo entre la Presidencia del Consejo y el Parlamento Europeo sobre la propuesta de normas armonizadas para la inteligencia artificial - la llamada Ley de IA. El proyecto de reglamento pretende garantizar que los sistemas de IA comercializados en la UE y utilizados en la Unión sean seguros y que respeten los valores y derechos fundamentales de la UE. Gran parte de lo que la guía expone son los mecanismos de seguridad propuestos para controlar y regular eficazmente la IA y podrían aplicarse a otras áreas del desarrollo de software, como la seguridad de la cadena de suministro, el modelado de amenazas e incluso algo tan mundano como una documentación adecuada.

Por otra parte, ya hemos visto cómo se utiliza la IA para la ciberdelincuencia (aunque no suele emplearse en grandes hackeos de las grandes instituciones). Como con cualquier nueva tecnología, hay quien quiere utilizarla para bien o para mal, pero la IA también ayudará a detectar ataques y a defender las redes/empresas. Yo diría que tiene el potencial de hacerlo más eficientemente que los humanos con la capacidad de correlacionar largos conjuntos de datos.

Ciberseguridad y sostenibilidad

A primera vista, parecería poco que una las prácticas sea garantizar que los sistemas digitales sean seguros y asegurar que las empresas e instituciones sean sostenibles. Sin embargo, cada vez hay más consenso en que dos están más conectados de lo que podría parecer a primera vista.

En primer lugar, los ciberataques generan residuos. Hay que invertir tiempo, dinero, electricidad y otros innumerables recursos para deshacer el daño de los ataques exitosos. También, hemos visto ataques que dañan directamente el medio ambiente, como instalaciones de tratamiento de agua que se desconectan a distancia.

En segundo lugar, la consecución de los objetivos de sostenibilidad ya sea en el marco de la ESG o no, requiere el despliegue de nuevas tecnologías y la supervisión de éstas. Se trata en gran medida de dispositivos del Internet de las Cosas: redes de sensores de Co2, microrredes solares, etc. Ya hemos señalado antes que, dado que implican cientos o miles de conexiones de datos individuales, los proyectos IoT tienen una superficie de ataque mucho mayor con respecto a las tecnologías previas, por lo que lo mismo ocurre con los proyectos sostenibles.

Déficit de competencias

Una brecha significativa entre el número y la formación de los profesionales de la ciberseguridad que necesitamos y el número que tenemos, ha sido un problema constante, pero predecimos que en 2024 por fin se empezarán a hacer progresos.

¿Por qué? Porque una situación en la que el 71% de las organizaciones se ven afectadas por una brecha de competencias en ciberseguridad no es sostenible. Simplemente, el problema ha llegado a un punto en el que ya no se puede ignorar y se está haciendo el suficiente ruido como para que se haga algo.

¿Qué sucederá? Una formación de nivel universitario continuamente actualizada para los profesionales de la ciberseguridad sería útil, pero la próxima generación de profesionales tardaría varios años en superar su formación y entrar a formar parte de la mano de obra. Las soluciones de seguridad de terceros basadas en la nube también pueden reducir el riesgo, pero otra respuesta potencial es la formación continua y el perfeccionamiento dentro de las compañías. Por ejemplo, Utimaco invierte en la International School of IT Security AG, que imparte un máster en seguridad informática aplicada, así como capacitación interna in situ y digital.

Resistencia de las infraestructuras

La fragilidad de nuestro ecosistema actual se ve subrayada por la susceptibilidad de las infraestructuras a los ataques, con el potencial de perturbar sistemas enteros. Un escenario tan simple como el corte de cables críticos podría hacernos retroceder a una Edad de Piedra tecnológica, lo que pone de relieve la urgente necesidad de contar con defensas robustas.

Para hacer frente a esta vulnerabilidad, se están llevando a cabo numerosas iniciativas para aumentar las infraestructuras terrestres tradicionales con soluciones basadas en satélites para la comunicación y las infraestructuras. Sin embargo, esto introduce un nuevo reto: depositar la confianza en las entidades comerciales responsables de estas tecnologías basadas en el espacio. Confiar en estas empresas para implantar y mantener sistemas seguros requiere un delicado equilibrio.

Mientras navegamos por este panorama, surge una pregunta clave: ¿cómo aseguramos nuestro futuro digital al tiempo que confiamos en las entidades comerciales para que ejecuten estas tareas críticas a la perfección? Alcanzar este equilibrio requiere un enfoque global que incluya estrictas medidas de ciberseguridad, colaboración internacional y un escrutinio continuo para garantizar la resistencia de nuestra infraestructura digital frente a posibles amenazas e interrupciones. El futuro exige no sólo innovación tecnológica, sino también una base de confianza y seguridad para fortificar nuestro mundo interconectado.

Avanzar en ciberseguridad hacia 2024

Como podemos ver, 2024 va a ser el año en el que muchos de los grandes temas que se vienen acumulando desde hace años llegarán a su punto álgido. Será una época interesante para muchas industrias, pero muy probablemente, la de la ciberseguridad en especial: estaremos en la vanguardia de muchos de los grandes cambios que se producirán durante el próximo año, y durante muchos más.

(*) Nils Gerhardt: CTO de Utimaco