A pesar de su papel fundamental en la cadena de suministro y la infraestructura, tanto los gobiernos como los proveedores de seguros suelen descuidar a las pequeñas y medianas empresas (PYME) en lo que respecta a la ciberseguridad, dijo Unna a Cybernews .
La negligencia convierte a las pymes en "presa fácil" de los ciberdelincuentes, dijo. En lugar de enfrentarse a grandes jugadores cada vez más impenetrables, los actores de amenazas optan por ataques de volumen contra objetivos más débiles, que pueden ser igual de lucrativos y más fáciles de salirse con la suya.
Según la Asociación Británica de Corredores de Seguros, el 96 % de todos los ciberataques se lanzan contra las pymes. Un estudio separado de la empresa de seguridad en la nube Barracuda mostró que las empresas más pequeñas tenían tres veces más probabilidades de ser atacadas que las empresas más grandes.
La amplia superficie de ataque que representan las pymes es una vulnerabilidad que las naciones podrían convertir en una fortaleza si los gobiernos reconocieran el problema e incentivaran a las empresas más pequeñas para reforzar sus defensas cibernéticas, dijo Unna.
"No está en la mente de muchos de mis excolegas y compañeros de todo el mundo". dijo Unna.
Después de servir durante cuatro años como Director General de la Dirección Nacional de Cibernética de Israel, Unna renunció en 2022. Ahora trabaja con CyFox, una empresa especializada en soluciones de ciberseguridad impulsadas por IA.
Según Unna, la IA es una gran amenaza a considerar y hará que la ingeniería social sea “muy, muy fácil”. En una entrevista con Cybernews , también dijo que el ransomware sigue siendo una amenaza predominante, mientras que los ataques de denegación de servicio (DoS) se utilizan cada vez más contra el sector privado para causar daños a la reputación.
¿Por qué cree que se pasa por alto a las pymes en lo que respecta a la ciberseguridad?
Pasé mi carrera trabajando para el gobierno y no sabía mucho sobre el sector privado y específicamente sobre las pymes hasta que me convertí en Director General de la Dirección Nacional de Cibernética en Israel.
Los gobiernos, naturalmente, se centran en la infraestructura crítica, que en su mayoría son grandes empresas y empresas muy grandes. Lo que descubrí es que la gran mayoría de la superficie de ataque de una nación, de la economía, de todo, son decenas de miles y, en el caso de Israel, incluso cientos de miles de pymes.
Son parte de la cadena de suministro de infraestructura crítica y también están construyendo la infraestructura. Hacen de lo que se trata el país, de lo que se trata una nación. Aún así, debido al hecho de que este sector comprende muchas entidades pequeñas, el gobierno e incluso las compañías de seguros no le prestan suficiente atención. Y ese es un gran problema.
Empeora teniendo en cuenta no solo el volumen de mercado que tienen estas empresas, sino también su papel en la cadena de suministro de los jugadores más grandes. Puede provocar una reacción en cadena y se ataca a las pymes porque son presa fácil.
¿Qué los convierte en presa fácil?
Como director general de todo el ciberespacio nacional de Israel, entendí que necesitaba soluciones que fueran relevantes para esta gran mayoría de la superficie de ataque. Y cuando miré alrededor, no encontré nada. Las pymes no entienden cómo ejecutar correctamente la ciberseguridad.
La buena noticia desde un punto de vista nacional es que una vez que les das una solución, rápidamente los conviertes en un servicio cibernético. Empiezan a hablar cibernético, empiezan a pensar cibernético. Y el impacto general es una mejora espectacular, un cambio espectacular para un país.
Otra cosa son las compañías de seguros. El seguro cibernético todavía, digamos, no está muy desarrollado, y eso es un gran eufemismo. No tienen buenas políticas cibernéticas y el secreto para darle la vuelta es mejorarlo a través de las pymes.
Las compañías de seguros son más reacias a participar en una empresa con un gran banco o una gran empresa. Hacen eso, pero no está funcionando muy bien. En cambio, conseguir miles de pequeñas empresas cuyos riesgos puedan gestionar más fácilmente haría que las compañías de seguros estuvieran más listas, preparadas y dispuestas a entrar en los seguros cibernéticos.
Es un proceso que se alimentará a sí mismo porque una vez que obtengan suficiente experiencia, el seguro será mejor. Y luego podemos cambiar el mercado por completo, lo que no se puede hacer con una o dos grandes empresas.
Durante su mandato como director general de la Dirección Nacional de Cibernética de Israel, ¿qué iniciativas defendió o implementó que beneficiaron a las PYME? ¿Qué deben hacer los gobiernos para ayudarlos?
Primero, debemos reconocer la necesidad y reconocer el problema, que se descuida más a menudo de lo que piensas. No está en la mente de muchos de mis ex colegas y compañeros de todo el mundo.
En segundo lugar, debe tener una regulación. Comenzando con ánimo en lugar de un gran martillo. Esto podría incluir subsidios, descuentos o muchas de las otras cosas que los gobiernos pueden hacer para atraer a las pequeñas empresas.
Las empresas con soluciones cibernéticas podrían obtener un trato preferencial en las órdenes gubernamentales. Es sensato que cualquier gobierno tenga una cadena de suministro resistente.
Este tipo de regulación suave puede ser seguido por reglas más estrictas. Y lo primero que haría sería ir a la industria de seguros y trabajar de la mano con ellos en lo que respecta a la regulación y asuntos relacionados.
¿Puede darnos una idea de los desafíos típicos de seguridad cibernética que enfrentan las pymes en comparación con sus contrapartes más grandes?
Son fáciles para los hackers, que buscan el punto más débil. Las grandes empresas se están volviendo cada vez más seguras: cuanto más se fortalecen, más objetivo se vuelven las empresas más pequeñas.
Individualmente, es menos dinero, pero puedes hacer una docena al día, lo que no es el caso de las grandes corporaciones. Los actores de amenazas dirigidos a las pymes buscan ataques de volumen y atacan sectores completos. Obtienen la misma cantidad de dinero, o incluso más, por pura cantidad.
En los EE. UU., e incluso en Israel, cientos de miles de pequeñas empresas dependen de las computadoras. Todos tienen servidores de ataque y todos tienen dinero.
Y si atacas un gran banco, por ejemplo, puedes meterte en más problemas porque tienen suficientes recursos para cazarte y conseguir que la policía y las autoridades te den caza. En el caso de las pymes, tienes la oportunidad de salirte con la tuya.
"Necesitamos correr más rápido en esta carrera solo para mantener el rumbo". dijo Unna.
La lista de amenazas con la aparición de la IA es cada vez más larga. Estamos encontrando todo tipo de formas nuevas y diferentes en las que se puede utilizar para lanzar ataques cibernéticos. ¿Ya ha observado el uso de la IA en los ataques cibernéticos y cuáles son algunas de las formas más comunes en que los actores de amenazas lo aprovechan?
He estado hablando sobre IA en cibernética desde aproximadamente 2018. En ese entonces, nadie entendía de lo que estaba hablando. Hoy, todos comprenden la gran amenaza que proviene de la IA generativa. Puede falsificar a su CEO, a su CFO, cualquier cosa, y ni siquiera necesita falsificaciones profundas para eso. Hace que la ingeniería social sea muy fácil.
El mundo se está volviendo cada vez más peligroso porque somos más digitales. Y ahora tenemos IA generativa. Desafortunadamente, el ritmo de las soluciones de defensa siempre es mucho más lento que el de los actores de amenazas. Necesitamos correr más rápido en esta carrera solo para mantener el rumbo.
¿Cómo pueden las empresas protegerse de eso?
Necesitan buscar soluciones cibernéticas que también se basen en la vanguardia de la IA. CyFox es exactamente eso. Es relevante para las pequeñas empresas en parte porque es muy barato. Es muy barato porque usa IA de una manera que puede ahorrar muchas horas y gran parte del recurso más preciado y costoso en ciberseguridad, que es la fuerza laboral.
Recomendaría que cualquier empresa elija soluciones basadas en IA que sean más rápidas que las amenazas emergentes y más ajustables. No sabemos qué será lo próximo, pero sabemos que es mejor estar preparado.
Más allá de la IA, ¿qué otras amenazas emergentes deben conocer y prepararse para las empresas?
Cada vez vemos más ataques DoS, que se centran menos en el dinero y más en campañas de influencia. El objetivo de estos ciberataques es causar un daño psicológico significativo.
Si bien los ataques DoS solían centrarse principalmente en el gobierno y las agencias públicas, también vemos cada vez más en el sector privado. Si haces bien el ataque de influencia cibernética, puede provocar una corrida bancaria, puede tener consecuencias catastróficas para una empresa. Puede tener un impacto psicológico en los clientes y accionistas.
Es un problema principalmente para las grandes corporaciones hoy en día, pero está ahí. También vemos ataques DoS combinados con extorsión cada vez con mayor frecuencia.
Habiendo dicho eso, ¿cuál diría que es el problema número uno en lo que respecta a la seguridad cibernética ahora?
El ransomware sigue siendo el número uno, pero los tipos de ransomware están cambiando. Desafortunadamente, todavía tenemos phishing. El factor humano es el punto más débil de todo sistema y el eslabón más débil de la defensa.
Y es exactamente por eso que la IA es tan molesta. Imita el comportamiento humano y lo hace mucho mejor y mucho más rápido. Una combinación de IA aprovechada con fines maliciosos y el factor humano es la principal amenaza a considerar.