A lo largo de 2021, las noticias mundiales parecían rebotar entre la rápida propagación de nuevas iteraciones de COVID-19 y la ciberdelincuencia: ambas se vuelven cada vez más creativas y perturbadoras a medida que mutan en una batalla por la supervivencia; ambas se interrelacionan a medida que los ciberdelincuentes se benefician de la rápida digitalización forzada por los bloqueos del COVID-19. En una entrevista reciente, un destacado ejecutivo de ciberseguridad señaló que, junto al nacimiento, la muerte y los impuestos, la única otra garantía en nuestras vidas actuales es el crecimiento exponencial de las amenazas digitales.
Sin embargo, las percepciones erróneas sobre la ciberseguridad -en particular la de que es compleja, costosa, onerosa e incluso inútil- han llevado a muchas economías emergentes a dejar de lado la ciberseguridad en su intento de incorporarse a la Cuarta Revolución Industrial. Pero sin políticas de ciberseguridad maduras, los Estados podrían verse incapaces de aprovechar plenamente el potencial de sus economías digitales.
Reformular la ciberseguridad como un camino hacia la oportunidad y la ventaja competitiva en el desarrollo de ecosistemas de innovación podría ser la clave para aumentar la resiliencia cibernética de los países y fortalecer el ecosistema digital global para todos.
¿Innovación o seguridad?
Dado que 10.000 millones de dispositivos se incorporarán a la Internet de las Cosas (IoT) en 2025, las economías digitales emergentes compiten por estar en el centro de esta revolución. En 2020, se desplegaron inversiones por valor de 2.400 millones de dólares en startups africanas y se prevé que las ventas de comercio electrónico en África alcancen los 75.000 millones de dólares en 2025. Alberga la mitad de los 40 países emergentes y en desarrollo de más rápido crecimiento y es actualmente el continente más emprendedor. Esta tendencia no hará más que acelerarse a medida que las iniciativas para cerrar la brecha digital para 2030 conecten al 78% restante de la población a Internet.
Pero a medida que el acceso a Internet se amplía, también lo hace la ciberdelincuencia mundial. Los expertos estiman que la ciberdelincuencia costará a la economía mundial 10,5 billones de dólares anuales en 2025. Mientras que las naciones digitalmente avanzadas han respondido reforzando sus ciberdefensas, el ecosistema de innovación de África sigue siendo uno de los más desprotegidos del mundo.
Sólo 10 de los 55 países africanos han ratificado la Convención de la Unión Africana sobre Protección de Datos y Ciberseguridad (la Convención de Malabo) y África sigue siendo el continente con menor puntuación en el Índice de Ciberseguridad Global de la Unión Internacional de Telecomunicaciones (UIT). A pesar de las iniciativas de la UIT y del Banco Mundial, sólo 29 países africanos cuentan con algún tipo de legislación en materia de ciberseguridad y sólo 19 disponen de equipos de respuesta a incidentes y emergencias cibernéticas. Esto deja a las economías africanas expuestas y a los líderes africanos fuera de los organismos que dan forma a la política mundial de ciberseguridad.
Si se considera globalmente, esta rápida inversión en sistemas de innovación sin una inversión simultánea en seguridad crea una paradoja de madurez digital-seguridad, en la que los atacantes pueden explotar la brecha entre estos dos niveles de madurez. A su vez, las entidades dentro de los países y los propios países quedan doblemente expuestos y vulnerables, ya que se convierten en fruta madura susceptible de ser aprovechada por los ciberdelincuentes oportunistas y malintencionados.
En una dinámica que recuerda a la geopolítica de las vacunas, se corre el riesgo de dejar expuestos a los países con sistemas de innovación incipientes y frágiles.
¿Pelea o huída de la ciberseguridad?
Sería lógico suponer que el aumento de los incidentes cibernéticos -y los costos de impacto asociados a ellos- debería conducir a un aumento de la ciberseguridad. Sin embargo, de forma contraria a la intuición, las narrativas de la ciberseguridad que estimulan la acción en Occidente conducen a la parálisis de las políticas o a reacciones restrictivas y viscerales.
Como señaló el teórico de los juegos y premio Nobel Thomas C. Schelling, "hay una tendencia en nuestra planificación a confundir lo desconocido con lo improbable... lo improbable no tiene por qué considerarse seriamente". Muchos estados en desarrollo digital se consideran ajenos a la política de las grandes potencias que sustentan la actividad cibernética maliciosa. Les parece improbable que sean víctimas de la magnitud de las acciones presenciadas en los enfrentamientos cibernéticos entre Rusia y Estados Unidos, la carrera de China y Estados Unidos por la supremacía digital o la guerra digital de desgaste entre Irán e Israel. Protegerse de estos ciberataques es una prioridad en la lista de imperativos políticos.
Las naciones digitalmente avanzadas han respondido a la rápida proliferación de las ciberamenazas con mecanismos de ciberseguridad, como nuevas leyes con castigos draconianos por no informar de los ciberincidentes y los pagos de ransomware, e iniciativas internacionales coordinadas para paralizar a bandas de ransomware como REvil. En el otro extremo del espectro, los países en vías de desarrollo digital suelen estar poco incentivados y mal equipados para desentrañar la supuesta complejidad de las medidas de ciberseguridad necesarias para hacer frente a estas amenazas.
Esto se ve acrecentado por la desconfianza hacia los paradigmas occidentales de ciberseguridad, que muchos ven como una forma de potencial neocolonialismo tecnológico. Las exigencias de cumplimiento de la normativa, la adopción de normas y la compra de tecnologías de ciberseguridad occidentales se perciben a menudo como un freno a las oportunidades de crecimiento de estos países. Además, los intentos de avergonzar a los países para que cumplan con la ciberseguridad pueden percibirse como un ataque a su soberanía, lo que podría resultar contraproducente y llevar a los países a buscar paradigmas alternativos, como el cierre de Internet, que en última instancia podría amenazar su acceso a los beneficios de una Internet libre, abierta e interoperable.
Sin embargo, lo más frecuente es que los líderes reaccionen con parálisis ante las amenazas abrumadoras y no actúen en absoluto.
El mantra del CISO es que la ciberseguridad es un deporte de equipo. En el contexto mundial, esto significa garantizar que las economías digitales en desarrollo quieran formar parte del equipo. Para conseguirlo, la ciberseguridad necesita un cambio radical.
Reformular radicalmente la ciberseguridad
Los defensores de la ciberseguridad pueden empezar por replantear la ciberseguridad como una oportunidad para construir un ecosistema de innovación vibrante y resistente, en lugar de una carga o una restricción. Se necesitan nuevas narrativas que destaquen el atractivo y el valor de la ciberseguridad para contrarrestar la percepción de normas poco razonables que ahogan la innovación.
Por ejemplo, las encuestas muestran que la ciberseguridad y la privacidad de los datos son una fuente importante de competitividad para los minoristas, superando incluso la sensibilidad al precio. Mientras tanto, recientes iniciativas estadounidenses y británicas, como la nueva Oficina Cibernética del Departamento de Estado y la Estrategia Cibernética Nacional 2022 del Reino Unido, han puesto de relieve que los ecosistemas cibernéticos fuertes son ventajas estratégicas.
Los gobiernos de las economías digitales maduras, las instituciones multilaterales y los proveedores de cibertecnología deberían hacer hincapié en que los Estados capaces de protegerse a sí mismos serán los socios más solicitados en la revolución digital. También serán los que puedan dar forma a las conversaciones mundiales sobre ciberseguridad.
El valor de una red más segura para todos
Una economía digital vibrante y competitiva que conduzca a la prosperidad para todos requiere redes abiertas e interoperables que sean de confianza, seguras y protegidas. Los Estados que sean capaces de aprovechar las mejores prácticas para asegurar sus ecosistemas de innovación liderarán el desarrollo disruptivo. Pero para inducir a los Estados, las PYMES y los particulares a tomarse en serio la ciberseguridad es necesario pasar de una política basada en el miedo a una política basada en una lógica optimista de la ciberseguridad.
Cambiar la narrativa también requiere que los estados digitalmente maduros proporcionen un apoyo sostenido a los más vulnerables. No se trata de que los gobiernos en desarrollo digital se limiten a ser un mercado para las exportaciones de cibertecnología y los proyectos de estrategia de ciberseguridad, sino que se comprometan a ayudar a desarrollar la infraestructura que desencadena los beneficios de la ciberseguridad a nivel local y mundial. A través de un replanteamiento radical de la ciberseguridad como una oportunidad, los países y las sociedades pueden trabajar juntos para garantizar que los sistemas de innovación construidos sobre la base de una inclusión digital segura puedan crear una red más segura para todos y que se aproveche el potencial de Internet como una fuerza para el bien.