Desde el 4 de julio de 2024, existe una nueva administración laborista en el Reino Unido, pero la última vez que los laboristas estuvieron en el poder fue hace 14 años, en 2010, y muchas cosas han cambiado en el frente de la ciberseguridad desde entonces.
Más virtualización, más subcontratación de parte o la totalidad de la TI de una empresa a la nube, y chips informáticos y memoria de computadora asociados considerablemente más potentes, por nombrar sólo algunos cambios significativos.
Todo esto significa que la potencia de fuego que un adversario puede aplicar contra una organización o un individuo es muy superior hoy a la que tenía a su disposición en 2010.
Las redes sociales también han ganado popularidad y, en el proceso, no sólo se han convertido en un poder para el bien sino también en una herramienta para los malos y traviesos del mundo.
Una mirada retrospectiva al estudio cibernético del Ministerio del Interior del Reino Unido, publicado en abril de 2024 y una revisión del panorama de las violaciones de seguridad durante los 12 meses anteriores, es una lectura seria. Con diferencia, la mayor amenaza fue el phishing basado en correo electrónico, que se produjo en el 84% de las infracciones, seguida de la suplantación de identidad de una empresa por correo electrónico con un 35%, y los virus y el malware fueron un factor en el 17% de las infracciones. Las cifras proporcionadas corresponden a empresas; las organizaciones benéficas estuvieron en general en línea con las empresas.
Las principales cuestiones destacadas en el informe del Ministerio del Interior indican que una de las primeras acciones que debe realizar la nueva administración es establecer una campaña sostenida en los medios de comunicación para crear conciencia sobre los ataques generados por correo electrónico. Tengo edad suficiente para recordar el apogeo de las películas británicas de información pública (PIF), como la campaña ‘Clunk click, each trip’, cuando los cinturones de seguridad de los automóviles se volvieron obligatorios. Una campaña de este tipo centrada en el ciberespacio también debería cubrir la posibilidad de que virus y malware se transmitan a través de los canales de redes sociales y otros vectores.
Mi segunda acción recomendada sería que el Ministerio del Interior, el Centro Nacional de Seguridad Cibernética (NCSC) y grupos empresariales, incluido el Instituto de Directores (IoD) y la Federación de Pequeñas Empresas (FSB), junto con la Comisión de Caridades, trabajen juntos para una campaña de concientización para empresas y organizaciones benéficas para abordar otras deficiencias, incluida la higiene cibernética, tal como se identifica en la encuesta sobre violaciones de seguridad cibernética del Ministerio del Interior. Esto debería incluir herramientas y procesos de evaluación y mitigación de riesgos de seguridad y monitoreo de seguridad.