Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Riesgo Cibernético Sistémico: una amenaza para las organizaciones y la sociedad
Contexto situacional del riesgo cibernético sistémico
En el panorama de la ciberseguridad, la navegación por los riesgos sistémicos exige un delicado equilibrio entre previsión y preparación, un equilibrio que puede definir la supervivencia o la catástrofe de las industrias en general.
En la era digital, las tecnologías de la información y la comunicación (TIC) son el soporte de sistemas complejos utilizados en actividades cotidianas. Mantienen nuestras economías en marcha en sectores e industrias claves (agropecuario, manufactura, automovilístico, energía, hostelería, financiero, salud, educación, transporte marítimo, aéreo, espacial y terrestre), que día a día mejoran el funcionamiento del mercado global.
El aumento de la digitalización y la interconexión también amplifica el riesgo relacionado con las TIC, y hace que la sociedad en su conjunto, y en sectores e industrias, sean más vulnerables a las ciberamenazas o a las perturbaciones de las TIC. Si bien el uso generalizado de los sistemas de TIC y la alta digitalización y conectividad son hoy en día características fundamentales de las actividades de la dinámica global socioeconómica, sigue siendo necesario abordar e integrar mejor su resiliencia digital en sus operaciones.
Qué es el riesgo cibernético sistémico
Teniendo en cuenta todo este panorama, el G10 en 2001 define el riesgo cibernético sistémico como el riesgo de que un evento cibernético (ataque(s) u otro(s) evento(s) adverso(s) en un componente individual de un ecosistema de infraestructura critica cause retrasos, denegaciones, averías, interrupciones o pérdidas significativas de tal modo que los servicios se vean afectados no sólo en el componente que lo origina, sino que las consecuencias también caen en cascada en los componentes relacionados (lógica y/o geográficamente) del ecosistema, lo que resulta en efectos adversos significativos para la salud o seguridad pública, la seguridad económica o la seguridad nacional.
El efecto cascada se refiere a un proceso en el que un fallo o interrupción inicial en un sistema desencadena una reacción “igual u opuesta” en cadena de fallos posteriores.
En los sistemas donde un pequeño problema puede propagarse a través de componentes interconectados, el efecto cascada puede provocar consecuencias generalizadas y a menudo imprevisibles.
Este concepto es especialmente pertinente en entornos muy interdependientes en los que el mal funcionamiento de un elemento puede comprometer todo el sistema.
Una estrategia exitosa para los ciberdelincuentes
Los ciberataques suelen tener un efecto cascada en la ciberseguridad debido a la naturaleza intrincada e interconectada de los sistemas digitales modernos. Estos sistemas se basan en una red de componentes interdependientes, incluidos hardware, software, redes y almacenamiento de datos, lo que significa que una brecha o fallo en un componente puede afectar rápidamente a los demás. Esta interconexión crea múltiples puntos de vulnerabilidad, lo que permite que un solo ataque se propague a través del sistema y cause una interrupción generalizada.
Si damos una mirada retrospectiva, han habido ciberataques con efecto cascada y uno de ellos es el paradigmático ransomware WannaCry en mayo de 2017 que explotó una vulnerabilidad (CVE-2017-0144) en el protocolo Server Message Block (SMB) del sistema operativo de Microsoft Windows utilizando una herramienta llamada EternalBlue, una vez que el ransomware infectó una sola máquina, utilizó esta vulnerabilidad para propagarse a otros sistemas vulnerables dentro de la misma red de forma automática.
En cuestión de horas este ataque afectó a más de 360.000 dispositivos electrónicos de más de 180 países alrededor del mundo amplificando su impacto global.
Los ciberriesgos sistémicos se ciernen sobre nosotros, ya que la interconexión de nuestros ecosistemas digitales plantea no sólo una amenaza, sino un reto fundamental para la resistencia de las infraestructuras mundiales.
Según el Foro Económico Mundial (WEF), es crucial comprender que el riesgo sistémico es fundamentalmente diferente del riesgo no sistémico debido a sus consecuencias más amplias y complejas. El riesgo sistémico implica fallos que afectan a sistemas enteros y no sólo a partes o componentes individuales. Estos fallos surgen de la intrincada red de conexiones, dependencias e interdependencias dentro de un sistema, provocando consecuencias en cascada y a menudo imprevistas.
Además, WannaCry puso de manifiesto problemas sistémicos en las prácticas de ciberseguridad, como la gestión inadecuada de parches, la escasa segmentación de la red y las estrategias insuficientes de respuesta a incidentes. Estas debilidades sistémicas contribuyeron a la propagación rápida y generalizada del ransomware. La capacidad del ataque para aprovecharse de estas deficiencias comunes revela cómo los ciberriesgos sistemáticos pueden explotar las vulnerabilidades estructurales de los sistemas interconectados.
✅ Para hacer frente a estos riesgos es necesario un enfoque holístico de la ciberseguridad, que incluya una sólida gestión desde la prevención, una detección proactiva de las amenazas y una respuesta integral ante los incidentes.
Los riesgos sistémicos desafían los cimientos de la confianza
Los riesgos sistémicos pueden producirse de forma repentina e inesperada, o pueden acumularse con el tiempo si no existen políticas tecnológicas o de gestión adecuadas para hacerles frente. En este último caso, incluso puntos de inflexión menores pueden combinarse para causar fallos significativos. Por ejemplo, los riesgos que se materializan a través de vectores de amenaza comunes a múltiples empresas y ecosistemas pueden provocar efectos agregados sustanciales, especialmente cuando la vulnerabilidad es inherente a las operaciones compartidas por todas las empresas.
En esencia, la naturaleza interconectada de los sistemas modernos significa que los riesgos que afectan a una parte pueden propagarse rápidamente, amplificando el impacto global. Esta interconexión requiere estrategias globales para mitigar los riesgos sistémicos, ya que sus repercusiones pueden ser de gran alcance y complejidad, afectando simultáneamente a numerosas entidades.
Durante mis labores en el día a día al gestionar este tipo de riesgo veo que los riesgos más significativos de hoy en día no son ni abstractos ni remotos, sino que son inmediatos e impactantes.
Las repercusiones económicas y de seguridad reales de los riesgos sistémicos materializados suelen derivarse de perturbaciones importantes de la confianza o la certidumbre en relación con los servicios críticos y la integridad de los datos. Estos impactos se manifiestan a través de interrupciones en las operaciones y pueden llevar a la incapacitación o destrucción de activos físicos.
Los riesgos sistémicos desafían los cimientos mismos de la confianza que sustenta la estabilidad económica y operativa. Cuando las partes interesadas pierden la confianza en la fiabilidad de los servicios esenciales o en la integridad de los datos, puede desencadenarse un pánico generalizado que provoque importantes repercusiones económicas y la desestabilización de los marcos de seguridad.
En medio de las complejidades de la ciberguerra moderna, hacer frente a los riesgos sistémicos no consiste únicamente en defender los datos, sino en salvaguardar el tejido mismo de nuestras economías y sociedades interconectadas.
Estas perturbaciones pueden causar un efecto dominó, en el que la pérdida inicial de confianza o el fallo operativo se propagan en cascada por los sistemas interconectados, exacerbando el impacto global. La incapacitación de los activos físicos agrava aún más el problema, ya que no sólo perturba las operaciones en curso, sino que también socava los futuros esfuerzos de recuperación. Esta fragilidad interconectada pone de relieve la importancia de contar con estrategias sólidas de gestión de riesgos y resiliencia para evitar que los pequeños problemas se conviertan en fallos a gran escala.
Además, la destrucción o inutilización de activos físicos críticos puede tener efectos perjudiciales a largo plazo, ya que la reconstrucción y restauración de estos activos requiere tiempo y recursos considerables. Esto, a su vez, afecta a las cadenas de suministro, la prestación de servicios y la estabilidad económica general.
✅ Para hacer frente a los riesgos sistémicos es necesario un enfoque holístico que tenga en cuenta las interdependencias de los servicios, la integridad de los datos y los activos físicos para protegerse contra amenazas generalizadas y complejas.
Más allá de la mera minimización de riesgos, es esencial adoptar estrategias proactivas que anticipen, se adapten y respondan eficazmente a los riesgos sistémicos. Esto requiere un marco sólido centrado en generar y compartir datos y análisis de alta calidad.
Al aprovechar la información exhaustiva de los datos, las organizaciones pueden comprender mejor los riesgos y vulnerabilidades interconectados, lo que les permite aplicar medidas preventivas y mejorar la resistencia.
Además, invertir en cadenas de suministro “just in case” y en estrategias de “friend shoring”, donde los suministros y recursos críticos se diversifican entre socios y regiones fiables, puede mitigar la dependencia de fuentes únicas y reducir la probabilidad de interrupciones en cascada. Este enfoque no sólo refuerza la continuidad operativa, sino que también fortalece el ecosistema en general frente a perturbaciones imprevistas.
✅ También es primordial integrar la resiliencia en todas las facetas de los procesos de planificación y toma de decisiones. Esto implica integrar las consideraciones de resiliencia en las iniciativas estratégicas, los marcos operativos y las inversiones tecnológicas.
Por su diseño, los sistemas resilientes son adaptables y pueden resistir los choques, lo que permite a las organizaciones mantener servicios y operaciones esenciales en medio de amenazas cambiantes.
Hacer hincapié en la escalabilidad garantiza que las medidas de resiliencia puedan adaptarse eficazmente al crecimiento y a los cambios en los escenarios de riesgo, salvaguardando la estabilidad y la sostenibilidad a largo plazo. En última instancia, un enfoque anticipatorio y adaptativo permite a las organizaciones sortear las complejidades e incertidumbres inherentes a los riesgos sistémicos, fomentando la agilidad y la resiliencia en un entorno mundial cada vez más interconectado.
✅ La Unión Europea (UE) ha puesto en marcha varias estrategias y normativas para hacer frente al riesgo sistémico en las organizaciones, centrándose en mejorar la ciberseguridad, la protección de datos y la ciberresiliencia de las infraestructuras críticas, los hemos visto en diversas normativas, pero ahora hay un foco importante en DORA y NIS2.
Con la aplicación de estas medidas, la UE pretende crear un ecosistema digital resistente que pueda mitigar eficazmente los riesgos sistémicos.
Estas iniciativas mejoran la postura de ciberseguridad de las organizaciones, garantizan la protección de las infraestructuras críticas y fomentan un enfoque colaborativo para hacer frente a las amenazas emergentes, reduciendo así el potencial de perturbaciones generalizadas.
Imagen: rawpixel.com / Freepik.
