Durante la mayor parte de mi carrera como CISO, la industria cibernética parecía operar sobre una suposición simple y en gran medida indiscutible. Si se invierte lo suficiente en prevención, se pueden evitar incidentes graves.
La respuesta se consideró como controles perimetrales más estrictos, seguridad en capas, parches periódicos y herramientas de detección cada vez más sofisticadas. Cuando ocurrieron violaciones, fueron tratadas como fallas de implementación en lugar de evidencia de que el modelo en sí tenía fallas.
Director de estrategia de Halcyon.
Esta mentalidad tenía sentido en un entorno de amenazas diferente. Los ataques fueron más lineales y, a menudo, oportunistas. Los equipos de seguridad tuvieron tiempo para analizar alertas, plantear inquietudes e intervenir antes de que los atacantes pudieran llegar a los sistemas críticos. Las juntas directivas esperaban certeza y la contención ofrecía una narrativa fácil de entender y tranquilizadora de financiar.
Lo que ha cambiado no es sólo la cantidad de ataques, sino también su velocidad y alineación. El ransomware, en particular, ha revelado cuán frágil es realmente el primer modelo de prevención.
Aún así, muchas organizaciones continúan insistiendo en la idea de que mejores herramientas eventualmente cerrarán la brecha. En mi experiencia, esta creencia persiste porque es menos cómodo aceptar que un compromiso cibernético ya no es una cuestión de si, sino de cuándo.
Las copias de seguridad se convirtieron en redes de seguridad que permitieron que esta creencia sobreviviera más tiempo del que debería. Sobre el papel, la lógica es sólida. Si algo sale mal, restaure desde la copia de seguridad y continúe. En realidad, los incidentes de ransomware continúan mostrando cuán frágil es este enfoque bajo presión.
Sensibilidad del tiempo
Lo que realmente sale mal rara vez es una falla técnica. Es posible que existan copias de seguridad, pero en escenarios de la vida real suelen estar incompletas, desactualizadas o impredecibles. Lo más importante es que la restauración de datos es sólo una pequeña parte de la recuperación.
Es necesario reconstruir los sistemas, refragmentar las redes, rotar las credenciales y restaurar la confianza de que un atacante ya no tiene acceso. Muchas organizaciones descubren demasiado tarde que sus copias de seguridad reproducen las mismas vulnerabilidades que fueron explotadas anteriormente.
El tiempo es el factor más subestimado a nivel ejecutivo. Existe una percepción persistente de que la recuperación se mide en horas porque eso es lo que sugieren los paneles. En la actualidad, el tiempo corre de manera muy diferente. Cada decisión se sopesa con el riesgo de empeorar las cosas.
Los equipos dudan, con razón, porque poner los sistemas en línea demasiado rápido podría provocar una reinfección u otra corrupción de datos. Esta reticencia alarga los plazos de recuperación mucho más allá de lo que esperan los dirigentes.
Creo que la IA ha cambiado fundamentalmente la dinámica del lado atacante, y aquí es donde se intensifica la presión sobre la recuperación. Los atacantes ya no están limitados por la velocidad humana.
La automatización les permite hacerse a un lado, escalar privilegios y filtrar datos inmediatamente después del acceso inicial. Los equipos de defensa pueden detectar actividad rápidamente, pero la detección no proporciona el mismo control cuando los procesos de recuperación son lentos, manuales y fragmentados.
La industria ha pasado años adaptándose a la alerta temprana. Se ha prestado poca atención a lo que sucederá a continuación. Los ataques impulsados por IA reducen la ventana entre el compromiso y el impacto de manera tan dramática que la capacidad de recuperarse rápidamente se vuelve más importante que la capacidad de detenerse por completo.
Resiliencia definida por una recuperación confiable y eficiente
Una buena situación de resiliencia parece muy diferente hoy en día de lo que muchas organizaciones todavía planean. Asume que algunos ataques tendrán éxito y se centra en limitar el radio de explosión y el tiempo de inactividad. Prefiere entornos de recuperación limpios y aislados en los que se pueda confiar bajo presión.
Esto requiere procesos de recuperación que se ensayen periódicamente, que no se documenten ni una sola vez y que se dejen intactos. Lo más importante es que requiere que la junta considere la resiliencia como una capacidad empresarial, no como una consideración técnica. Los objetivos de recuperación deben ser realistas y significativos.
Restaurar un servidor no es lo mismo que restaurar operaciones. Las organizaciones que se recuperan más rápido son aquellas donde los roles están claros, las decisiones están autorizadas previamente y se practica el liderazgo para actuar en situaciones de crisis.
El desajuste más peligroso que veo hoy es entre los ataques impulsados por IA y la toma de decisiones humana. Los atacantes trabajan continuamente, adaptándose en tiempo real, sin fatiga ni resentimiento organizacional. Los defensores dependen de comités, aprobaciones y vías de escalada que ralentizan todo en el peor momento posible.
Cuando ocurren eventos, la incertidumbre se propaga rápidamente y, sin preparación, esa incertidumbre se convierte en parálisis.
Si hay una conclusión a la que he llegado al observar la evolución del ransomware, es esta. La resiliencia ya no se define por qué tan bien se mantiene alejado a los atacantes. Se define por la rapidez y la confianza con la que puedes recuperarte cuando entran.
Las organizaciones que reconozcan este cambio e inviertan en consecuencia sobrevivirán. Quienes siguen con la prevención como estrategia principal seguirán sorprendiéndose cuando la recuperación demore mucho más de lo que cabría esperar.
Hemos presentado el mejor curso de ciberseguridad en línea.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde presentamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
