Mientras las empresas hacen malabares con sus prioridades, los ataques esquivan la defensa… y dan justo en el blanco.
Una investigación realizada por Forrester Consulting por encargo de Google Cloud reveló un fuerte desequilibrio entre la cantidad de información sobre amenazas cibernéticas recibida y la capacidad de los especialistas para procesarla. La encuesta abarcó a 1.541 participantes en puestos de nivel directivo o superior, provenientes de ocho países —incluidos EE. UU., Reino Unido, Canadá, Alemania, Francia, Japón, Australia y Singapur— y representando 12 sectores distintos. Todos los encuestados trabajaban en organizaciones con al menos mil empleados.
Más del 60 % de los consultados afirmaron que sus equipos están saturados por la avalancha de datos sobre incidentes potenciales. De ellos, el 61 % indicó que son incapaces de hacer frente al volumen actual de información. Además, el 60 % señaló la falta de personal calificado para analizarla, y el 59 % expresó dificultades para evaluar la relevancia y fiabilidad de los indicadores recibidos. El mismo porcentaje declaró que no pueden transformar dicha información en acciones concretas de protección con la rapidez necesaria.
Como consecuencia, las empresas cada vez actúan menos de forma preventiva y más en modo reactivo: el 72 % reconoció que sus organizaciones responden a las amenazas solo después de que ocurren los incidentes. Esta situación es especialmente crítica en el sector industrial, donde el 89 % de los representantes manifestaron preocupación por el riesgo de no detectar un ataque realmente peligroso debido al aluvión constante de alertas.
El informe subraya que la mayor vulnerabilidad de las empresas manufactureras podría estar relacionada con las particularidades de sus entornos tecnológicos. A diferencia de las infraestructuras TI tradicionales, los sistemas industriales integran una variedad de equipos —desde PLC hasta SCADA— que requieren un enfoque distinto para el análisis de amenazas. A esto se suma que muchos proveedores externos no cuentan con la experiencia suficiente para interpretar correctamente las señales provenientes de estos entornos específicos ni para reaccionar adecuadamente.
La encuesta también reveló una profunda brecha entre la percepción de las amenazas por parte del área de ciberseguridad y la alta dirección. En promedio, el 80 % de los encuestados cree que la gerencia subestima la magnitud de los riesgos cibernéticos. En el sector tecnológico y de servicios digitales, esta cifra alcanzó el 84 %. Los autores del estudio sugieren que esta desconexión puede deberse al énfasis en la velocidad de implementación de nuevas soluciones y la innovación, junto con una regulación menos estricta en comparación con otras industrias.
Entre las amenazas que más preocupan de cara al próximo año, el phishing y el robo de credenciales encabezan la lista con un 46 %. Les siguen los ataques de ransomware y chantajes en múltiples etapas (44 %). Las inyecciones a través de prompts de inteligencia artificial inquietan al 34 % de los encuestados. En tercer lugar, con un 41 % cada una, están los riesgos asociados a las tecnologías cuánticas y las vulnerabilidades en las cadenas de suministro. Las demás amenazas se distribuyen de la siguiente manera: acciones de insiders (29 %), ataques DDoS (27 %), ofensivas respaldadas por Estados (21 %), minería oculta de criptomonedas (18 %) y actividades de espionaje (17 %).
¿Qué se puede hacer? Una opción sería replantear el enfoque hacia la inteligencia de amenazas. Lo fundamental es dejar de verla como un simple flujo de datos y empezar a tratarla como un proceso. Sin una correlación entre los indicadores y escenarios reales de ataque, sin análisis ni enriquecimiento, ese flujo no hace más que generar una ilusión de conocimiento y sobrecargar a los analistas.
Asimismo, el informe advierte que aumentar la cantidad de plataformas utilizadas sin una comprensión clara de su propósito y sus casos de uso concretos no aporta beneficios. La eficacia se alcanza cuando la analítica está integrada en los procesos de negocio y permite responder no solo a la pregunta “¿qué está ocurriendo?”, sino también a “¿por qué esto importa para nuestra organización?”.