El peligro de la “deuda cibernética” se agrava

El riesgo cibernético basado en la identidad va en aumento. El CyberArk 2023 Identity Security Threat Landscape Report estima que la combinación de innovación tecnológica y tensión económica puede terminar desatando una “deuda cibernética”, donde la inversión en cuestiones como la digitalización superará al gasto en seguridad.

Esta deuda ya se experimentó en 2022, cuando las inversiones en ciberseguridad se retrasaron con la pandemia todavía vigente. Ahora el problema podría recrudecerse. CyberArk explica que se está dando forma a una superficie de ataque centrada en la identidad no segura.

Un 100 % de las empresas españolas prevé problemas relacionados con la identidad para este año como consecuencia de los recortes económicos, circunstancias geopolíticas, el trabajo híbrido y la adopción de la nube.

El 57 % cree que el acceso a datos muy sensibles por parte de los empleados no está siendo asegurado de forma correcta y que hay más máquinas con acceso a datos sensibles que humanos.

El acceso a las credenciales es el principal desafío (37 %) para los profesionales consultados, por delante de la evasión de la defensa (30 %), la ejecución (33 %), el acceso inicial (21 %) o la escalada de privilegios (26 %). Como áreas de especial riesgo aparecen las aplicaciones críticas, como aquellas orientadas a cliente, el ERP o el software de gestión financiera. Actualmente, menos de la mitad de las organizaciones cuenta con controles de seguridad de identidad para proteger dichas aplicaciones.

Terceros como socios, consultores y proveedores de servicios están considerados el tipo de identidad humana con mayor nivel de riesgo. En cuanto a las amenazas internas, el 69 % de las compañías prevé problemas de ciberseguridad por la rotación de los empleados.

“Si bien los atacantes están constantemente innovando, comprometer las identidades sigue siendo la forma más efectiva de eludir las defensas cibernéticas y acceder a datos y activos confidenciales”, comenta Matt Cohen, Chief Strategy Officer de CyberArk. “Este riesgo tan elevado pone la cuestión de ‘en quién y en qué confiar’ al frente de los esfuerzos para evitar, por un lado, que la deuda cibernética se agrave y, por otro, poder construir resiliencia cibernética a largo plazo”.

Un 47 % de las empresas encuestadas desvela que tecnologías como la automatización robótica de procesos y las implementaciones de bots se están ralentizando por cuestiones de seguridad. Además, un 99 % de los profesionales de seguridad españoles pronostica para este mismo año el impacto en su organización de amenazas habilitadas por inteligencia artificial.

Para evitar problemas, los negocios ya están apostando por el Zero Trust, el acceso just-in-time, principios de privilegios mínimos, el aprovisionamiento automático y el desaprovisionamiento de acceso y el establecimiento de alianzas con partners de ciberseguridad de confianza.