Amenazas híbridas contra empresas
Tabla de contenidos
Siempre han existido amenazas híbridas en el ámbito corporativo
En los años transcurridos de este siglo XXI, las expresiones guerra híbrida y amenaza híbrida se han ido consolidando como denominaciones de fenómenos de importancia creciente, al tiempo que se han ido concretando las nociones aludidas bajo dichas designaciones. Del mismo modo, cada vez es mayor el esfuerzo que se dedica a entender y a estudiar los incidentes relacionados.
La consolidación terminológica y conceptual se produjo originalmente en el ámbito militar y geopolítico a consecuencia de la aparición de nuevas formas de entender la guerra y de la introducción de cambios y evoluciones en las estrategias que desarrollan diferentes países, así como de los tipos de enfrentamiento existentes entre ellos. En este ámbito, el calificativo híbrido hace referencia a un estado de conflicto no frontal, latente si se quiere, que no escala abierta y oficialmente más allá de ciertos límites y en el que las bajas y/o daños directos no son reconocidos entre las partes.
Antes, la guerra se declaraba oficialmente o se producía de manera abierta y directa por la vía de los hechos, mientras que ahora el término híbrido se emplea precisamente para aludir a ese período previo e indefinido en el que el enfrentamiento ya existe, aunque no se reconoce, que se dilata en el tiempo sin haber tenido un inicio claro ni anticiparse su final y en el que los actores implicados evitan en todo momento reconocer la autoría o atribución de las acciones o incluso niegan haber sido objeto de las mismas.
Tal como se especificaba anteriormente, esto sucede en el ámbito militar y geopolítico, pero en el ámbito económico, en especial en el mundo corporativo o empresarial, la situación es distinta. Las empresas siempre han estado expuestas a lo que en la actualidad conocemos como amenazas híbridas. Sin embargo, a diferencia de los enfrentamientos bélicos, en el mundo empresarial no puede haber enemigos en sentido estricto, puesto que no se puede aniquilar y destruir físicamente al contrario por métodos directos. En su lugar, existen compañías que se identifican mutuamente como adversarias y cuya rivalidad puede escalar y mantenerse en el tiempo.
Estos competidores luchan entre sí de una manera permanente y cambiante, aunque en ocasiones pueden colaborar en un proyecto común o constituir alianzas de diversa naturaleza (por ejemplo, uniones temporales de empresas —UTE—, consorcios, etc.). La dinámica de las relaciones entre empresas evoluciona con el tiempo, lo que las lleva a veces a compartir intereses coyunturales, con una duración y efecto difícil de predecir. De hecho, la asociación de dos o más empresas y la competencia entre ellas puede incluso producirse de manera simultánea, aunque en escenarios diferentes. Las empresas del siglo xxi se relacionan con competisocios (coopetitors), una expresión cada vez más aceptada en el mundo corporativo internacional.
Así pues, la rivalidad entre compañías no está regida por unas «leyes de la guerra» que impongan unos límites y unas normas fijas a ese enfrentamiento. Por el contrario, los competidores en el ámbito económico están regulados por la ley del mercado y deben respetar los mismos códigos de actuación que se aplican al conjunto de la sociedad y las relaciones internacionales. En este ecosistema dominado por la competencia y el mercado, las acciones hostiles desarrolladas en el ámbito empresarial siempre han tenido unas características que hoy calificamos como híbridas, dado que no son acciones abiertas, van dirigidas a objetivos concretos y resulta difícil determinar la atribución de las mismas.
En este juego, los estados son actores que apoyan a sus empresas nacionales frente a las demás, potenciando el efecto, alcance y consecuencias de las acciones de naturaleza híbrida que se llevan a cabo. No resulta, pues, infrecuente que las compañías se enfrenten a competidoras que actúan reforzadas con las capacidades (económicas, políticas, diplomáticas, de inteligencia, soft power, etc.) del estado que las abandera.
Competidores, estados y otros actores
Además de competidores y estados —los segundos en apoyo a las empresas nacionales—, el universo de atacantes híbridos potenciales contra una empresa también se compone de otros actores que operan de manera autónoma y sin estar encuadrados en una estructura estatal o corporativa. Son, por lo general, actores de menor entidad pero muy especializados, que cuentan con capacidades adquiridas y entrenadas y llevan a cabo un estudio exhaustivo de los objetivos fijados. Pueden actuar de manera esponsorizada o autónoma y resultan ser altamente eficaces en el desarrollo de las acciones con las que alcanzan esos objetivos establecidos. En comparación con el ámbito terrorista, estos atacantes son considerados los lobos solitarios de la amenaza híbrida empresarial. Pueden desarrollar estas actividades como profesionales o aficionados y operan en el ciberespacio como hacktivistas, atacantes de fortuna ocasional o atacantes con distintos tipos de motivación.
Otros actores tienen un rango de actuación más generalista. Pueden participar en el diseño o en la ejecución de una amenaza o de una acción de naturaleza híbrida contra una empresa, tanto de manera consciente como inconsciente —en este segundo caso, instrumentalizados o manipulados por otros—. En esta categoría se encuadran periodistas, medios de comunicación social, sindicatos, ONG y otros tipos de asociaciones cívico sociales vinculadas de una u otra forma con el mundo empresarial.
Deben tenerse en cuenta las relaciones no siempre sencillas que existen entre las empresas y sus clientes y proveedores, puesto que pueden producirse desencuentros entre esas partes mientras dure su vinculación y es variada la casuística y situaciones que este tipo de relaciones puede generar. Por tanto, los clientes y proveedores también constituyen en ocasiones el origen de las amenazas de tipo híbrido que sufre una empresa.
Por último, es preciso advertir de que una empresa atacada puede no ser en sí misma el objetivo final y último del ataque, sino un elemento intermedio elegido por diversos motivos, por ejemplo, con la intención de lanzar algún mensaje al estado que la abandera o por ser la pieza clave en una cadena de suministro, de manera que su inutilización permite a los atacantes causar un gran daño a la corporación con la que se relaciona y que constituye el objetivo real de la operación híbrida.
Globalización y digitalización
La globalización y la digitalización vienen determinando cada vez de manera más clara la forma en la que todos nos relacionamos: personas, estados, empresas… Estos dos factores también están marcando la percepción que tenemos de los riesgos y amenazas existentes en el ámbito empresarial, generando la sensación de que estos fenómenos son nuevos o de muy reciente aparición. En realidad, muchas de estas amenazas no son nuevas, aunque ahora se han generalizado y se han hecho más asequibles para los actores que las desarrollan.
Esto sucede, por un lado, debido a la globalización de los mercados, entendida como internacionalización e integración de los mismos, a pesar de algunas tendencias o episodios proteccionistas, y por el otro, a la progresiva digitalización de la economía. Así, las acciones de tipo híbrido en el ámbito empresarial se han convertido en instrumentos muy accesibles y, al menos aparentemente, de alta rentabilidad. Cualquier atacante potencial de una compañía, aunque no disponga de capacidades muy sofisticadas, tiene la posibilidad de atentar contra ella a un coste reducido.
La globalización ha convertido a todo el planeta en el único escenario en el que competir. El alcance de las empresas para vender, expandirse y desarrollar sus actividades es, literalmente, cualquier lugar del mundo. Del mismo modo, la exposición de las empresas a riesgos y amenazas ha aumentado drásticamente, al igual que el posible origen de estos, que también puede localizarse en cualquier lugar del mundo.
La digitalización de la economía ha incrementado la rentabilidad que obtienen los atacantes con el uso de amenazas híbridas. Acciones con costes muy bajos pueden generar a una empresa cuantiosas pérdidas, tanto físicas como financieras, tecnológicas o reputacionales. Además de rentables, muchas de estas amenazas híbridas son fáciles de desarrollar debido a su origen digital, por lo que no requieren de infraestructuras complejas o permanentes, ni de recursos humanos dedicados exclusivamente a ese objetivo. Además, la rentabilidad de estas amenazas se acentúa también porque los efectos de estas acciones se perciben prácticamente de inmediato.
A todo lo anterior hay que sumar dos características que hacen aún más atractivas las amenazas híbridas para los potenciales agresores. En primer lugar, son prácticamente anónimas, dada la dificultad para rastrearlas y atribuir su autoría. En segundo lugar, son muy reactivas por el efecto multiplicador que consiguen a través de las redes sociales y medios de comunicación social de formato digital.
Así pues, la globalización y la digitalización han universalizado el alcance de las amenazas contra cualquier corporación u organización empresarial, al tiempo que han contribuido a que estas acciones resulten más rentables que nunca. Además, se ha disparado el número de actores que, de manera real o potencial, puede estar implicado en una acción de tipo híbrido que afecte a una compañía. Por tanto, no existe ninguna empresa que pueda asegurar que no será atacada, de la misma manera que tampoco existe aquella capaz de conocer el listado exhaustivo de sus riesgos, amenazas y posibles atacantes.
Para una empresa, la amenaza es esférica y está en cambio constante, al igual que lo están el mercado, los competidores y proveedores, las alianzas y socios, las regulaciones o normativas, entre otros factores.
Objetivos y alcance
Cuando se producen agresiones de tipo híbrido en el ámbito empresarial, la principal motivación que subyace es económica. Aun cuando resulte muy complicado —sino imposible— establecer con certeza la atribución de un ataque de tipo híbrido y rastrearlo hasta su origen, sí se recomienda analizar las razones e hipótesis más verosímiles que expliquen la causa de la agresión. Esto permite identificar los principales beneficiados de la agresión y, en consecuencia, reducir la lista de probables atacantes.
Como se comentaba anteriormente, la principal motivación es de tipo económico, pero no es la única, ya que en ocasiones las agresiones de tipo híbrido contra compañías son acciones con unas derivadas geopolíticas, tanto por su simbología como por lo que representan en el juego de enfrentamientos entre estados y/o bloques, aunque también pueden responder a rivalidades empresariales de tipo personal.
En cualquier caso, cabe señalar que el daño causado por un ataque de tipo híbrido genera siempre una situación de pérdida de competitividad o debilitamiento corporativo para la empresa atacada y, por tanto, de ventaja competitiva para sus rivales. Asimismo, pueden producirse daños económicos colaterales en actores no previstos inicialmente. A este respecto, hay que contemplar la alternativa de que se trate de un ataque híbrido de tipo indirecto, dirigido a una organización que no constituye el objetivo final perseguido, pero que desempeña una función esencial o de cierta importancia —ya sea como proveedor, asociado, cliente, asesor, etc.— para la entidad que es el objetivo final de la acción.
Dado que las acciones de tipo híbrido buscan alcanzar una situación de ventaja competitiva para el agresor, se diseñan para afectar las partes más críticas de la organización que va a ser atacada y, si ello no es posible, las más vulnerables para poder escalar desde estas hasta las críticas siguiendo la secuencia de acciones que se detalla a continuación: vulnerabilidad – influencia híbrida persistente – amenaza – acción híbrida.
Una vez identificada una vulnerabilidad o brecha de seguridad en la organización, los agresores ponen en marcha campañas de influencia con acciones más o menos persistentes en el tiempo. En ellas se recurre al uso de noticias falsas (fake news), propaganda, publicación y/o filtrado de informaciones en redes sociales y medios de comunicación social —manipulados de forma consciente o inconsciente—, así como a la difusión de datos con los que debilitar a personal, productos o servicios de la compañía atacada. La escalada en los niveles de confrontación, producida de manera secuencial o simultánea en el tiempo, puede incluir el uso de ataques físicos directos (por ejemplo, robos, sabotajes, organización de acciones de protesta, etc.), ciberataques (contra bases de datos o infraestructuras críticas, a través del exfiltrado de información…) o mixtos (como amenazas internas —insider threats—, entre otros). En un estadio más avanzado de la agresión, pueden llegar a verse implicados en la misma terceros actores, como ONG, bancos, instituciones públicas, políticos o distintas administraciones que, manipulados o conducidos a una determinada situación de forma consciente o no, acabarán por adoptar iniciativas de tipo social, financiero, normativo, etc. A través de medidas de presión e injerencia, estas iniciativas repercutirán sobre el gobierno corporativo de la entidad atacada.
En resumen, el objetivo último de una amenaza híbrida es lograr una situación de ventaja económica competitiva. El ataque se dirige inicialmente contra las partes más críticas y/o vulnerables de la entidad corporativa atacada. La escalada de las acciones híbridas se produce de manera secuencial o simultánea en el tiempo, a medida que se alcanzan los objetivos fijados durante la planificación de la agresión.
Gestión y respuesta: el valor de la inteligencia
Hasta este punto se ha descrito un escenario en el que las empresas se exponen a un mayor número de riesgos y amenazas difíciles de detectar, concretar y manejar. Pero el hecho de que los riesgos y amenazas híbridos no se presenten de manera abierta y de que no resulte sencillo establecer su origen no significa que no se puedan combatir. Las empresas no están desprotegidas frente a las amenazas de tipo híbrido, ni son absolutamente vulnerables a ellas. Mayor exposición no implica indefensión.
Frente a las amenazas híbridas, las empresas han de tomar medidas para reforzar su seguridad de manera realista, es decir, asumiendo que la seguridad es un proceso en cambio constante y no un escenario fijo y teniendo también en cuenta que el nivel de seguridad nunca será del 100%, aunque se trabaje para ello. La seguridad total y permanente en el tiempo no existe, puesto que no es posible garantizar a una empresa la seguridad plena (100%, 24/24).
Lo que sí que pueden y deben hacer las empresas es tratar de dimensionar adecuadamente el nivel de amenazas híbridas al que están expuestas, plantear escenarios lo más realistas posibles en los que se pueden concretar dichas amenazas y diseñar respuestas adecuadas para confrontar dichos ataques en caso de producirse. En este proceso de securización corporativa frente a las amenazas híbridas, el papel que desempeña la inteligencia es fundamental. Así, en el ámbito empresarial, la inteligencia se traduce en seguridad orientada al objetivo de continuidad del negocio de la organización. Para ello, distintos departamentos corporativos contribuyen con sus capacidades, y de forma complementaria, a este esfuerzo.
Con el empleo de tácticas, técnicas y procedimientos (TTP) de inteligencia, las empresas pueden anticipar la detección de un riesgo o amenaza de tipo híbrido en su fase de planificación y, por tanto, antes de que se materialice. Esta fase de planificación es la más costosa para el atacante, dado que es la que requiere de mayor dedicación para reunir la información con la que poder detectar las partes vulnerables y/o críticas de la entidad que se va a atacar. En este sentido, el uso de inteligencia por parte de las empresas aporta también un efecto disuasorio de gran valor.
En numerosas ocasiones, las amenazas se materializan tras la ejecución de una serie de acciones menores aisladas e independientes. Estas acciones menores suelen ser también de tipo híbrido e inofensivas en apariencia, pero muy dañinas cuando se origina una reacción en cadena. El valor de la inteligencia se pone también de manifiesto frente a estas amenazas híbridas menores, más difíciles de detectar y de entender en cuanto componentes de una agresión más avanzada.
La naturaleza digital de la mayoría de las amenazas híbridas que afectan a las empresas aconseja hacer uso de la ciberinteligencia como herramienta eficaz en la detección, análisis y neutralización de ese tipo de amenazas. En el día a día de las empresas se confirma el recurso progresivo a servicios especializados del ámbito de la ciberinteligencia y control de riesgos también para reforzar otros aspectos de seguridad corporativa de la organización, como la concienciación de su personal o la comprobación y mejora de los planes de continuidad del negocio.
Suma de capacidades: disuasión, contención y respuesta
Aunque todavía no se pueda hablar de una doctrina al respecto, sí que existe consenso entre expertos y profesionales en que el mejor esquema de seguridad frente a amenazas híbridas se basa en una colaboración público-privada, con intercambio fluido de información y aportación de diferentes capacidades por parte de todos los participantes.
Este principio de colaboración viene contemplado en un número creciente de estrategias de seguridad y ciberseguridad de estados y organizaciones supranacionales y tiene especial aplicación para aquellas empresas y organizaciones corporativas expuestas a los riesgos y amenazas de tipo híbrido.
Los propios planes de seguridad de las empresas constituyen el primer escalón de defensa frente a potenciales amenazas híbridas. En dichos planes deben recogerse las capacidades específicas de defensa que se van a externalizar a consultoras o empresas de seguridad e inteligencia especializadas, cuyas capacidades representan un segundo escalón de defensa capaz de responder a situaciones de alerta o a determinados tipos de escenarios contemplados en sus planes de seguridad. Adicionalmente, las empresas pueden incorporar capacidades de mayor alcance aportadas por aquellos organismos públicos implicados en garantizar la seguridad y ciberseguridad de estados y organizaciones supranacionales. La incorporación de estas capacidades, que constituyen el tercer escalón de defensa, es de gran utilidad para aquellas empresas consideradas estratégicas para un estado, es decir, aquellas que operan en sectores clave de la economía, cuentan con un alto patrimonio tecnológico o son suministradores críticos para la administración de dicho estado.
La concentración e integración de capacidades de seguridad e inteligencia internas, externas y públicas genera el mejor sistema de seguridad integral posible para que las empresas puedan enfrentar los riesgos y amenazas de tipo híbrido a los que están expuestas: disuasión, contención, neutralización e incluso respuesta. En relación a este último aspecto conviene precisar que existe un debate abierto en torno al empleo de acciones de defensa activa (hack back), entendidas como una acción ofensiva legítima que se realiza como respuesta a una agresión.
La implantación de un sistema de seguridad integral como el planteado contribuye a la creación de una comunidad de confianza en la que las empresas no son las únicas beneficiadas. Las lecciones aprendidas en la lucha contra amenazas híbridas generan conocimientos y experiencia que fortalecen a consultoras, compañías de seguridad y organismos públicos.
Conclusiones
La amenaza híbrida siempre ha estado, y continuará estando, presente en el día a día de las empresas. La globalización y digitalización de la economía contribuyen a fomentar esta situación, lo que obliga a las empresas a prestar una especial atención a las ciberamenazas.
A pesar de su creciente exposición, las empresas no están indefensas ni desprotegidas frente a las amenazas híbridas. Estas pueden detectarse con anticipación, hecho que favorece su neutralización y eliminación, al tiempo que permite disuadir a los agresores. La función que al respecto desempeña la inteligencia es fundamental. Un sistema de seguridad eficaz contra las amenazas híbridas aporta a las empresas capacidades defensivas internas, externas y públicas de forma integrada.
Descubre nuestro trabajo y nuestros servicios de ciberinteligencia en www.tarlogic.com/es/