Ciberseguridad e inteligencia artificial son dos áreas de conocimiento que generan una gran atención por su potencial impacto en el mundo empresarial. Hoy en día, el riesgo de recibir un ciberataque es muy alto, y frente a ello la ciberseguridad puede aportar a las compañías prevención, diagnóstico y remediación de todos los problemas que puedan tener nuestros sistemas de información.
La inteligencia artificial, por su parte, se postula como una nueva herramienta que plantea y anticipa el máximo número posible de bifurcaciones en un árbol de toma de decisiones.
Desde el punto de vista del análisis forense, estas áreas del conocimiento están mucho más orientadas a la remediación y a ayudar en la gestión de operaciones en momentos de crisis. De hecho, los expertos forenses de las compañías, así como los asesores externos en esta materia, asumimos que los incidentes de seguridad tendrán lugar, que habrá sistemas y datos afectados, que existirán personas físicas y jurídicas afectadas por las acciones maliciosas de terceros y que será necesario evaluar el impacto reputacional y atender a las repercusiones legales derivadas de posibles reclamaciones o acciones sancionadoras de los reguladores.
La consecuencia directa de lo anterior es que las compañías necesitan ampliar y sofisticar sus modelos de operación de seguridad para contemplar también los protocolos de actuación necesarios cuando se notifica un ataque que ha comprometido datos identificativos de carácter personal.
Estos primeros momentos requieren equipos y recursos técnicos que permitan usar conectores con los principales activos de datos de la compañía (incluyendo datos on premise y cloud), así como equipos de inteligencia que puedan recorrer y buscar indicios o evidencias de exfiltración en la Dark Web.
Reto de ciberseguridad
El principal gran reto que están teniendo que resolver las compañías es cómo explotar y analizar, con unos tiempos de respuestas realmente exigentes, unos volúmenes de información y unos formatos que se salen de sus operaciones normales.
El escenario paradigmático ya no es ciencia ficción: los atacantes han tenido acceso a bases de datos de clientes, pero también a gestores documentales, comunicaciones por correo electrónico e incluso locuciones provenientes de los centros de atención al usuario. El reto se complica cuando de manera efectiva se da publicidad a los datos accedidos y robados.
En esta etapa se puede recomendar el uso de computación cloud para la extracción de datos y metadatos, conversión a texto de los documentos con formato imagen y disponer de módulos de búsqueda fonética o de conversión precisa a texto para los contenidos multimedia.
Sigue siendo crítico, desde el punto de vista técnico, que el nuevo repositorio de eDiscovery desde el que se vaya a coordinar toda la explotación y revisión de los datos disponga de estos módulos con una seguridad en términos de controles de acceso muy robusta.
Los escenarios complejos necesitan resolverse aunando metodología, recursos humanos cualificados y tecnología. Quizás uno de los marcos más probados para la gestión y explotación de datos no estructurados es el denominado descubrimiento electrónico o eDiscovery. Esta metodología permite poner en contacto políticas y procedimientos internos con todo un ecosistema de terceros que tienen un rol importante en la gestión de este tipo de brechas de seguridad que han afectado a datos de carácter personal: aseguradoras con las que se mantiene algún tipo de póliza de ciberseguros, clientes y proveedores cuyos datos se han podido ver expuestos, Agencia Española de Protección de Datos, organismos internacionales en caso de que la compañía opere con carácter multinacional y con distintas responsabilidades en cada país, Fuerzas y Cuerpos de Seguridad del Estado, etcétera.
Avances
Hay que tener en cuenta que una de las mayores dificultades asociadas a poner orden en un caso de exfiltración de datos no estructurados (como contratos, facturas, fichas de clientes, DNI o pasaportes, entre otros) consiste en volver a ordenar aquellos datos que han perdido su estructura: saber dentro de todo lo afectado cuántas entidades y personas se han visto afectadas, clasificar e inventariar para cada una de ellas qué tipo de datos se han accedido ilícitamente y cuáles son los nuevos riesgos vinculados a que alguien tenga acceso a esos datos.
Es justo en estas tareas donde los avances en materia de inteligencia artificial están consiguiendo aumentar muy significativamente los tiempos de revisión.
La inteligencia artificial, en procesos que requieren un rigor formal muy elevado, nunca debería prescindir del juicio crítico de un experto en la materia. Existen ya módulos en las herramientas de eDiscovery a los que podemos preguntar por tipologías de datos identificativos almacenados en un conjunto de documentos y por un resumen de aquellos que contengan datos con cláusulas de responsabilidad, por ejemplo.
Esta tecnología aporta unas mejoras de productividad y eficacia enormes a los equipos de forensic, ciberseguridad, regulatorio y legal involucrados en la toma de decisiones tan pronto se va conociendo la profundidad y relevancia de los datos afectados.
Tras el análisis y toma de control de la situación, aún quedan por abordar los efectos colaterales, reclamaciones y obligaciones normativas. En el marco del Reglamento General de Protección de Datos, por ejemplo, seguirá existiendo obligación de atender a las solicitudes de información que puedan hacer llegar a la compañía las personas que se sientan afectadas por fuga de información.
Palancas
Para toda esa gestión de solicitudes, búsqueda de datos personalizados por peticionario y generación de informes de grado de afectación, de nuevo la tecnología de eDiscovery junto con la inteligencia artificial generativa serán palancas de gran utilidad para atender un volumen de trabajo que, hasta ahora, se ha considerado totalmente fuera de las operaciones normales de una compañía.
Las estadísticas, las noticias recientes y la tendencia hacia una aún mayor digitalización de las compañías sólo pueden hacernos pensar en que este tipo de ataques serán cada vez más generalizados. Y que las operaciones para analizar y responder ante los mismos serán parte del día a día de las organizaciones.
Al igual que ha ido calando la necesidad de dotarse de los mejores medios para prevenir problemas futuros en materia de ciberseguridad, la concienciación y mejora de las operaciones de seguridad ahora pasan por integrar a los equipos de primera respuesta con las áreas de eDiscovery e investigación.