La IA aumentará el riesgo de ciberataques, según un estudio de PwC

Las empresas creen que la IA (Inteligencia Artificial) va a contribuir a un aumento de ciberataques de alto impacto en los próximos doce meses. Esta es la conclusión a la que ha llegado el informe Digital Trust Survey de PwC.

El estudio, elaborado a partir de la opinión de 3.876 directivos de 71 países, y que incluye 143 empresas españolas, refleja que el 52% de las compañías ya se preparan para defenderse de los ciberataques derivados del uso de la IA, en un contexto en el que los ciberataques crecen en número y complejidad, y en el que las compañías están aumentando año tras año sus presupuestos en ciberseguridad para contrarrestarlos.

El estudio revela que tanto el número de ciberincidentes como el impacto económico que ocasionan a las empresas han vuelto a crecer. En los últimos tres años, el porcentaje de las compañías que han sufrido ciberataques críticos – con un impacto mayor al millón de dólares -, ha crecido hasta el 36%, nueve puntos más que en el informe anterior, un 20% en España. Los sectores más afectados por estos ataques de gran impacto han sido los de salud, tecnología, telecomunicaciones y entretenimiento, el sector financiero y el de energía.

Presupuesto en ciberseguridad

El 81% de los directivos entrevistados para el Digital Trust Survey 2024 aseguran que sus presupuestos en ciberseguridad están aumentando entre un 6% y un 15%, tres puntos más que en años anteriores.

Las partidas a la que las compañías van a dedicar más inversiones se centran en la actualización de la tecnología y de las infraestructuras; mientras que, en el caso de España destaca el cumplimiento normativo y la mejora de su postura ante el ciberriesgo.

Precisamente, el 47% de los entrevistados en el conjunto del informe -el 43% en España- asegura que la seguridad en la nube es su principal preocupación en materia de ciberriesgos, con motivo de la utilización masiva de plataformas y operativas en la nube y los numerosos controles que deben poner en marcha las compañías para protegerse en ámbitos como, por ejemplo, la identidad y acceso, las cuentas de correo electrónico, aplicaciones, interacciones con los clientes, etcétera.

La IA como tecnología de defensa

¿Cómo esperan las compañías defenderse de este incremento de los ciberataques derivados de las nuevas tecnologías emergentes? El estudio apunta a la Inteligencia Artificial.

El 69% de los directivos -el 61% en España- aseguran que sus compañías prevén usar la IA generativa para defenderse de los ciberataques en 2024. El estudio concluye que los tres ámbitos más relevantes para el uso de la IA generativa en ciberdefensa son la detección y análisis de amenazas, la generación de informes de ciberriesgos y la aplicación y actualización de los controles de seguridad.

En el primer ámbito, la IA generativa puede ser muy eficaz en la detección proactiva de vulnerabilidades, en evaluar su alcance con rapidez (qué está en riesgo, qué comprometido, daños sufridos) y en búsqueda de alternativas de defensa más adecuadas en base a la experiencia pasada.

En cuanto a la generación de informes sobre ciberriesgos y sobre los incidentes, la IA puede convertir, con la ayuda del lenguaje de procesamiento natural (NPL, por sus siglas en inglés), datos técnicos en contenidos sencillos de entender, informes de respuestas de incidentes, a los estudios sobre posibles amenazas, a las evaluaciones de riesgos o sobre cumplimiento normativo.

Por último, en el ámbito de la aplicación y actualización de los controles de seguridad en la nube, el estudio muestra que estos sistemas requieren actualizaciones constantes de las políticas y controles de seguridad. Los algoritmos de aprendizaje automático y las herramientas de IA generativa podrán recomendar políticas de seguridad y automatizar los controles y adaptarlos al perfil de cada amenaza.

El estudio también destaca que el cumplimiento normativo se presenta como uno de los grandes desafíos para los departamentos de ciberseguridad en tres ámbitos principales: la regulación de la IA, la armonización de la legislación y la protección de datos, el reporting obligatorio en torno a la gestión, a la estrategia y al gobierno del ciberriesgo.

Para Jesús Romero, socio responsable de Soluciones de Seguridad de Negocio en PwC, las conclusiones del estudio “ponen de manifiesto que la ciberseguridad continúa siendo, ahora más que nunca, una prioridad para los líderes de las organizaciones”. Por eso, desde PwC apuntan que “la alta dirección necesita trabajar de forma coordinada y ser ágil para adaptarse a los cambios del mercado y transformación del negocio ligada a la evolución y despliegue de tecnologías emergentes”.

Por último, para afrontar con garantías las ciberamenazas presentes y futuras, “los ejecutivos deben integrar la ciberseguridad en el modus operandi de sus organizaciones, en lugar de tener una posición reactiva ante las crisis”, ha explicado Romero.