El lunes 25 de mayo se cumple el octavo aniversario de la entrada en vigor del RGPD; además, con NIS 2 y DORA, las empresas han recibido nuevas obligaciones destinadas a fomentar una mayor ciberresiliencia. Sin embargo, las perspectivas se han oscurecido significativamente este último año en cuanto al cumplimiento normativo. Los modelos de IA —como «Claude Mythos» de Anthropic— podrían provocar un aumento drástico de los incidentes de datos y los casos relacionados con el RGPD, debido a la aparición de nuevos vectores de ataque y un riesgo elevado de que los ciberataques tengan éxito.

En palabras de Mark Molyneux, Field CTO de Commvault: “Es imprescindible que las empresas adopten medidas más proactivas para contener las consecuencias de los ataques exitosos de forma más eficaz y eficiente. A través de NIS 2, DORA y el RGPD, la UE ha establecido un marco normativo de leyes y directivas, que incluye un sistema de sanciones económicas para obligar a las empresas a desarrollar una mayor resiliencia operativa. Hasta la fecha, se han impuesto multas por un total de casi 6.000 millones de euros por infracciones del RGPD.

NIS 2 y DORA regularán la aplicación de la ley a través de un mecanismo similar basado en sanciones, con una diferencia clave: los propios ejecutivos de las empresas pueden ser considerados personalmente responsables, lo que podría poner en riesgo sus propios activos. Aunque en la actualidad se está dando prioridad a un diálogo honesto y directo con las instituciones afectadas más que a las sanciones, se prevé que pronto surjan los primeros casos de gran repercusión relacionados con ambas normativas.

Mythos ha despertado las alarmas

De hecho, cabe esperar un aumento significativo de los incidentes, dado que la llegada de los modelos de IA ha cambiado radicalmente el panorama de los riesgos de seguridad. “Claude Mythos tiene la capacidad de identificar de forma autónoma vulnerabilidades no detectadas anteriormente en los sistemas informáticos y de encadenar fallos de seguridad para explotarlos”, continúa el directivo. “Dado que casi todas las empresas procesan datos personales, los atacantes pueden utilizar este tipo de ataques impulsados por la IA para violar los sistemas más rápido y a mayor escala. El software de código abierto, en particular, parece ser un talón de Aquiles”.

Mythos descubrió una vulnerabilidad de denegación de servicio (DoS) en OpenBSD —un sistema operativo ampliamente considerado como el más seguro del mundo— que había permanecido latente en el sistema durante 27 años. También se detectó un fallo de 16 años de antigüedad en FFmpeg, una herramienta de procesamiento de vídeo muy utilizada. Según Anthropic, la línea de código en cuestión ya había sido escaneada cinco millones de veces por otras herramientas de seguridad automatizadas sin que se detectara la vulnerabilidad. Estos casos sirven como una poderosa demostración tanto de las capacidades de Mythos como de la vulnerabilidad inherente de estos sistemas.

“Sin duda, los ciberdelincuentes desarrollarán sus propias herramientas de IA para aumentar la sofisticación de sus ataques; parte de la razón por la que se retrasó el lanzamiento público completo de Mythos fue precisamente esta preocupación. Los ataques de phishing, en particular, se volverán más personalizados y estarán diseñados específicamente para obtener las credenciales de los usuarios internos. De hecho, incluso hoy en día, nueve de cada diez ciberataques se orquestan aprovechando identidades y sistemas de gestión de identidades”, afirma Molyneux.

Por último, el uso de la IA supone una tentación para los propios empleados. Muchos empleados introducen datos corporativos internos en modelos proporcionados por proveedores externos sin que exista un acuerdo de tratamiento de datos (DPA) que cumpla con el RGPD.

La pesada carga de las obligaciones de notificación

Uno de los requisitos más estrictos de los marcos normativos es la notificación obligatoria de los incidentes cibernéticos. El RGPD exige que las violaciones de datos se notifiquen en un plazo de 72 horas desde que se tiene conocimiento de ellas. NIS2 y DORA exigen a las empresas afectadas que notifiquen los incidentes graves de ciberseguridad —en caso de que se produzcan— en un plazo de 24 horas (y en un plazo de 4 horas si se clasifican como graves en el caso de la DORA.

Por lo tanto, las empresas deben dar prioridad a la implementación de procesos automatizados para obtener una visión completa de sus activos de datos y clasificar los datos críticos en consecuencia. Y lo que es aún más importante, una empresa debe mantener su capacidad operativa en caso de crisis, incluso mientras se está produciendo un ataque.

Para lograrlo, deben adherirse al concepto de la «empresa mínima viable». En este concepto, definen con precisión —y de antemano— qué infraestructura, sistemas, aplicaciones, procesos y entornos son absolutamente esenciales para mantener las operaciones de emergencia. Este paquete mínimo se almacena luego de forma segura en un entorno aislado, lo que garantiza que no se vea afectado por los ataques. En caso de ataque, este paquete de emergencia se activa dentro de una «sala limpia» aislada, desde donde los equipos de seguridad informática y de infraestructura pueden reconstruir y volver a implementar de forma segura el entorno de producción, al tiempo que investigan el ataque en sí, los datos comprometidos y cualquier puerta trasera.

“Solo quienes sean capaces de actuar de inmediato y pasar directamente al análisis podrán cumplir los estrictos plazos reglamentarios de notificación. Por cierto, las empresas que no están preparadas de esta manera tardan una media de 24 días en recuperar la plena capacidad operativa tras un ciberataque: 24 días frente a un requisito normativo de tan solo 24 horas”, subraya Molyneux.

La automatización inteligente como solución

“Si se descubrieran vulnerabilidades desconocidas a gran escala —ya sea a través de Mythos u otros modelos—, los atacantes podrían aprovecharlas para burlar todas las barreras de seguridad y defensa establecidas, comprometiendo así con éxito a la empresa. Será esencial complementar estos procesos automatizados con flujos de trabajo que mitiguen las consecuencias de un ataque exitoso y restauren los sistemas de forma estructurada”, continúa.

Estos procesos para una mayor ciberresiliencia se denominan ResOps. Esta disciplina organizativa afianza firmemente la resiliencia en las operaciones diarias. Aleja a las organizaciones de las estrategias de respaldo pasivas y reactivas hacia un modelo activo y continuo. ResOps aborda una pregunta central: ¿pueden los equipos mantener la estabilidad operativa de sus sistemas y, cuando no puedan, pueden restaurar todos los servicios críticos de inmediato, con total certeza y pruebas verificables?

Esta disciplina reúne a equipos de seguridad, infraestructura, negocio y operaciones en torno a un objetivo común: identificar el «negocio mínimo viable» (MVB) de la organización —esos sistemas, datos y procesos críticos que son esenciales para las operaciones comerciales— y garantizar que estos servicios puedan funcionar y restaurarse de forma rápida y limpia tras una interrupción.

La IA también ayudará a automatizar estos procesos de forma positiva, restableciendo así el equilibrio frente a las capacidades de los atacantes. “El poder de los LLM, junto con herramientas de seguridad automatizadas a gran escala, es clave para un futuro seguro y resiliente. Sin embargo, los líderes deben adoptar esta estrategia de ResOps. De lo contrario, es probable que ellos y la empresa contribuyan a las estadísticas de daños del RGPD, NIS2 o DORA. Una estrategia puramente defensiva ya no es una opción viable por sí sola y ha demostrado —con frecuencia y de forma pública— ser propensa al fracaso; ResOps, en combinación con una defensa sólida, es clave para el éxito futuro de las operaciones empresariales”, finaliza el Field CTO de Commvault.