La ciberseguridad empresarial tal como se  practica desde hace décadas, afronta un cambio notable, que la aproxima a las nociones de seguridad nacional y de soberanía tecnológica, esta última ahora en boga. El  diagnóstico, extrapolado de una conversación anterior con Wendi Whitmore, ha reaparecido en una entrevista online con ella en Munich participando de la conferencia internacional sobre seguridad, evento que más de una vez ha sido escenario de controversia entre Estados Unidos y Europa. Bastaría con ello para certificar que el ambiente se ha agriado durante los años de guerra en Ucrania, pero el mismo día de la entrevista se estaba cociendo otra guerra en Irán, iniciada el último día de febrero.

Wendi Whitmore

Con un nutrido currículo en la investigación sobre ciberseguridad , Whitmore es actualmente directora de inteligencia de Palo Alto Networks. Esta compañía, con raíces en Israel y sede en California, factura más de 10.000 millones de euros anuales y ha alcanzado una capitalización bursátil de 136 .000 millones, con la que se clasifica como la primera empresa independiente del sector de ciberseguridad.

Durante la conversación, Whitmore empleó varias veces la expresión “actores estatales”, un eufemismo con el que esta industria etiqueta a cuatro países: Rusia, China, Irán y Corea del Norte, algo más que sospechosos de subcontratar y/o ejecutar ataques cibernéticos en varias direcciones y de manera sistemática. Lo que, esto va de suyo, no implica que sean los únicos que han pasado del espionaje clásico al empleo abusivo de Internet, con la valiosa ayuda de la ayuda de la inteligencia artificial y las que se perfilan con la computación cuántica.

En 2025, las incidencias de inspiración estatal han sido más de 200, según los informes de Unit 42, estructura de análisis que orgánicamente depende de la entrevistada. En otro estudio, apunta que los ataques infraestructuras críticas aumentan a una media del 75% anual y suelen empezar por apoderarse de una identidad que goce de cierto privilegio de acceso a información sensible. Por cierto, la gestión de identidades es un campo ascendente: a las de carácter personal se suman las que genera la eclosión de los agentes de IA, que ya son 82 por cada humano. Lo que explica que Palo Alto Networks haya pagado 25.000 millones de dólares en la adquisición de la empresa especializada Cyberark.

Las predicciones de Palo Alto Networks para este año han alterado el lema acuñado por la compañía para 2025, “año de la disrupción” en el que los ciberataques masivos serían numerosos, para pasar a definir 2026 como “año de los defensores”, con lo que se quiere decir que la IA será una fuerza capaz de volcar el balance en favor de las víctimas.

La entrevista que sigue precedió por unos días al estallido de otra guerra en Oriente Medio, pero el 12 de marzo Palo Alto Networks la compañía publicaba un análisis exhaustivo de las capacidades de Irán  para librar la parte cibernética de esta guerra.

Nos vimos en Madrid en 2024, pero estos días he rescatado frases suyas según las cuales la ciberseguridad empresarial es cada vez menos una función adscrita a las tecnologías de la información; la interpreto en el sentido de una influencia creciente de los factores geopolíticos […] Se va cumpliendo, por lo que vemos.

Lo digo a menudo y con ello quiero significar que los CIO (chief information officer) tienen que hacerse a la idea de que su función no se limita a gestionar la integridad de las TI; que han de tener presente la inteligencia geopolítica y su influencia en la planificación estratégica. Para mí, la frase sigue siendo válida, aunque el contexto ha cambiado adquiriendo, por así decir, otra dimensión […]

¿En qué ha cambiado? Algo tendrá que ver con lo que se discute estos días en Munich.

Si pensamos en la Europa de hoy, el cambio está ligado a la guerra en Ucrania: Rusia  encuentra en las redes de ordenadores y en Internet una oportunidad de complementar sus operaciones en el frente de batalla, anticipándose mediante desconexiones “limpias” de la red eléctrica o bien lanzando ataques DDoS [denegación de servicio] coordinados   o cuando está a punto de enviar tropas a una determinada localización. A lo que añade campañas de desinformación […] Así que veo realista esperar que estas actividades se repliquen y se multipliquen, porque a fin de cuentas son actos de guerra baratos en términos económicos y humanos.

Cómo protegerse y defenderse, sería la pregunta inmediata.

Ninguna organización es realmente inmune y harían muy mal aquellas que crean serlo o disimulen sus debilidades. El aumento de una fuerza laboral distribuida, la migración de cargas a la nube y la expansión de IoT son tres de las causas de una peligrosa expansión de la superficie de ataque. Hay más y los delincuentes saben cómo explotarlas.

[…]le preguntaba por el apoyo recíproco entre delincuencia y operadores estatales.

Lo dice una encuesta muy prolija: casi el 60% de las empresas a las que hemos consultado reconocen que las tensiones geopolíticas han afectado o están afectando sus estrategias de ciberseguridad. Y en gran mayoría añaden que esas estrategias están fragmentadas por el gran número de herramientas instaladas y no necesariamente conectadas entre sí. Las circunstancias les hacen ver la necesidad de monitorización y que, por tanto, sus costes no están debidamente optimizados. Entendemos estos resultados en dos sentidos: 1) como una necesidad de plataformas únicas que aúnen soluciones ahora separadas porque se las ha concebidas como silos y así siguen; y 2) hay que dar un salto desde la idea de bloquear reactivamente a la de un facilitador proactivo que gestione los riesgos generados por la IA. Estas deberían ser los focos de la innovación dentro de las empresas.

Pero ¿le consta que asimilen esa prédica? ¿Son conscientes las empresas, al menos en número significativo, de unos cambios que están más allá de su alcance?  

[…] Por nuestra parte llevamos mucho tiempo diciéndolo, pero lo fundamental es que las empresas entiendan que sus enemigos, con independencia de su origen y su naturaleza, están más avanzados, mejor organizados y aparentemente coordinados. El 86% de los casos que observamos implican una intención explícita no solamente de provocar perjuicio sino también el interés de entender la tecnología usada por la organización atacada, identificar sus procesos y las relaciones que generan. Los atacantes se mueven dentro de una red corporativa con pasmosa rapidez para descubrir los puntos débiles de la víctima escogida.

[…] un buen motivo para estar siempre listas.

Exactamente. Lo que necesita hoy una empresa o una organización es justamente estar preparada para detectar un ataque lo antes posible y tener prevista la mitigación, la respuesta y la restauración. Esto supone conocer la propia capacidad de resiliencia, la de su negocio y la de sus operaciones críticas. Una vez conocedoras de que un adversario puede interferir en la producción de un sistema y llevársela offline, la cuestión pasa a ser otra: con qué rapidez podemos responder y volver a la normalidad.

¿En qué se refleja la conexión entre la ciberseguridad convencional y la que está propiciada por criterios militares, aun sin llegar al extremo de una guerra?

Los organismos de defensa tienen sus problemas específicos en relación con la ciberseguridad en la retaguardia, tampoco son inmunes. Al mismo tiempo, acentúan su cooperación con el sector privado, lo que produce un intercambio de experiencias.

La tendencia hacia la soberanía tecnológica puede exacerbar las diferencias en torno a las regulaciones. ¿Podrían estas limitar una adopción más expeditiva de las soluciones?  

No pretendo tener una respuesta definitiva, porque esta cuestión evoluciona muy rápidamente. Europa ha sido tradicionalmente más activa tomando iniciativas de regulación, como ocurre ahora mismo con la IA. Mientras, en Estados Unidos se discute si vamos a tener cincuenta legislaciones, una por estado, o una estrategia federal centralizada. Esto es relevante a efectos de la ciberseguridad porque necesitamos imperiosamente contar con IA en todas las fases de la tecnología, desde el testeo a la detección de amenazas, pasando por el desarrollo de salvaguardas.

En su blog corporativo, usted ha evocado el recuerdo de la guerra fría, un período que muchos no conocieron y otros han olvidado ¿Lo ve como metáfora o como fenómeno comparable con la actualidad?

El mundo en que vivimos no es el del siglo pasado, pero vemos comportamientos muy dañinos que sugieren esa evocación. Es por esto que empresas como Palo Alto Networks y otras trabajamos en la búsqueda y construcción de soluciones. En el período de guerra fría [nota: se extendió de 1947 a 1991] las naciones acumulaban arsenales de armas nucleares cuyo efecto era una disuasión recíproca. En este cuadro, hay una novedad inquietante: observamos formas de cooperación entre la delincuencia organizada y determinados actores estatales  . En este momento, me atrevo a decir que los defensores llevamos alguna ventaja a corto plazo, pero nadie puede asegurar que este balance se mantendrá dentro de seis meses o un año […]

La detección y la respuesta implican dotarse de ciertas capacidades que, en muchos casos, son nuevas porque en las amenazas hay innovación. ¿Cómo deberían evolucionar las capacidades de las empresas para hacerles frente?

Le diré lo que hacemos en Palo Alto Networks. Nos enfocamos en el desarrollo de tecnologías que permitan a nuestros clientes la detección más pronta y la respuesta más rápida. No es casualidad que hayamos dedicado importantes inversiones en la gestión de la identidad, que adquiere más importancia si cabe en la era de los grandes modelos de IA. Vuelvo al ejemplo de nuestros hallazgos en Unit 42: en el 90% de los casos, la vulnerabilidad está en la identidad de los usuarios y en su manipulación delictiva; crecientemente, añado en la identidad de los dispositivos dotados de privilegios. El compromiso es poner a disposición de los clientes un enfoque holístico de la seguridad.

Pues he encontrado otra frase suya [risas] en la que afirma que defenderse reactivamente es una estrategia perdedora. ¿Podría desarrollar la idea?  

Nos consta que la mayoría de las organizaciones invierten dinero, tiempo y recursos humanos a diseñar procesos seguros y soluciones de testeo; que normalmente crean sus propios grupos de trabajo y se integran en cadenas de suministro; lo hacen así, en lugar de defenderse cada una como mejor pueda.

La palabra resiliencia puede sonar hueca cuando asociamos las amenazas a una situación de guerra ¿no estamos ya en otra pantalla?

No. Cuando hablamos de resiliencia, nos referimos a capacidades útiles para contrarrestar los ataques, que seguramente no tienen los mismos significados para diferentes organizaciones. Para una entidad financiera, pueden reflejar su habilidad para mantener la integridad de sus transacciones; para una organización sanitaria, la variable será que esté en posición de prestar servicios al paciente en tiempo oportuno; para una aseguradora, se tratará de procesar eficientemente las incidencias en el backend […] Para todas, lo imprescindible es estar preparadas. En última instancia está la identidad.

¿Y para los atacantes no?

Sí, si. Tanto si es una entidad estatal o paraestatal como si fuera un ciberdelincuente, la identidad es siempre crucial para que una maniobra de ataque consiga lo que busca. Puede haber una ganancia financiera o la aropiación de propiedad intelectual, o algún objetivo político; en todos los casos el atacante ha de apoderarse de datos que conduzcan al objetivo y para ello debería quebrar uno o más privilegios anexos a una identidad.

Apenas ha mencionado la inteligencia artificial con su doble papel. ¿Es razonable suponer que prevalecerá su faceta buena frente a la mala?

Sí, la IA es absolutamente crítica, en los dos sentidos. En primer lugar, es necesaria en las soluciones de ciberseguridad para que podamos detectar con la máxima rapidez la presencia de una amenaza, lo que plantea una cuestión de escala: no vivimos en un mundo en el que los humanos podamos responder uno por uno a cada ataque tras detectar que ese riesgo existe y que esa respuesta sea oportuna y exitosa.

¿Dependeremos de la IA?

Necesitamos soluciones basadas en la IA. Habrá oído hablar de algo que llaman IA segura por diseño, lo que significa que una solución auténtica empieza por la integridad del proceso de desarrollo y testeo e implica que tienes listas las contramedidas para el caso de que un LLM está operando de manera sospechosa o poniendo en evidencia comportamientos maliciosos. ¿Qué tiene que ver esto con la IA? Que cualquier organización necesita ser capaz de detectar e identificar usos de la IA entre sus empleados y en redes de terceros, cortando de raíz el peligro sin dilación.