“Eso la convertiría en la tercera mayor economía del mundo por PIB, solo por detrás de Estados Unidos y China” apunta Homaira Akbari, consejera del Banco Santander y de Landstar System, en el número de octubre de la revista Consejeros. Akbari, coautora de “The cyber savvy boardroom” y CEO de AKnowledge Partners, LLC, una firma de consultoría global sobre Internet de las Cosas, ciberseguridad e inteligencia artificial, comenta los últimos ciberataques sufridos por las empresas españolas y las pruebas de estrés que en este ámbito acaba de efectuar el Banco Central Europeo: «Sí, todos los bancos conocían los parámetros de esta prueba de resistencia» a los ciberataques, explica.
P- Dice usted en su libro que “no existen normas para desarrollar software libre de vulnerabilidades, y las sanciones por publicar software con vulnerabilidades son poco claras o inexistentes”. ¿Es improbable entonces que las demandas tengan éxito?
R- Es una cuestión muy interesante que creo que será fundamental en futuros debates. Preveo una presión creciente tanto de los gobiernos como del sector privado para responsabilizar a los vendedores de software por suministrar productos inseguros o actualizaciones defectuosas. Por ejemplo, la Estrategia Nacional de Ciberseguridad del Presidente Biden, publicada el 1 de marzo de 2023, abogaba por este cambio en la responsabilidad. Además, en octubre de 2023, la Comisión del Mercado de Valores de EE.UU. (SEC) acusó a SolarWinds y al Director de Seguridad de la Información (CISO) de la empresa de fraude y fallos de control interno, alegando que no ofrecieron garantías razonables de que los activos clave, incluido el producto estrella Orion, estuvieran adecuadamente protegidos. Sin embargo, en julio de 2024, el juez que supervisaba el caso desestimó la mayoría de las demandas de la SEC contra SolarWinds y su CISO. Más recientemente, el 26 de julio de este año, se produjo un apagón informático mundial debido a un archivo de actualización defectuoso enviado por el proveedor de ciberseguridad CrowdStrike al sistema operativo Windows de Microsoft. Y aunque todavía se está evaluando el alcance total de los daños, ya se han presentado una serie de demandas contra CrowdStrike.
P- ¿Es posible conocer el origen de un ciberataque?
R- Sí, en todos los casos, las organizaciones atacadas pueden identificar las vulnerabilidades que fueron explotadas. Y en la mayoría de los casos también pueden determinar quiénes fueron los piratas informáticos y sus motivaciones…
Foto: Jesús Umbría