La cultura empresarial japonesa, el principal enemigo en su guerra contra el ‘ransomware’

Como potencia económica, Japón se halla a la vanguardia de industrias que van desde la fabricación hasta la medicina y las finanzas. Esto lo convierte en un objetivo importante de ciberataques por parte de una gran cantidad de entes malintencionados, pero las organizaciones japonesas han tardado en adaptarse a las crecientes amenazas del ransomware y otros ataques. A lo largo de mis más de 20 años trabajando en ciberseguridad he llegado a reconocer muchos retos distintos a los que se enfrentan las empresas tradicionales japonesas a la hora de forjar estrategias efectivas para minimizar el riesgo y reforzar la resistencia cibernética. A continuación examino tres casos de ciberataques que se han producido en empresas japonesas en 2024 y considero las cuestiones fundamentales que plantean.

Vulnerabilidad cibernética: tres casos prácticos

Caso 1: falta de transparencia en una gran editorial

En un incidente que pone de relieve el modo en que la falta de transparencia aumenta la vulnerabilidad, en junio de 2024 un importante grupo editorial japonés sufrió un ataque de ransomware que provocó una caída de todo el sistema, lo cual causó retrasos en sus entregas de publicaciones y paralizó su servicio de streaming de vídeo.

Lo que llama la atención de este caso es que la organización tardó casi tres semanas en revelar que se habían filtrado los datos de los clientes, un plazo increíblemente largo teniendo en cuenta la magnitud del ataque. Aunque el momento del anuncio se decidió sin duda como parte de una estrategia general de ciberseguridad, esto también subraya la importancia de que las empresas equilibren el momento de sus revelaciones al público con la necesidad de transparencia.

En comparación con sus homólogas japonesas, las empresas de Occidente suelen estar sujetas a estrictos requisitos de transparencia que exigen la rápida divulgación de la información pertinente. El Reglamento General de Protección de Datos de la Unión Europea, por ejemplo, exige a las empresas que informen de las filtraciones de datos en un plazo de 72 horas.

Caso 2: ataque prolongado a una cadena regional de supermercados

En febrero de 2024, un ataque de ransomware paralizó el sistema de pedidos de una cadena regional de supermercados. La recuperación fue lenta, y la organización tardó más de dos meses y medio en restablecer plenamente sus operaciones.

La pérdida de los sistemas centrales afectó gravemente a la capacidad de la empresa para suministrar productos a los establecimientos de venta y realizar campañas promocionales. Las comunicaciones externas se vieron limitadas al teléfono, el fax y el correo postal, y los pagos y reembolsos a los proveedores tuvieron que hacerse de forma aproximada. Por suerte las terminales punto de venta de la empresa permanecieron en línea y las medidas de solución alternativa permitieron a la cadena evitar un cierre total, pero la eficiencia general de las operaciones de esa empresa sufrió un costoso golpe.

El caso ilustra el difícil y largo proceso de restauración de datos tras un ataque de ransomware, en el que la recuperación resulta especialmente lenta cuando se han visto afectados sistemas críticos para las operaciones. Las empresas japonesas suelen disponer de pocas medidas para garantizar una recuperación rápida y la continuidad del negocio tras un ciberataque.

Por el contrario, un gran minorista de Estados Unidos que sufrió un ataque similar consiguió que sus sistemas centrales volvieran a funcionar en 48 horas, activando copias offline de seguridad de sus datos. El equipo de ciberseguridad de la empresa, trabajando rápidamente para identificar la ruta del ataque y parchear las vulnerabilidades, restableció más del 90 % de las operaciones en una semana. Esa rápida recuperación se debe a que la empresa estaba preparada para un ataque, disponía de múltiples sistemas de copias de seguridad y creó un equipo de respuesta rápida compuesto por expertos internos y externos.

Caso 3: la cuestionable respuesta de una empresa de soluciones digitales

En mayo de 2024, un ataque de ransomware a una destacada empresa de impresión y soluciones digitales demostró que, aunque se están haciendo progresos en el enfoque japonés de la ciberseguridad, aún quedan retos por superar. La empresa, líder del sector con una impresionante lista de clientes que abarcan tanto el sector privado como el público, procedió a revelar el ataque al cabo de solo tres días. También proporcionó actualizaciones periódicas, lo que ilustra una clara conciencia de la necesidad de transparencia, ya que el incidente afectó a clientes como instituciones financieras y organismos públicos, organizaciones especialmente sensibles a las cuestiones de ciberseguridad.

Aunque estos pasos son loables, la empresa socavó sus esfuerzos al anunciar inicialmente que no había descubierto ninguna prueba de que los datos personales se hubieran visto comprometidos, y tener que retractarse de esa declaración después de que aparecieran pruebas que sugerían una filtración de datos. Este caso demuestra los obstáculos que plantean la recopilación y el análisis preciso de la información durante las primeras fases de un ciberataque.

Fuera de Japón, las empresas líderes del mismo sector, especialmente las que manejan datos sensibles, suelen contar con equipos de seguridad dedicados y herramientas analíticas avanzadas listas para evaluar rápidamente los riesgos y permitirles tomar las medidas adecuadas para evitar o detener las filtraciones de datos confidenciales, garantizar una comunicación oportuna y precisa con los clientes y mantener su conformidad a los estándares del sector.

Cuestiones para las empresas japonesas

Aunque se están haciendo progresos en el frente de la ciberseguridad, los casos mencionados demuestran los retos clave –algo que yo llamo los “cuatro muros”– a los que se enfrentan las organizaciones tradicionales japonesas.

El primero es el “muro de la toma de decisiones”, que produce respuestas lentas a las crisis.

El proceso tradicional de toma de decisiones en las empresas japonesas es muy adecuado para una gestión cuidadosa y mesurada en tiempos normales. Sin embargo puede convertirse rápidamente en la perdición de una empresa cuando se produce un ciberataque o alguna otra emergencia que requiere una acción rápida y decisiva. Un incidente ocurrido a cierto fabricante japonés ofrece un buen ejemplo de ello. Buscando salvaguardar sus sistemas la empresa decidió acelerar la instalación de un software antimalware, pero tardó dos semanas en aprobar la medida, tiempo durante el cual fue blanco de un ataque.

El siguiente es el “muro del coste”, o la reticencia a invertir adecuadamente en ciberseguridad.

Las organizaciones japonesas suelen considerar la inversión en ciberseguridad como un gasto general que no contribuye directamente a los beneficios. Un ejemplo de este tipo de pensamiento puede encontrarse en una importante corporación japonesa que decidió que 1.000 millones de yenes era una suma demasiado alta para ciberseguridad; la empresa, no obstante, sufrió un ataque que le costó el triple de esa cantidad. Las empresas estadounidenses, por el contrario, son más propensas a invertir fuertemente en ciberseguridad, ya que la consideran un elemento facilitador del negocio y una inversión infraestructural vital necesaria para el crecimiento empresarial, en lugar de un mero coste general que debe mantenerse bajo control.

En tercer lugar está el “muro de la rotación”, una faceta del sistema de recursos humanos que conduce a una escasa experiencia en ciberseguridad.

Es una práctica habitual en las empresas japonesas rotar a los empleados cada pocos años, enviándolos a departamentos que quizá no estén relacionados con sus habilidades y experiencia previa. Esto ha obstaculizado gravemente la capacidad de las organizaciones para crear una población interna de expertos en ciberseguridad. Como ejemplo, la decisión de cierta empresa electrónica japonesa de sustituir al jefe de su equipo de ciberseguridad cada dos años le impidió acumular un cuadro de empleados con un alto nivel de conocimientos especializados. Las empresas de TI de Estados Unidos, por el contrario, suelen emplear a CISO, o ejecutivos de seguridad de la información, que como altos ejecutivos a menudo permanecen en sus puestos durante una década o más, desarrollando, aplicando y haciendo cumplir las estrategias de ciberseguridad de la empresa.

En cuarto y último lugar se halla el “muro del silencio”, que crea una cultura de vacilación a la hora de revelar información.

La tendencia predominante en las empresas japonesas cuando se enfrentan a una crisis es abstenerse de hacer un anuncio hasta que se conozcan todos los detalles. Sin embargo, esa cautela empeora a menudo una situación ya de por sí mala. Este fue el caso de una institución financiera japonesa que sufrió un ataque pero tardó en responder, lo que permitió que se agravara la filtración de los datos de los clientes y, al final, costó a la organización más de diez veces el coste estimado inicial para hacer frente al problema.

Ejercer un liderazgo firme

Las capacidades de ciberseguridad de Japón sin duda han mejorado, pero las organizaciones se hallan aún lejos de poder seguir el ritmo de las amenazas cibernéticas, en rápida evolución. Las empresas necesitarán tiempo para desarrollar una infraestructura cibernética a la altura de las potencias mundiales de cara a hacer frente a estos desafíos, algo que creo pueden hacer aprovechando sus puntos fuertes y adoptando las mejores prácticas de una amplia gama de fuentes.

Lejos de ser un problema exclusivo de los equipos de TI, la ciberseguridad impregna hoy en día las operaciones a todos los niveles de una organización. Para superar estos retos es fundamental que los ejecutivos asuman un papel activo en la protección de las organizaciones frente a las amenazas en línea. Al abordar la cuestión de la ciberseguridad, las empresas tradicionales japonesas deben centrarse en cinco elementos clave: deben definir claramente la posición de la ciberseguridad dentro de una estrategia organizativa más amplia, optimizar la asignación de recursos, integrar la gestión de riesgos en todos los niveles, impulsar la transformación cultural dentro de la empresa y generar confianza con las partes interesadas.

De cara al futuro, los ejecutivos de las empresas deben utilizar su influencia para determinar el enfoque de la ciberseguridad de una organización. Este es el momento de actuar con valentía.

(Artículo publicado originalmente en japonés, y traducido al español de su versión en inglés. Imagen del encabezado: la pantalla de un ordenador muestra un mensaje de ransomware - © DPA/PictureAlliance/Reuters.)