Hemos reflexionado sobre las tendencias más importantes de 2023 a fin de determinar qué deberían esperar las organizaciones en 2024 y más allá. Ten en cuenta estas reflexiones cuando prepares las principales estrategias y prioridades de tu organización para el año próximo.
La IA fue la tendencia determinante del año pasado, y hay muchas razones para creer que será una fuerza dominante en 2024. Afectará a todos los aspectos de tu organización: desde cómo escalas la eficacia operativa hasta a cuál será el objetivo de los ciberdelincuentes en tu organización. También esperamos ver nuevas formas de conexión a Internet, una mayor complejidad del cumplimiento y grandes cambios en la informática y la seguridad como resultado de presupuestos más ajustados. Aquí tienes las 10 principales predicciones para el futuro de la informática y la ciberseguridad.
Starlink, que proporciona acceso a Internet vía satélite a más de 60 países, requiere actualmente un enlace descendente local para su funcionamiento, por lo que está sujeta a las restricciones de los organismos reguladores de telecomunicaciones de cada país. En 2024, SpaceX lanzará Starship, lo que acelerará el ritmo de despliegue de satélites y permitirá la introducción de enlaces ópticos entre ellos. Estos avances hacen posible que un cliente con un terminal pueda utilizar Internet sin un enlace descendente local: la señal puede transmitirse entre satélites y descargarse en otro lugar del mundo. Como resultado, algunos países perderán la capacidad de imponer restricciones al acceso a Internet. Esperamos que como resultado de la disponibilidad de Starlink se eluda al menos la política nacional de un país. Las organizaciones deberán tener en cuenta tanto la política nacional como las realidades políticas prácticas a la hora de considerar la implementación de sus aplicaciones en una ubicación determinada.
A medida que la IA mejore la entrega de código para el desarrollo de aplicaciones y sitios web, el desarrollo front-end básico será cada vez más rápido, más fácil y más "comoditizado". Para mantenerse en la brecha, los desarrolladores front-end tendrán que trabajar codo con codo con la IA. Y, para destacar realmente, los desarrolladores front-end de éxito tendrán que aportar más habilidades únicas: creatividad, resolución de problemas, perspicacia empresarial o una experiencia singular. Los que utilicen marcos más nuevos tendrán ventaja respecto a aquellos que usen marcos más consolidados con los que la IA se haya entrenado a fondo. Los marcos que elijan utilizar los desarrolladores front-end y las habilidades únicas que aporten tendrán un impacto en el mercado laboral y en la evolución de los procesos de desarrollo.
Con frecuencia, los autores de amenazas tienen como objetivo las nuevas tecnologías que se convierten en una pieza clave del éxito de las organizaciones, y la IA no es una excepción. Aunque ya hemos tenido graves problemas de seguridad relacionados con la IA, como la fuga de datos, 2024 será el año en que los ciberdelincuentes irán a por los propios modelos de IA. Las organizaciones deben estar preparadas para las fugas de datos, la réplica y el robo de modelos, e incluso su manipulación, es decir, los intentos de manipular los resultados de la IA cambiando las entradas con las que se entrena el modelo. Quienes deseen proteger los modelos de IA de su organización deben consultar las directrices del Centro Nacional de Ciberseguridad (NCSC) y de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE. UU. para el desarrollo seguro de sistemas de IA.
2024 será el año en que las organizaciones que implementen con fuerza la IA generativa se darán cuenta de que no es barata. Con los problemas de la cadena de suministro relacionados con los chips de IA, el limitado espacio de colocación optimizado para la IA y el aumento de los precios de la energía, vemos muchas razones para esperar costes elevados el próximo año. Eso sin contar el coste de las emisiones de carbono para la sociedad. Los directores financieros no permitirán costes ilimitados durante mucho más tiempo sin un objetivo claro: el rendimiento de la inversión.
Con ese fin, esperamos que las organizaciones implementen herramientas para desarrolladores que puedan ofrecer información, controles y supervisión de las implementaciones de IA, especialmente en la fase de experimentación, a fin de garantizar que los costes se mantienen bajo control. Los desarrolladores también se verán presionados para lograr más con menos recursos informáticos. Los modelos orientados a tareas específicas, entrenados a partir de modelos básicos, serán fundamentales para reducir la huella informática necesaria. Deben poder conseguirse soluciones con una huella informática menor, como GPU individuales en un servidor, servidores solo con CPU, ordenadores portátiles, teléfonos móviles, etc.
Internet es ahora una infraestructura crítica, y la opinión unánime es que durante el próximo año estará más en el punto de mira que nunca. Nuevas vulnerabilidades zero-day, nuevos defectos del software más utilizado, nuevos problemas de la cadena de suministro y nuevas tácticas de los ciberdelincuentes evolucionan y fructifican. Por lo tanto, las organizaciones deben prestar suma atención a las medidas que pueden adoptar para garantizar su resiliencia. En 2024, los responsables de la seguridad empezarán a cambiar su mentalidad respecto a que la gestión de incidentes, la aplicación de revisiones y la evolución de las medidas de protección de seguridad sean procesos continuos. Una divulgación responsable será un pilar fundamental para mantener la resiliencia, independientemente de las prioridades o del estilo del director de seguridad de la información. Gestionar los incidentes como vulnerabilidades zero-day no es tan sencillo como "aplicar la revisión y listo". La mitigación mediante, por ejemplo, revisiones para cada variante de una vulnerabilidad puede reducir el riesgo, pero nunca lo elimina por completo.
La implementación del modelo de seguridad Zero Trust ha resultado ser una actividad frustrante para las organizaciones que intentan proteger una red vulnerable. Eliminar el acceso excesivo dentro de la red y abordar los cambios de ubicaciones entre datos, aplicaciones y usuarios supone un desafío. Esperamos ver un punto de inflexión en 2024, donde los proyectos Zero Trust se alejen de la inserción de productos en la ruta de la red y promuevan la aplicación de controles de seguridad y políticas contextuales mediante el perímetro de servicio de acceso seguro (SASE). Esto, en efecto, crea un plano de control para Zero Trust que se encuentra por encima, y no dentro, de la conectividad de red entre los usuarios y los datos.
En 2023, la adopción de IPv6 se situaba entre el 45 y el 50 %. En 2024, su adopción superará el 50 %. No obstante, actualmente muchos proveedores de redes y de seguridad no ofrecen compatibilidad total con IPv6. Peor aún, sin una compatibilidad explícita exclusiva con IPv6, cada vez se eludirán con más frecuencia los conectores basados en software para los dispositivos de usuario final, los servidores de aplicaciones y las redes locales que ofrecen los proveedores de seguridad a los clientes para llevar el tráfico a sus puntos de aplicación en la nube. A medida que cada vez más proveedores de acceso a Internet activan el acceso IPv6 para los abonados debido a los continuos desafíos que plantea el agotamiento de las direcciones IPv4 y las limitaciones cada vez mayores de la traducción de direcciones de red (NAT), ha llegado el momento de empezar a preguntar a tus proveedores cuándo, dónde y cómo van a ofrecer compatibilidad con IPv6.
Organizaciones de todo tipo están invirtiendo con fuerza en modelos de IA y confiando en ellos para llevar a cabo funciones empresariales esenciales. Además, las organizaciones están impulsando la IA para mantener una ventaja competitiva, y Wall Street revaloriza las acciones de las empresas que mencionan la IA y castiga a las que parecen ir rezagadas en la curva tecnológica. Para adelantarse a los rápidos efectos de la IA, las organizaciones designarán un director de IA para consolidar las responsabilidades e impulsar la estrategia de IA. La influencia cada vez más esencial de la IA en las operaciones empresariales, el desarrollo de productos y la experiencia del usuario requiere un liderazgo exclusivo que supervise su uso y ética y gestione los riesgos asociados.
La IA generativa facilita la creación de textos personalizados. En manos de los ciberdelincuentes, esto aumenta su capacidad para lanzar ataques de phishing personalizados a gran escala. 2024 será el año en que la IA pasará a ser un componente habitual del conjunto de herramientas de los ciberdelincuentes. Ya estamos viendo esta tendencia en la práctica, con mensajes generados por IA utilizados en ataques al correo electrónico corporativo (BEC) dirigidos a ejecutivos y empleados a fin de intentar extraer pagos fraudulentos. Asimismo, se espera que aumenten los "deepfakes" de voz a medida que se generalicen las herramientas para crearlos y crezca el volumen de material grabado de una persona determinada para entrenar los modelos.
Los ataques de phishing y de ingeniería social no son nada nuevo. El verdadero cambio radica en el aumento del volumen y la calidad. Las funciones de seguridad avanzada del correo electrónico, como el análisis de mensajes basado en el aprendizaje automático y el aislamiento adaptable de enlaces, junto con las claves de seguridad físicas resistentes al phishing utilizadas para la autenticación multifactor (MFA), se están convirtiendo en elementos imprescindibles en la lucha contra el phishing. Los ataques de ingeniería social basados en IA perjudicarán de forma desproporcionada a aquellas organizaciones más pequeñas que dispongan de menos procesos, menos recursos y menos herramientas.
El cumplimiento de las leyes y los requisitos relacionados con la privacidad de los datos y la seguridad de la información nunca ha sido fácil, y nuevas normativas y un mayor escrutinio en 2024 no harán sino aumentar esa dificultad. Se están produciendo importantes cambios normativos en todo el mundo, con la entrada en vigor de las nuevas normas de ciberseguridad de la SEC en EE. UU. en diciembre de 2023, la aplicación de la Directiva ampliada sobre Redes y Sistemas de Información (NIS2) en la UE, y el desarrollo de un innovador marco europeo para abordar la IA en 2024. Los equipos dedicados al cumplimiento tendrán que optimizar las tecnologías y los procesos existentes relacionados con la privacidad y la seguridad a fin de ayudar con estas crecientes obligaciones de cumplimiento normativo. Al mismo tiempo, deberán abordan de forma estratégica su inversión en herramientas especializadas, como el software de IA específico para el cumplimiento.
Por lo que respecta a las certificaciones de seguridad, las organizaciones tendrán que optimizar los controles de seguridad para lograr el cumplimiento de las certificaciones de seguridad cada vez más populares (y a menudo esenciales), así como las actualizaciones de las normas existentes. Prevemos que las normas de seguridad evolucionarán hacia un planteamiento del cumplimiento de los requisitos menos prescriptivo y más basado en el riesgo. Ya estamos viendo este enfoque con varias certificaciones de seguridad, como la actualización del estándar de seguridad de datos del sector de tarjetas de pago (PCI-DSS) a PCI 4.0. A pesar de algunos avances en los esfuerzos de certificación a nivel regional, como el Esquema de Certificación de Ciberseguridad de la Unión Europea sobre Servicios en la Nube (EUCS), prevemos que el ámbito de cumplimiento gubernamental se ampliará, no obstante, con un aumento de las certificaciones específicas de cada país.
En 2024, los equipos informáticos y de seguridad tendrán que afrontar nuevas tecnologías, amenazas y normativas, así como el incremento de los costes. La IA, en concreto, es demasiado importante para que las organizaciones la ignoren. Los que no sean capaces de transformarse de forma rápida y radical se encontrarán rezagados con respecto a sus competidores. Pero innovar con rapidez es más fácil de decir que de hacer cuando el 39 % de los responsables de TI y de seguridad creen que sus organizaciones han perdido el control sobre sus entornos digitales.
¿Cómo recuperas el control, asegurándote de que tu organización tiene la agilidad y la eficiencia que necesita para innovar mientras sigue protegida? Una conectividad cloud: una plataforma unificada que consolida las herramientas y conecta todos tus dominios para que puedas recuperar el control, reducir los costes y disminuir los riesgos de proteger un entorno de red ampliado.
Cloudflare es la empresa líder en conectividad cloud. Ayuda a las organizaciones a mejorar la velocidad y la seguridad de sus usuarios, sus aplicaciones y sus redes, en todo el mundo, al tiempo que reduce la complejidad y los costes. La conectividad cloud de Cloudflare ofrece la plataforma más completa y unificada de productos nativos de nube y herramientas para desarrolladores, de forma que cualquier organización pueda conseguir el control que necesita para trabajar, desarrollar y acelerar su negocio.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Grant Bourzikas - @grantbourzikas
Director de seguridad, Cloudflare
John Engates — @jengates, director técnico, Cloudflare
Después de leer este artículo podrás entender:
Por qué la adopción de la IA afrontará importantes desafíos
Dónde deberían las organizaciones plantearse invertir en TI y seguridad
Cómo afectarán a tu organización las nuevas amenazas y necesidades relacionadas el cumplimiento
Cómo aprendí a dejar de preocuparme y aceptar la conformidad
De la complejidad de las siglas a la práctica: desmitificamos el modelo de seguridad Zero Trust