El negocio de la ciberdelincuencia: lo que un ex subdirector del FBI quiere que todo CISO sepa

El delito cibernético no es solo una amenaza técnica, sino que es un negocio global próspero. Y pocas personas entienden mejor la evolución de ese negocio que Brian Boetig.
Con más de 35 años en seguridad nacional y seguridad pública, se ha desempeñado como subdirector del FBI, diplomático estadounidense, enlace de la CIA y socio de una firma consultora internacional. Ahora es asesor principal de Global Trace ayudando a las organizaciones a desarrollar resiliencia cibernética.
En este episodio de El Segmento, Brian se unió a mí para compartir cómo su experiencia en la aplicación de la ley y la inteligencia da forma a su enfoque de la ciberseguridad actual y por qué los actores de amenazas están ganando donde las empresas se quedan atrás.
Del robo a la tienda al ransomware como servicio
Brian ha investigado de todo, desde secuestros en el extranjero hasta extorsión digital en casa.
¿Qué los conecta? La búsqueda del apalancamiento.
“Tratamos los secuestros por rescate de la misma manera que nos acercamos. ransomware hoy”, dijo Brian. “Sabes quién lo hizo, sabes cómo operan, y sabes negociar. Es un modelo de negocio, y lo manejan mejor que algunas compañías legítimas”.
Dice que la economía del cibercrimen se inclina a favor de los atacantes.
“Si robas una tienda en persona por 50 dólares, aparece todo un equipo de respuesta policial”, dijo. “¿Pero robar 500.000 dólares en línea? En la mayoría de las jurisdicciones, las fuerzas del orden no sabrán qué hacer con ella”.
El delito cibernético es escalable, sin fronteras y, a menudo, invisible. En opinión de Brian, hasta que los defensores adopten un enfoque similar de mentalidad empresarial, seguirán siendo superados.
Si robas una tienda en persona por $50, aparece todo un equipo de respuesta policial. ¿Pero robar $500,000 en línea? En la mayoría de las jurisdicciones, las fuerzas del orden público no sabrán qué hacer con ella.
Por qué prohibir los pagos de rescate no es la respuesta
Pocos temas suscitan más debate que si se debería permitir que las organizaciones paguen los resandos. Brian ha visto a ambos lados desde su época en el FBI hasta consultar con directores ejecutivos que navegan por una brecha.
“No hay una respuesta de manto”, dijo. “Algunas empresas dejarán de existir si no pagan”.
Recordó un bufete de abogados cuyo historial de clientes completo estaba cerrado. Sin pago, su negocio y reputación habrían sido destruidos.
La prohibición pagos de rescate puede parecer un elemento disuasorio, pero Brian cree que corre el riesgo de victimizar dos veces a las organizaciones: “Estás eliminando una de las pocas herramientas que quedan para sobrevivir”.
En cambio, sugiere una estrategia más matizada:
- Desincentivar los pagos mediante la preparación
- Desarrolle una higiene general de ciberseguridad, incluidos los backups
- Implementar modelos de seguros inteligentes
- Reducir la legislación que simplifica en exceso las realidades complejas del negocio
En lugar de prohibiciones absolutas, lo que las organizaciones necesitan es un enfoque más inteligente, uno que equilibre la resiliencia, el riesgo y las realidades que enfrentan los líderes después de un ataque.
El seguro cibernético no es una red de seguridad
A medida que más empresas recurren a seguro cibernético para su tranquilidad, Brian ofrece una verificación de la realidad.
“No es una solución. A menudo es más como una negociación”, dijo. “Y a veces lo primero que hace la aseguradora es buscar una razón. no pagar.”
Lo comparó con los seguros de automóviles. Sí, estás cubierto... a menos que te hayas perdido un detalle en la letra pequeña. El resultado es confusión durante una crisis, términos de cobertura poco claros y retraso en la recuperación.
“La mayoría de las pólizas solo te ayudan a volver a estar en línea”, advirtió Brian. “No cubrirán la reconstrucción de la confianza, el daño reputacional o la resiliencia futura”.
Su consejo a los CISO es saber exactamente qué cubre su póliza y dónde están sus brechas de cobertura. Nunca trate el seguro como un sustituto de defensas fuertes, y no confíe en que las compañías de seguros trabajen en su mejor interés después de un ataque.
El riesgo cibernético es un riesgo para el negocio
Con demasiada frecuencia, el riesgo cibernético sigue siendo tratado como un problema de TI. Brian ve eso como un error peligroso.
“Si la C-suite no cree en la ciberseguridad, no va a ser financiada, priorizada o practicada”, dijo.
Recordó una época en la que los CEOs no sabían quiénes eran sus leads de TI. “Ahora, finalmente estamos viendo que las salas de juntas comienzan a entender que la ciberseguridad no se trata de firewalls, se trata de mantener vivo el negocio”.
Ese cambio, dice, se debe en parte a las presiones regulatorias, pero también refleja la creciente comprensión de que la resiliencia es una ventaja competitiva.
Brian también se apresuró a señalar que ser violado no significa que fallaste. De hecho, los mejores líderes de seguridad asumen que va a suceder.
“Solía decirle a los CEOs: 'Está bien ser víctima de un ciberataque. No está bien no estar preparado para uno'”, dijo.
Esa mentalidad está en el corazón de Cero Confianza que asume compromiso y se centra en reducir las consecuencias de una violación.
“La preparación no solo significa backups y políticas”, enfatizó Brian. “Es cultural. Todos en la organización necesitan saber su papel cuando las cosas van mal”.
Solía decirle a los CEOs: “Está bien ser víctima de un ciberataque. No está bien no estar preparado para uno”.
Cerrar la brecha entre el riesgo y la realidad
Las historias de Brian resaltan una verdad central. La ciberseguridad no se trata de evitar riesgos; se trata de administrarlo.
Las organizaciones más resilientes tratan la seguridad como una función del negocio, adoptan la planificación proactiva e invierten en contención, no solo en prevención.
O como Brian lo expresó: “No esperas hasta que se produzca un incendio para comprar un extintor de incendios. Planeas, entrenas y te aseguras de que todos sepan dónde está”.
¿Quieres saber más? Escucha el episodio completo de esta semana de El segmento: un podcast de liderazgo de confianza cero en Podcasts de Apple, Spotify, o donde sea que obtenga sus podcasts. También puede leer el transcripción completa.