¿Su empresa realmente comprende sus dependencias y cómo mitigar los riesgos que plantea un ataque contra ellas? 12 de agosto de 2025 •, 4 min. Lea un panel de discusión en Def Con 33 la semana pasada, titulada «Adversarios en la guerra: tácticas, tecnologías y lecciones de los campos de batalla modernos», ofrecieron varios puntos estimulantes, así como una conclusión clara: mientras que las tácticas digitales como la información errónea y las campañas de influencia son útiles en el conflicto moderno, no van a ganar una guerra. Esto se debe a que cuando las bombas comienzan a caer y los elementos físicos de la guerra están en marcha, la desinformación de la propagación a través de los canales digitales se vuelve menos importante. Comprensiblemente, las víctimas del conflicto y los desplazados tienen prioridades más urgentes: comida, refugio y permanecer vivos. Al convertir la conversación en si se podía ganar una guerra utilizando ataques cibernéticos e interrupción digital, también hubo un acuerdo entre los panelistas de que los ataques cibernéticos crean daños temporales, mientras que una bomba que aterriza en algo es un método de destrucción más efectivo y duradero. Los ataques contra la infraestructura crítica en Ucrania potencialmente confirman esto: los actores alineados por Rusia han lanzado numerosos ataques cibernéticos contra la red eléctrica del país, lo que resulta en interrupciones temporales, ya que los sistemas pueden reconstruirse y volver a funcionar en un período de tiempo relativamente corto. Mientras tanto, es probable que una bomba que aterrice en un centro de energía cause daños a largo plazo y una limitación del servicio que podría llevar meses o años restaurarse. La conclusión de gran imagen en esta parte del panel de discusión es que una guerra no puede ser ganada solo por cibernética: todavía debe ganarse en el campo de batalla físico. Seguridad cibernética y física La discusión evolucionó a cómo el ciber afecta lo físico. Un panelista hizo el comentario en el sentido de que «un ejército no puede pelear si no ha sido alimentado». Dicho de otra manera, ya que se está utilizando un número creciente de contratistas civiles para proporcionar la logística necesaria para operar un ejército, haciendo que la superficie de ataque sea más amplia de lo que parece. El panel usó Taco Bell como una analogía ficticia. Un hacker podría afirmar que modificaron el suministro de agua en Taco Bell, pero en una inspección más cercana podría ser que se hayan manipulado con el enfriador de agua de un restaurante, lo que no sería suficiente para afectar sus operaciones. Sin embargo, un ataque cibernético en la cadena de suministro de Taco Bell podría llevarlo a una parada operativa. ¿Cómo? Deteniendo las entregas de productos al restaurante. Esta dependencia podría ser aún más oscura: un ataque a las compañías que suministran la carne utilizada en los tacos podría hacer que Taco Bell deje de operar debido a la falta de ingredientes para las comidas. La analogía es válida para los militares: sin comida, las tropas no pueden pelear o, en el mejor de los casos, limitadas. Lo que esto significa para que su negocio se mueva más allá de la discusión del panel, esto plantea una pregunta crítica para las empresas: ¿realmente entienden que sus dependencias son operacionalmente resistentes? ¿Entienden la dependencia que sus clientes tienen sobre ellos para garantizar el funcionamiento continuo de sus propios negocios? Sigue con la analogía de Taco Bell, imagine un ataque cibernético que elimina un elemento clave que el negocio necesita para operar; Por ejemplo, si la compañía depende de un proveedor para el condimento de taco, entonces un ataque cibernético contra el proveedor podría afectar la capacidad de Taco Bell para seguir operando. Esto no es una mera especulación: hay ejemplos del mundo real de ataques cibernéticos que han causado este tipo de interrupción. Por ejemplo, el incidente cibernético sufrido por Change Healthcare, una empresa de procesamiento de datos de salud, detuvo los servicios médicos que se brindaron en todas las prácticas y hospitales. Hoy, hasta donde yo sé, los ciberdelincuentes solo extorsionan el pago de aquellos que atacan directamente. Pero, ¿qué pasaría si un cibercriminal decidiera atacar al tercero y luego exigir un pago de extorsión de todos los negocios que dependen de ese proveedor? En mi ejemplo, digamos que la compañía de condimentos de Taco se ve interrumpida por el ransomware, y aunque el cibercriminal puede pedirle a la compañía condimentada que pague una demanda directamente, en realidad pueden obtener más si solicitan el pago de todas las empresas que dependen del producto del proveedor, ya que la falta de oferta puede costarles más que el proveedor mismo. Si bien esta estrategia de monetización puede parecer especulativa, hay un punto importante aquí: ¿su empresa realmente comprende sus dependencias y cómo mitigar el riesgo de ataque contra aquellos de los que depende? Un ejemplo del mundo real podría ser un ataque contra una empresa de catering que está contratada para alimentar a los pacientes en un hospital. Si la capacidad de alimentar a los pacientes se ve interrumpida debido a un ataque cibernético, entonces el hospital puede tener que declarar un incidente importante y un estrecho ingreso a los nuevos pacientes. En este escenario, ¿el hospital pagaría una demanda de extorsión que trae la oferta de catering? La conclusión clave de esta sesión de panel para mí es esta: todos necesitamos mapear y comprender completamente las dependencias en las que confiamos y asegurarnos de que tengamos resiliencia donde sea necesario. Si no podemos llegar a un punto de resiliencia, al menos necesitamos comprender el riesgo que plantea las dependencias.