Derecho y contratos: ¿Por qué la tecnología digital está generando mayores riesgos de ciberseguridad?

A pesar de agilizar el proceso de construcción, estos avances tecnológicos han provocado un aumento de los riesgos de ciberseguridad, reforzados aún más por el elevado flujo de caja y los pagos de alto valor dentro de la industria y el mero hecho de que muchos proyectos involucran infraestructura nacional crítica, ya sea en el Reino Unido o en toda la Unión Europea.

Desafortunadamente, estos factores hacen que los ciberdelincuentes vean a las empresas de construcción como objetivos principales para sus ataques.

A medida que la industria de la construcción se vuelve cada vez más digitalizada, la cantidad de datos e información confidencial que se recopila y comparte electrónicamente dentro de las organizaciones ha crecido significativamente, ya sean diseños propietarios o registros de empleados, por ejemplo.

Como resultado, las consecuencias de un ciberataque pueden ser particularmente graves para las empresas de construcción, pudiendo generar pérdidas financieras significativas, así como riesgos de cumplimiento o incluso de seguridad.

El impacto de los ciberataques también se extiende al daño a la reputación: las violaciones de datos a menudo conducen a la pérdida de la confianza de los clientes y la lealtad a la marca.

Esto puede tener efectos duraderos en los resultados de una empresa y, en última instancia, resalta la creciente importancia de una sólida preparación y seguridad cibernética para las empresas de construcción que trabajan en proyectos de infraestructura importantes.

Creciente temor a los ciberataques en la construcción

Un ejemplo de un tipo común de ciberataque a empresas de construcción es el ransomware, cuando un sistema informático es tomado como rehén y un atacante exige un pago a cambio de restaurar el acceso del propietario.

Algunos ejemplos recientes de ataques de ransomware a empresas del sector de la construcción del Reino Unido incluyen:

Los piratas informáticos aprovecharon una vulnerabilidad en el sitio web de una empresa de servicios de construcción para acceder a la red de la empresa y ejecutar un ataque de ransomware. Como resultado, los archivos de la empresa fueron cifrados y los atacantes exigieron un pago para restablecer el acceso.

Una empresa de gestión de infraestructuras fue víctima de un ciberataque de un grupo de ransomware. El grupo filtró algunos de sus contratos, acuerdos de asociación confidenciales, documentos financieros y acuerdos de confidencialidad.

Las transferencias bancarias fraudulentas también son cada vez más comunes, implicando el traslado de grandes sumas de dinero desde una cuenta.

La legislación europea, como la Directiva NIS2, junto con la Ley de Ciberresiliencia, proporciona actualmente las bases para proteger a las organizaciones e infraestructuras críticas en la UE de las ciberamenazas (Foto: AdobeStock)

Esto a menudo se debe a la capacidad de los ciberdelincuentes de manipular a las personas para que divulguen información confidencial, utilizando tácticas como el envío de correos electrónicos de phishing haciéndose pasar por proveedores y pidiendo a las empresas de construcción que actualicen sus registros de los datos bancarios del proveedor para futuros pagos.

La legislación europea, como la Directiva NIS2, junto con la Ley de Ciberresiliencia, proporciona actualmente las bases para proteger a las organizaciones e infraestructuras críticas en la UE de las amenazas cibernéticas, con el objetivo de lograr un alto nivel de seguridad común en toda la UE.

Sin embargo, para responder al riesgo cibernético, el Reino Unido y la UE están endureciendo los requisitos y obligaciones regulatorios de seguridad cibernética para los operadores, así como para su cadena de suministro. Los reguladores están analizando qué áreas de la infraestructura requieren protección cibernética adicional.

El parlamento del Reino Unido recientemente sometió a una investigación sobre la resiliencia cibernética de la infraestructura nacional crítica en la que se exploró el papel del gobierno en el establecimiento de estándares y regulaciones para la preparación cibernética, luego de la reciente advertencia del Centro Nacional de Seguridad Cibernética (NCSC) de que grupos alineados con Rusia tenían la intención de interrumpir la infraestructura en el Reino Unido.

La investigación se relaciona en parte con la infraestructura energética y a partir de ella, el gobierno espera comprender mejor cuál debería ser su papel a la hora de establecer normas y regulaciones para la resiliencia y preparación cibernética.

Aumentar la ciberseguridad sobre el terreno

El riesgo cibernético puede ser difícil de controlar en un sitio de construcción, ya que los subcontratistas y el personal temporal se suman al riesgo existente que plantea la destreza tecnológica de los ciberdelincuentes.

Por lo tanto, los contratistas deben examinar sus redes de confianza y evaluar el riesgo de su exposición a las debilidades cibernéticas, incluido qué más pueden hacer sobre el terreno para brindarse mayor protección y dónde es más necesaria esta protección.

Esto incluye examinar cada eslabón de la cadena de construcción y pedir a los socios subcontratistas que demuestren prácticas sólidas de ciberseguridad en sus licitaciones, por ejemplo.

En el Reino Unido, el NCSC y el Chartered Institute of Building (CIOB) se han asociado recientemente para producir una guía práctica para apoyar a las empresas, incluidas las PYME, que trabajan en la construcción, que puede usarse como guía para implementar medidas de ciberseguridad.

Esta guía incluye consejos sobre cómo colaborar con proveedores y socios para garantizar la protección de la información confidencial que se comparte entre las partes que trabajan en un proyecto, y para alentar a los proveedores a obtener la certificación Cyber Essentials, un programa respaldado por el gobierno para ayudar a las organizaciones a protegerse de los ciberataques más comunes. El NCSC también ha desarrollado un paquete de aprendizaje electrónico titulado "Top Tips For Staff" (Los mejores consejos para el personal), que se puede completar en línea, para educar a los empleados sobre la ciberseguridad.

También se insta a las empresas que trabajan en la construcción a que presten especial atención a la forma en que la inteligencia artificial (IA) interactúa con la ciberseguridad. A medida que más organizaciones, incluidas las del sector de la construcción, sigan explorando cómo la IA puede ayudar a sus negocios, los riesgos de ciberseguridad seguirán siendo una consideración clave y deberán mantenerse bajo estrecha vigilancia hasta 2024 y más allá.