David Ríos, titular de la cátedra AXA-ICMAT, es el responsable científico del proyecto denominado <a href="https://www.icmat.es/research/international-grants/CYBECO/" target="_blank" title="CYBECO">Supporting Cyberinsurance from a Behavioural Choice Perspective</a> (CYBECO). El proyecto analizará los 'ciberriesgos' a los que se enfrentan las grandes compañías para ofrecer asesoramiento sobre medidas de seguridad a adoptar y ciberseguros. Cuenta con la colaboración de siete instituciones, entre las que se encuentra el <a href="http://www.icmat.es/" target="_blank" title="Instituto de Ciencias Matemáticas" alt="Instituto de Ciencias Matemáticas">ICMAT</a>, y ha recibido un total de dos millones de euros para dos años.
La ciberseguridad es cada vez más uno de los asuntos clave, y aún sin resolver, para muchas empresas, instituciones y administraciones, cada vez más interconectadas, que manejan grandes cantidades de información. Una prueba de ello es lo ocurrido con el reciente ransomware (en inglés, ransom, 'rescate', y ware, de software) WannaCry, con el que sus creadores 'secuestraron' más de 360.000 equipos infectados de 180 países, pidiendo posteriormente un rescate por ellos, según datos del Instituto Nacional de Ciberseguridad (Incibe). Con el objetivo de prevenir este tipo de ataques, surge CYBECO (Supporting Cyberinsurance from a Behavioural Choice Perspective), un proyecto de investigación europeo en el que participa como director científico David Ríos, investigador del Instituto de Ciencias Matemáticas (ICMAT) y titular de la Cátedra AXA.
"El principal objetivo es desarrollar nuevos modelos matemáticos que proporcionen herramientas y productos, en particular pólizas de seguros, que ayuden a construir una red y sistemas de comunicaciones más seguros", señala Ríos. La necesidad de implementar soluciones innovadoras responde a una realidad cada vez más preocupante: las ofensivas cibernéticas contra infraestructuras críticas -hospitales, centrales eléctricas y nucleares, aeropuertos, etc.- cada vez son más frecuentes, según Incibe. Se ha pasado de 63 ataques en 2014 a 479 en 2016; y solo en el primer cuatrimestre de 2017 ya se han registrado 247 incidentes.
"Queremos trasladar los modelos matemáticos que se están aplicando con éxito en el campo de la seguridad física al mundo de la ciberseguridad". Para ello, la Unión Europea, a través de su programa Horizonte 2020, les ha concedido dos millones de euros para dos años.
NUEVOS RIESGOS DE LA SOCIEDAD DIGITAL
"Ataques como WannaCry pueden dejar a las empresas fuera del mercado durante un tiempo más o menos largo, puesto que muchas de sus actividades dependen de sistemas informáticos; además les pueden robar información comprometida y, como consecuencia, pueden perder reputación y con ello clientes u oportunidades de negocio", enumera David Ríos. "Por otro lado, si los sistemas afectan a infraestructuras críticas, puede producirse la caída de electricidad en una parte del país, pueden contaminarse las aguas de una determinada zona… Toda una serie de consecuencias de tipo catastrófico, asociadas a que los sistemas que controlan esas infraestructuras tienen un fuerte componente cibernético", asegura el investigador.
Las matemáticas permiten construir modelos de análisis de riesgos y análisis de riesgos adversarios, que permiten anticipar el tipo de ataques y sus consecuencias del mundo virtual, explica Ríos. En concreto, "los modelos permiten determinar las mejores medidas de protección que ha de emplear cada organización para enfrentarse a los ataques", explica Ríos. Para ello, en este proyecto se emplean técnicas para anticipar el comportamiento en las decisiones de los individuos, tanto de los ciberatacantes, para poder determinar los posibles riesgos, como de los dueños de las infraestructuras informáticas y de las de seguros, para mejorar su elección y oferta de servicios.
Junto al ICMAT participan otras instituciones como Intrasoft International S.A. (Luxemburgo), Devstat Servicios de Consultoría Estadística S.L.(Valencia), AXA Technology Services (Francia), Technische Universiteit Delft (Países Bajos) y la Universidad de Northumbria de Newcastle (Reino Unido). Está coordinado por Trek Consulting Anonymos Etairia Management Consultants (Grecia).
Cada una de las entidades tendrá un papel diferenciado. Intrasoft se especializará en el desarrollo del software correspondiente; Devstat, junto con la Universidad de Northumbria, se encargará de hacer los experimentos económicos y de comportamiento; AXA aportará toda su experiencia en seguros; la Universidad de Delft se encargará de acoplar la parte 'ciber' al modelo de análisis de riesgos; el ICMAT hará modelos de análisis de riesgos y Trek se encargará de la gestión, coordinación y difusión del proyecto. Además de esta interdisciplinariedad, la internacionalización es uno de los rasgos clave del proyecto. "En los experimentos económicos, una de las variables que puede explicar las distintas actitudes frente a la ciberseguridad puede ser de ámbito nacional, por ello es bueno probarlo en varios países", afirma Ríos.