En 1971, Bob Thomas, un investigador informático en Cambridge, Massachusetts, creó un programa de prueba que llamó Creeper. Su objetivo era probar la teoría propuesta por el legendario matemático John von Neumann de que un programa podría autoreplicarse.
Thomas liberó el gusano Creeper en la red ARPANET del Departamento de Defensa de EE.UU. (el precursor de internet) y se esparció rápidamente, dejando el mensaje inofensivo "¡Soy el Creeper, atrápame si puedes!" dondequiera que aparecía. Thomas había creado el primer virus informático del mundo.
Catherine Friday
Líder Global de Gobierno e Infraestructura en EY.
Hoy, gobiernos y empresas se encuentran bajo ataque constante de formas de virus informáticos mucho más hostiles y sofisticadas de lo que Thomas debió imaginar. En 2024, se estima que se lanzaron unos 600 millones de ciberataques diarios contra organizaciones e individuos.
Lo que una vez se consideró vandalismo digital ha sido reemplazado por una combinación potente y destructiva de ransomware, fraude financiero, phishing, estafas tecnológicas y ataques de denegación de servicio distribuido (DDoS), perpetrados por estados-nación, grupos de cibercrimen y otros grupos de operaciones de influencia.
No es sorprendente, entonces, que proteger datos sensibles sea uno de los 10 principales riesgos que enfrentan los gobiernos y el sector público.
Reimaginando la ciberseguridad para mantenerse a la vanguardia
Los gobiernos están siendo proactivos para abordar las amenazas cibernéticas a nivel regional y nacional. La UE, por ejemplo, ha adoptado la Directiva NIS2 y de Resiliencia de Entidades Críticas, que establece una base para la gestión de riesgos y obligaciones de reporte en ciberseguridad en sectores críticos.
La Autoridad Nacional de Ciberseguridad (NCA) en Arabia Saudita ha establecido varias regulaciones que todas las entidades gubernamentales e infraestructuras nacionales críticas deben cumplir. Mientras tanto, la Estrategia de Ciberseguridad 2023-30 de Australia busca proteger a las pequeñas y medianas empresas contra amenazas cibernéticas, dada su vulnerabilidad.
Sin embargo, las amenazas cibernéticas continuarán creciendo a un ritmo exponencial a nivel global, impulsadas por tecnologías cada vez más disruptivas como la IA generativa, el Internet de las Cosas, la computación en la nube y la cuántica. A medida que estas amenazas aumentan, el rol de la ciberseguridad dentro de los gobiernos y organizaciones también tendrá que volverse más robusto y estratégico.
En los días más simples de la gobernanza en línea, el foco de la ciberseguridad estaba en la protección, el cumplimiento normativo y la reducción y cuantificación del riesgo.
Ahora, sin embargo, las funciones líderes de ciberseguridad están evolucionando hacia habilitadores clave de la fortaleza y el desarrollo organizacional, ayudando a otras áreas del gobierno y los negocios a adoptar y construir tecnología (notablemente la IA), mejorar la experiencia del cliente e incluso desarrollar nuevos productos y servicios.
Cómo convertir la ciberseguridad en una ventaja estratégica
Para abordar estos desafíos, los gobiernos pueden priorizar la modernización y el refuerzo de su infraestructura digital.
Aprovechar tecnologías emergentes como el blockchain, con su capacidad para crear registros inmutables, mejora la transparencia de la cadena de suministro y la responsabilidad en la gestión de proveedores. Por otro lado, los gemelos digitales impulsados por IA permiten la detección temprana de vulnerabilidades y pueden simular posibles escenarios de ataque para preparar defensas.
Igual de importante es el desarrollo de una fuerza laboral capacitada y adaptable en ciberseguridad. La inversión continua en programas de mejora de habilidades específicas y entrenamiento práctico construye la experiencia técnica y la cultura de conciencia de seguridad necesaria dentro de las agencias gubernamentales.
Los hallazgos de la Encuesta de EY sobre Gobierno Estatal y Local 2025 demuestran que, a pesar de las limitaciones presupuestarias, casi la mitad de los líderes de TI gubernamentales en EE.UU. priorizan la mejora de habilidades de su personal, reconociendo su importancia para gestionar amenazas cibernéticas en evolución y aprovechar tecnologías como la IA.
Establecer marcos estandarizados de gobernanza, ética y cumplimiento en todas las entidades gubernamentales es esencial para eliminar la fragmentación y aumentar la responsabilidad. Un modelo de gobernanza armonizado asegura un cumplimiento consistente con las regulaciones nacionales e internacionales de ciberseguridad, proporcionando un marco claro para la gestión de riesgos y protección de datos. La Directiva NIS2 de la UE sirve como un fuerte ejemplo de cómo una gobernanza unificada puede agilizar los reportes de incidentes y mejorar la seguridad en sectores críticos.
Finalmente, fomentar una colaboración estrecha entre gobiernos, organizaciones del sector privado y socios internacionales es vital para construir un ecosistema de defensa resiliente, así como el intercambio oportuno de inteligencia sobre amenazas y una respuesta coordinada a incidentes. Las asociaciones público-privadas no solo aceleran la mitigación de incidentes cibernéticos, sino que también impulsan la innovación en soluciones de seguridad, subrayando el poder de la acción colectiva para salvaguardar el ciberespacio nacional.
La lección de historia para volverse ciberseguro
El virus Creeper de Bob Thomas fue neutralizado unos meses después por otro programa llamado Reaper, escrito por uno de sus colegas, Ray Tomlinson (más conocido por inventar el correo electrónico).
Sin embargo, en la era digital de hoy, los gobiernos no tienen el lujo de esperar ni un día para responder a amenazas, tales son los riesgos para la seguridad nacional, los servicios públicos y la privacidad de sus ciudadanos.
Por eso, proteger la infraestructura digital y los datos sensibles no es meramente una necesidad, sino un imperativo estratégico que ayuda a construir la confianza y resiliencia esenciales para una gobernanza efectiva.