Organizaciones importantes como los bancos tienen un largo historial de instalaciones de sistemas redundantes para sobrevivir a los ciberataques. Sin embargo, a medida que los ciberataques golpean cada vez más (y cada menos tiempo) a empresas, gobiernos, servicios públicos y hospitales, se vuelve más evidente que las organizaciones necesitarán dos tipos de estrategias. Uno, las que ya tienen frente a cibertaques comunes como el malware, el phishing y los ataques de denegación de servicio; otro, estrategias nuevas para algo mucho peor. Las empresas necesitan prepararse para cibercrisis que podrían obstaculizar no solo sus propias operaciones, también propagarse por su industria y extenderse a otras incluso.

Para adelantarse a los retos que evolucionan cada día, las empresas deben pedir prestados los manuales estratégicos para otro tipo de desastres: los llamados "sucesos del cisne negro". Se trata de eventos que ocurren rápidamente, de manera inesperada y con importantes ramificaciones. No obstante, y a pesar de que los ciberataques son cada vez más comunes, según una encuesta reciente llevada a cabo por Marsh –la empresa hermana de la consultora Oliver Wyman– cerca de la mitad de las empresas ni siquiera han identificado los ciberescenarios que les podrían afectar. La cuarta parte ni siquiera trata este tipo de riesgos como uno relevante.

Esto significa que las empresas necesitan dedicar tiempo a examinar los tipos de cibercrisis a los que podrían enfrentarse. No importa lo improbables que sean. Al igual que otros desastres, los ciberataques pueden golpear tan rápidamente como una tormenta catastrófica que se produce cada 100 años. Pero también pueden empezar lentamente, como una pandemia que crece sistemáticamente y se propaga con el tiempo antes de explotar como una crisis en toda regla, y cuando ya es tarde para impedirla. Por tanto, las empresas necesitan preparar planes tanto para mitigar las ciberamenazas extremas como para identificar ciberpeligros emergentes a fuego lento.

Por eso las empresas deben analizar si pueden contener las ciberamenazas o si , por el contrario, estas podrían contagiarse al resto de su industria y tal vez más allá. Algunas organizaciones ya han desarrollado planes de contingencias como prepararse para operar fuera de línea. Algunas están adoptando incluso el modo fuera de línea como su enfoque preferido. Singapur decidió recientemente cortar el acceso a internet desde prácticamente todos sus ordenadores, tres años después de que hackers activistas tumbaran las páginas web del Gobierno. Los hospitales infectados por ataques de ransomware en Estados Unidos y Alemania están desconectando parcialmente sus sistemas críticos de la red y preparándose para volver al papel y el bolígrafo si un ataque frena sus operaciones digitales.

Debido a la naturaleza conectada de muchas operaciones actuales, la mayoría de las empresas necesitarán ir más allá y forjar alianzas con sus rivales, reguladores y asociaciones industriales. Es clave para enfrentarse a los cibeartaques que podrían expandirse como ondas por toda la industria. Al trabajar juntos, los actores de un sector pueden consensuar canales y mecanismos que garanticen una respuesta rápida y eficaz.

Por ejemplo, algunos bancos están uniendo fuerzas con sus competidores para intervenir en el caso de una cibercrisis. Entienden que las ramificaciones de un ataque a sus sistemas podrían ir mucho más allá de sus negocios. Una crisis económica podría suceder si de repente los bancos no pudiesen dar acceso a sus cuentas a millones de negocios y particulares, si no permitieran pagar sueldos y facturas.

Otras organizaciones de primer nivel están estudiando establecer "ciberfondos de reserva", similares a los fondos comunes para enfrentarse a las consecuencias de ataques terroristas y catástrofes naturales. Esos fondos podrían minimizar las réplicas posteriores a los ciberataques que se propagan en cascada hasta el punto de llegar a colapsar más de una industria.

Otra medida clave podría ser formar equipos de operaciones especiales, incluso entre industrias, para monitorizar y encarar con regularidad las ciberamenazas comunes. Estos equipos examinarían cuáles deberían controlarse y hasta qué punto. Identificarían los puntos gatillo que podrían atajar las cibercrisis reales: ¿De qué tipos de datos y servicios se podría prescindir durante un par de horas? ¿Qué pérdidas darían paso rápidamente a un cibercolapso?

Estos mismos equipos especializados podrían realizar autopsias de los ciberataques para comprenderlos y fortalecer con el tiempo las defensas de diferentes industrias. No sólo identificarían las mejores prácticas, sino que también asesorarían a las empresas para incorporar las lecciones aprendidas de ataques anteriores.

Una cosa está clara: las ramificaciones de los ciberataques y su sofisticación aumentarán. En respuesta a la publicación de varios correos electrónicos del Comité Nacional del Partido Demócrata de EEUU para influir en el resultado de las próximas elecciones a la presidencia de Estados Unidos, por ejemplo, la Casa Blanca publicó hace poco su primer manual de respuesta frente a un gran ciberataque. A pesar de que la filtración fue un ataque de bajo perfil, el Gobierno se prepara ya para ciberamenazas capaces de atacar las infraestructuras, la estabilidad y la vida humana.

Los tiempos extremos requieren medidas extremas. Las ciberamenazas que muchas empresas antes consideraban impensables, ahora ocurren a diario. Las compañías deberían fijarse en el creciente sentimiento de alarma de los gobiernos y empezar a crear los lazos necesarios para estrategias capaces de impedir un cibercolapso.