Las redes móviles gestionan gran parte de la actividad digital mundial, lo que convierte a los operadores en blanco frecuente de ataques. Un estudio publicado por la GSMA muestra que los operadores invierten entre 15 000 y 19 000 millones de dólares al año en funciones esenciales de ciberseguridad. Este gasto podría superar los 40 000 millones de dólares para 2030. Estas cifras no incluyen los gastos relacionados con la resiliencia, la formación ni la gobernanza.
El creciente volumen de ataques pone a prueba la seguridad de las redes móviles
Los equipos de seguridad se enfrentan a un volumen de ataques que supera cualquier planificado hace una década. Algunos operadores registran miles de millones de intentos cada año para buscar vulnerabilidades o introducir tráfico malicioso en sus redes. Las interrupciones relacionadas con ataques de denegación de servicio siguen siendo frecuentes, y los intentos de obtener acceso no autorizado siguen aumentando.
El papel económico del acceso móvil añade presión. En muchos países, las redes móviles son la principal o la única vía para acceder a servicios financieros, portales públicos o sistemas de salud. Una sola vulneración puede interrumpir esa actividad y socavar la confianza. Ese riesgo condiciona la forma en que los operadores invierten y responden a las expectativas regulatorias.
Las reglas complejas crean fricción
En la mayoría de los mercados, las obligaciones de seguridad no se basan en una única ley. Se aplican a licencias de telecomunicaciones, normativas nacionales sobre ciberseguridad, leyes de protección de datos, políticas de la nube y, en algunas regiones, normativas sobre IA. Los operadores suelen tener que cumplir versiones del mismo requisito varias veces, con diferentes definiciones y plazos. Esto genera fricción y consume tiempo de los equipos de seguridad.
En algunos mercados, diferentes agencias supervisan distintas partes de un mismo incidente. Una filtración de datos personales puede requerir una forma de divulgación, mientras que una interrupción del servicio puede requerir otra. Cada solicitud utiliza su propio formato y proceso. Algunos operadores afirmaron que sus equipos dedican largos periodos a preparar informes para cada agencia, incluso cuando el incidente es menor.
La variación transfronteriza agrava la carga. Los países de una misma región pueden utilizar diferentes interpretaciones de marcos comunes. Esto obliga a los operadores a mantener procesos de cumplimiento separados para cada mercado, lo que incrementa los costos y ralentiza la toma de decisiones.
Las reglas basadas en insumos cambian el enfoque de los riesgos
Muchos marcos regulatorios se centran en los controles obligatorios en lugar de en los resultados de seguridad. Los operadores afirmaron que esto puede fomentar una mentalidad de cumplimiento normativo que, sin embargo, contribuye poco a la reducción del riesgo.
Algunas auditorías verifican tecnologías específicas incluso cuando existen opciones más nuevas o más adecuadas. Algunas agencias emiten solicitudes de información no planificadas que no están vinculadas a una amenaza. Estas tareas interrumpen el trabajo planificado dentro de los equipos de seguridad y dificultan la concentración en la detección o la respuesta.
Las reglas basadas en resultados y riesgos son más fáciles de integrar en los programas de seguridad. Ofrecen a los operadores la libertad de elegir las herramientas y prácticas adecuadas para sus redes. También reducen la posibilidad de que los equipos desvíen recursos a actividades con un impacto limitado en la resiliencia.
Cuando los marcos se alinean, los operadores se benefician
Las leyes horizontales de ciberseguridad, aplicables a todos los sectores de infraestructura crítica, proporcionan una base común de protección. Al combinarse con directrices sectoriales específicas, crean una estructura más fácil de actualizar e interpretar.
Normas globales como la ISO 27001 reducen la duplicación al alinearse con las normas nacionales. Los operadores pueden demostrar el cumplimiento mediante procesos existentes en lugar de crear nuevos para cada mercado. Este enfoque también beneficia a los proveedores y socios que prestan servicio a varios operadores en distintas regiones.
Las instituciones bien gestionadas también son importantes. Unos mandatos definidos y la experiencia adecuada hacen que la supervisión sea predecible. Los mandatos débiles o indefinidos tienen el efecto contrario y, a menudo, dan lugar a solicitudes contradictorias o a una aplicación desigual.
La ciberseguridad es una responsabilidad compartida. Para proteger a los ciudadanos y los servicios sociales críticos, los reguladores y los operadores deben colaborar, guiados por un conjunto de principios comunes. Cuando las políticas son coherentes y se centran en los resultados, todo el ecosistema digital se vuelve más seguro, afirmó Michaela Angonius , directora de Políticas y Regulación de la GSMA.
Impacto desigual en los mercados
Los operadores en países de ingresos bajos y medios se enfrentan a una presión especial. El acceso móvil suele sustituir a la banda ancha fija en estos mercados. También facilita el dinero móvil, los servicios gubernamentales y el teletrabajo. Sin embargo, los operadores en estas regiones suelen reportar menores ingresos por usuario, lo que limita la inversión disponible en seguridad.
Cuando las exigencias regulatorias aumentan sin tener en cuenta las condiciones locales, estos operadores pueden tener dificultades para seguir el ritmo. Esto crea puntos débiles en un sistema global donde los atacantes buscan la vía más fácil para acceder a las redes interconectadas.
Principios que sustentan una política coherente
El estudio describe seis principios para los responsables de las políticas, que incluyen la alineación con los estándares globales, la reducción de la duplicación, centrar las reglas en los resultados y el riesgo, mejorar el intercambio de información, promover la seguridad desde el diseño y construir instituciones sólidas para hacerlas cumplir.
Cada principio respalda la misma idea. Los operadores necesitan reglas bien definidas, proporcionadas y estables. Cuando los marcos cumplen estas condiciones, pueden invertir en medidas que reduzcan el riesgo en lugar de dedicar tiempo a procedimientos.
Fuente y redacción: helpnetsecurity.com / Anamarija Pogorelec
