En el contexto actual donde la dependencia tecnológica es creciente, la seguridad del software se ha convertido en un tema de máxima prioridad. En el Reino Unido, la situación se vuelve especialmente relevante debido al enfrentamiento declarado entre los agentes cibernéticos del gobierno, representados por el Centro Nacional de Seguridad Cibernética (NCSC) bajo GCHQ, y los principales actores de la industria tecnológica. La controversia gira en torno a cómo abordar la persistente problemática del software de mala calidad y con vulnerabilidades, que no solo pone en riesgo a las organizaciones sino que también compromete la integridad del ecosistema digital en general. Desde la perspectiva del NCSC, la justicia en el mercado del software es inexistente. Según Ollie Whitehouse, director técnico del centro, el mercado actual no recompensa a las compañías que invierten en desarrollar productos seguros.
En esencia, las fallas en seguridad no pesan sobre los proveedores, sino que son los clientes —tanto empresas como gobiernos— quienes asumen el costo de las consecuencias, incluyendo los ataques cibernéticos y la posterior necesidad de resolverlos. Esta situación crea un mercado no funcional, donde la falta de incentivos claros y la ausencia de un sistema de sanciones o premios adecuados dificultan el avance hacia un software verdaderamente seguro. El NCSC propone que es necesario diseñar un sistema que premie a quienes invierten en seguridad, quienes dedican esfuerzo para crear tecnologías confiables y resilientes. La idea es que esas empresas no solo serán más exitosas, sino que también contribuirán a construir una base sólida para enfrentar las amenazas modernas. Solo así se podría terminar con la repetición de vulnerabilidades persistentes que han estado presentes durante décadas y han demostrado ser un lastre para la seguridad global.
Sin embargo, esta visión enfrenta resistencia desde algunos sectores clave de la industria tecnológica. Durante un panel de discusión celebrado en la conferencia CYBERUK, ejecutivos de Vodafone, Mandiant, Sage y el Centro Canadiense de Ciberseguridad mostraron escepticismo respecto a la idea de que los proveedores priorizan sus beneficios económicos ignorando las recomendaciones de seguridad. Emma Smith, directora de ciberseguridad en Vodafone, así como Stuart McKenzie de Mandiant, manifestaron desacuerdo con esa tesis, enfatizando que el mercado sí castiga a los que ofrecen productos inseguros mediante el abandono por parte de los clientes. La dinámica observada implica que son los clientes quienes, al exigir un mayor nivel de seguridad, provocan que los proveedores evolucionen y mejoren sus productos. En este sentido, según McKenzie, solo existen excepciones relativamente pocas donde el software es engañoso o deficiente.
Estas son rápidamente descubiertas y rechazadas por el mercado. La competencia, por ejemplo en el ámbito de las soluciones de seguridad para endpoints, favorece a aquellos fabricantes que ofrecen productos robustos y con mejores funcionalidades, como CrowdStrike o Microsoft Defender, quienes han logrado una posición destacada precisamente por su calidad técnica. Bridget Walsh, portavoz canadiense, agrega que las consecuencias financieras de los fracasos en seguridad actúan como un desincentivo eficaz, considerando que las organizaciones son muy conscientes del retorno de inversión al renovar los contratos o cambiar de proveedor. Por su parte, Ben Aung de Sage introduce un matiz, señalando que si bien existen empresas negligentes que cortan esquinas, la gran mayoría simplemente enfrenta una competencia compleja y constante contra actores que evolucionan rápidamente, en una auténtica carrera armamentista tecnológica donde la seguridad es solo una variable más. Frente a la propuesta del NCSC de aplicar sanciones o castigos a los proveedores que no cumplan con los estándares mínimos de seguridad, la postura de buena parte del sector es de rechazo.
Se argumenta que la evolución natural del mercado y la presión ejercida por los compradores son mecanismos suficientes para impulsar mejoras. Además, se subraya que forzar regulaciones rígidas puede ser contraproducente en un sector que cambia rápidamente y donde la innovación constante es clave. Por otro lado, el NCSC destaca que la persistencia de errores graves, como vulnerabilidades conocidas desde hace años que siguen apareciendo, evidencia la ineficacia del enfoque actual. Los contratos y términos y condiciones no deben ser un refugio donde los proveedores escapen a su responsabilidad. En esta línea, Whitehouse plantea la necesidad de establecer un marco claro y firme que establezca qué fallas son inaceptables y que cree incentivos no solo positivos sino también punitivos para garantizar una mayor responsabilidad.
La analogía con la industria automotriz es una idea recurrente. Así como existen estándares de seguridad vehicular que los consumidores reconocen y valoran, como los proporcionados por el programa europeo NCAP, el sector del software podría beneficiarse de un sistema de certificación público y transparente que permita comparar y elegir productos en función de su seguridad y confiabilidad. Esto generaría un entorno competitivo más justo y motivaría a los proveedores a invertir en seguridad para ganar reputación y cuota de mercado. Actualmente, existen iniciativas que apuntan en esa dirección. La certificación Cyber Essentials desarrollada por el propio NCSC es un ejemplo de cómo establecer expectativas claras para vendedores y compradores.
Además, la reciente presentación del Código de Prácticas de Seguridad del Software, una iniciativa voluntaria, busca proporcionar a los proveedores criterios tangibles que certifiquen su compromiso con la seguridad, fomentando su adopción tanto en el Reino Unido como a nivel internacional a través de colaboraciones con organismos como NIST o ENISA. La implementación y adopción global de estos estándares facilitaría que gobiernos y grandes organizaciones los incorporen en sus procesos de contratación, elevando el nivel mínimo de calidad y seguridad en el mercado. En ese escenario, solo las compañías que respeten los requisitos básicos y demuestren su cumplimiento podrían competir, mientras las otras quedarían en desventaja o excluidas. En ese camino, el papel de las aseguradoras también resulta clave. Aunque a menudo criticadas por facilitar pagos de rescates en ataques de ransomware, las compañías de seguros cibernéticos tienen un profundo conocimiento de las causas comunes de vulnerabilidades y pueden servir como agentes que elevan las exigencias sobre la seguridad, condicionando las pólizas a ciertos estándares y evaluaciones de riesgos concretas.
Esto genera un efecto de impulso para que las organizaciones se protejan mejor y exijan mayor seguridad a sus proveedores. El papel de los clientes, en última instancia, sigue siendo fundamental. Comprar seguridad no implica solo adquirir productos con las mejores características técnicas, sino también priorizar la confianza, transparencia y cumplimiento de normas. Por ello, proporcionar información adecuada a los compradores para que comprendan claramente lo que deben exigir es un paso imprescindible para dinamizar el mercado y mejorar la seguridad a gran escala. En suma, el choque entre los agentes cibernéticos británicos y la industria refleja las tensiones de un mundo digital que sigue enfrentando vulnerabilidades que parecen sujetas a un ciclo repetitivo.
Buscar un equilibrio entre incentivos positivos, claras responsabilidades, participación activa de las aseguradoras y empoderamiento de los clientes es el reto principal. Solo así se podrá construir un ecosistema donde el software deje de ser una fuente constante de riesgos y se convierta en una base sólida para la innovación y protección en la era digital.
