Videos

Las empresas aún infravaloran las amenazas informáticas

El Instituto Nacional de Ciberseguridad (Incibe) registró el año pasado un total de 45.689 incidencias en España. Las compañías no se conciencian hasta que son víctimas de ataques.

De izquierda a derecha, Carlos Alberto Saiz, Rafael L. Santos, Fernando Picatoste, Miguel Ángel Alcalde y Josep Albors. Sentados, Roberto Peña, Gianluca D’Antonio y Rosa Díaz
De izquierda a derecha, Carlos Alberto Saiz, Rafael L. Santos, Fernando Picatoste, Miguel Ángel Alcalde y Josep Albors. Sentados, Roberto Peña, Gianluca D’Antonio y Rosa Díazlarazon

El Instituto Nacional de Ciberseguridad (Incibe) registró el año pasado un total de 45.689 incidencias en España. Las compañías no se conciencian hasta que son víctimas de ataques.

Si el coste actual de la ciberdelincuencia, a nivel global, es de unos 500.000 millones de dólares, en apenas tres años podría escalar hasta los dos billones. Pero una parte significativa de los ataques informáticos no se detecta. Sobre todo, en cuanto a casos de espionaje industrial y apropiación indebida de «know how» se refiere. En España, ciudadanos y empresas sufrieron el año pasado 45.689 incidentes, según datos del Instituto Nacional de Ciberseguridad (Incibe).

Muchas empresas no son conscientes de que su supervivencia podría estar amenazada por un golpe de clic e infravaloran unos ataques cada vez más frecuentes en la jungla digital. Por ello, LA RAZÓN celebró una mesa redonda sobre «Ciberseguridad y confianza digital», a la que asistieron Gianluca D´Antonio, presidente de ISMS Forum, director del Máster en Ciberseguridad del IE Business School y CIO del Grupo FCC; Carlos Alberto Sáiz, director del Data Privacy Institute; Rafael L. Santos, director de Seguridad en la Administración Pública; Rosa Díaz, directora general de Panda Security; Josep Albors, director de Comunicación y Laboratorio de Eset España; Miguel Ángel Alcalde, responsable de Inteligencia de Expert System Iberia; Fernando Picatoste, socio de CiberRisk Services Deloitte España, y Roberto Peña, director de Seguridad de Mnemo España.

Falta de regulación

La falta de regulación y de estándares compartidos en ámbitos como el Internet de las Cosas, los coches autónomos o los drones puede desembocar en la creación de un ecosistema digital caótico y, por ende, vulnerable ante cualquier tipo de acción malintencionada.

Gianluca D´Antonio defendió que «la ciberseguridad debería considerarse como un bien público», esgrimiendo que cada día más expertos se suman a esta teoría ante la manifiesta incapacidad del mercado, por sí solo, para autorregularse y conseguir un nivel óptimo de seguridad, elemento clave para la competitividad empresarial. «La falta de información compartida acerca de los ataques, la desproporción entre vulnerabilidades e inversión en ciberseguridad, o la ausencia de planes educativos estructurados y eficaces para hacer frente a las nuevas ciberamenazas ponen sobre la mesa la necesidad de gestionar la ciberseguridad como si de un bien público se tratara, asimilándolo a la Sanidad». De hecho, llegó a plantear la idea de crear un ministerio de Ciberseguridad.

Mientras que la información constituye el activo más importante de una empresa, los empleados continúan siendo el eslabón más endeble a la hora de sufrir ciberataques. Así, su formación en esta materia sería la mejor barrera contra estas amenazas. Desde el robo y las suplantaciones de la identidad hasta casos de espionaje, el daño que pueden causar los ataques informáticos a las empresas es incalculable. Rosa Díaz alertó de que incluso «algunas podrían verse obligadas a cerrar por el secuestro de sus datos. La ciberdelincuencia es un negocio muy lucrativo».

Son muchas las empresas –sobre todo las pymes– que no valoran adecuadamente la información contenida en bases de datos o correos electrónicos, pensando que por su tamaño o irrelevancia no estarán en el punto de mira de los ciberdelincuentes. Miguel Ángel Alcalde resaltó que las medidas preventivas son más eficaces que las correctivas, así como que resulta imposible la protección total mientras exista una puerta hacia el mundo exterior. Y es que por mucha vigilancia que haya, «los malos encontrarán la forma de entrar». La inteligencia permitiría averiguar cómo y cuándo sucederá el ataque para defenderse o, en última instancia, negociar con el ladrón. Por eso, insistió en la urgencia de que las empresas y los organismos públicos se doten de esta capacidad, de un departamento de Inteligencia Económica, para minimizar los daños causados.

«En internet hay más desconfianza que confianza», afirmó Josep Albors, quien recordó que los constantes ciberdelitos han provocado que los robos de datos u otras amenazas hayan dejado de extrañar. De igual modo, sostuvo que las empresas españolas –y de otros países– no tienen constancia de lo vulnerables que son hasta que sufren estos ataques en sus propias carnes. «Parece que sólo aprendemos a base de palos», dijo. Recomendó, en primer lugar, conocer cuáles son los peligros para, después, adoptar las medidas de seguridad necesarias según el nivel de exposición y el valor de los activos que se han de proteger. «El peor enemigo es el desconocimiento de la procedencia de las amenazas», apostilló.

No compartir ni reutilizar contraseñas, no conectarse a redes inalámbricas sin cifrar, utilizar y actualizar antivirus, no desactivar el firewall, no abrir correos de fuentes desconocidas, realizar copias de seguridad o llamadas de verificación de actividades sospechosas... Son muchos los blindajes que pueden usar los ciudadanos quienes, desgraciadamente y al igual que las empresas, sólo se conciencian del peligro que les acecha cuando son víctimas.

Fernando Picatoste destacó que «España tiene un gran talento en materia de ciberseguridad, un campo que puede generar riqueza para el país», y que hay numerosos organismos oficiales colaborando con las compañías privadas para aumentar nuestra resiliencia cibernética. Es decir, nuestra capacidad para anticipar, detectar y contener los ataques.

Colaboración público-privada

Carlos Alberto Sáiz, por su parte, aseguró que la ciberseguridad debería ser una responsabilidad compartida, ya que todos tratamos y manejamos cada vez más datos. Y, día a día, los negocios dependen más de una mejor y mayor información de sus clientes, por lo que protegerla significa proteger el más valioso activo de una organización. No obstante, subrayó que «falta concienciación en todas las empresas». Asimismo, remarcó que nuestra sociedad necesita combatir la ciberdelincuencia y proteger los servicios críticos, para lo que considera fundamental dotar de los recursos necesarios a las organizaciones públicas, potenciar el desarrollo del «ciberderecho» como solución alternativa a la falta de armonización entre los diferentes sistemas jurídicos y promover una cultura de colaboración público-privada.

En este punto, Rafael L. Santos reveló que de la mayor colaboración entre empresas y Administración «nos beneficiamos todos». Sin embargo, avisó de que falta estructurarla y estandarizarla para que no dependa tanto de esfuerzos personales y sea una práctica común. Santos también aprovechó su intervención para explicar que en materia de seguridad, «proteger el dato es lo fundamental».

Finalmente, Roberto Peña apuntó que «sin seguridad no hay confianza» y que la falta de concienciación y formación en aspectos básicos de seguridad en la interrelación con los medios digitales e informáticos, «es la gran asignatura pendiente y la principal vulnerabilidad de las empresas». De igual modo, declaró que «hay pocos hackers para tanto cracker», detallando que estos últimos disponen de financiación infinitamente mayor, debido a las mafias y organizaciones dedicadas a realizar ataques dirigidos sobre un organismo o sistemas con vulnerabilidades comunes con la finalidad de obtener réditos económicos, «por lo que su crecimiento y arquitectura de negocio es sólida y retroalimentada de forma continua».