La prevención es clave para actuar en el momento de un ciberataque

La sede de LA RAZÓN en Madrid acogió el pasado día 24 una mesa redonda sobre ciberseguridad, "una de las grandes preocupaciones actuales de empresas y organizaciones, tanto públicas como privadas, ya sean grandes corporaciones o pymes", como destacó en la presentación de la jornada la periodista Arantxa Herranz, que moderó el evento como experta en tecnología y ciberseguridad.

La mesa redonda estuvo compuesta por José Luis Álvarez, responsable de ciberseguridad del CEU; Míquel González, socio de de Grant Thornton y responsable del departamento de Consultoría de Negocio e Innovación; Alfredo Díez, director de operaciones (COO) de Cipherbit-Grupo Oesía; y Juan Antonio Sotomayor, teniente coronel jefe del departamento contra el cibercrimen de la UCO de la Guardia Civil. Por motivos de agenda no pudo asistir a esta mesa Raúl Jiménez, director de la Agencia Digital de Andalucía.

Los ponentes tuvieron un tiempo previo al debate para presentarse. Comenzó tomando la palabra José Luis Álvarez. "La ciberseguridad debe ser parte fundamental de la estrategia global de todas las compañías", comenzó a exponer el responsable de ciberseguridad del CEU. Vivimos en un mundo interconectado donde las amenazas están a la orden del día, y esto "nos lleva a establecer estrategias de ciberseguridad coherentes", comentó Álvarez. Esto permitirá "establecer análisis de riesgo de los activos más críticos, establecer normas y procedimientos para proteger los activos, permitir guardar la confianza de los clientes y cumplir la normativa vigente". A partir de aquí, la formación es vital, continuó, pues "debemos aportar a nuestro equipo los conocimientos y mecanismos oportunos para poder afrontar las diferentes situaciones que se irán sucediendo", explicó. "La ciberseguridad debe ser algo de todos, no solo del departamento correspondiente", concluyó Álvarez.

A continuación, se presentó Míquel González, socio de Grant Thornton y responsable del departamento de Consultoría de Negocio e Innovación. "Empresas y ciudadanos somos muy conscientes de la realidad y el reto que supone la ciberseguridad". El reto, coincidió con Álvarez, es "concienciar y formar a todos los empleados de la importancia de la ciberseguridad para toda la empresa", continuó Míquel González, pues la ciberseguridad es un sector que "cambia continuamente", por lo que abogó por la "formación constante" para favorecer la prevención que pueda reducir el riesgo.

Alfredo Díez, director de operaciones (COO) de Cipherbit-Grupo Oesía, quiso ampliar las miras del debate. "Debemos olvidar al chico con capucha en un garaje como actor del ciberataque. Hoy nos enfrentamos a estructuras organizadas con muchos medios y capacidad, con el agravante de la deslocalización", explicó, a la vez que hizo hincapié en una dimensión nueva de los ciberataques: el daño físico que pueden ocasionar. "Hoy en día un ciberataque puede dañar una estructura física: una central eléctrica o un aeropuerto", por ejemplo. Además, también existe el riesgo de la manipulación, como por ejemplo las fake news. Para terminar su presentación, Díez habló de los fines no meramente económicos de los ciberataques. "También se busca la desestabilización o desacreditación de un gobierno o una empresa", concluyó.

Por último, tomó la palabra el teniente coronel de la Guardia Civil Juan Antonio Sotomayor, que se presentó a la mesa como "representante de la lucha contra el cibercrimen", un ámbito que "no pertenece a la ciberseguridad, sino que se da junto a ella, en un espacio común de actuación, pero diferente", matizó. Dicho lo cual, introdujo la última estadística del Ministerio del Interior, que concluye que "la principal motivación del cibercrimen es la económica, además del desprestigio y los ataques del ámbito sexual (abuso sexual infantil o amenazas a las mujeres en el ámbito digital)", concluyó. "El hackeo de empresas para robar los datos personales y su posterior rescate es un activo importante para posteriores campañas de fraude y estafas", comentó el teniente coronel. "La monetización es la principal motivación del cibercrimen", añadió.

Amenazas y protocolos

Hechas las presentaciones, Herranz introdujo la primera cuestión de debate, retrayéndose al año 2005, cuando se produjo la crisis del virus "I love you". Actualmente, "¿cuál es la principal amenaza en materia de ciberseguridad?", preguntó la moderadora a los ponentes. Alfredo Díez centró su respuesta en las empresas, en cuyo caso "la mayor amenaza es el ransomware", que supone un gran impacto en la actividad empresarial. Díez explicó que, para las empresas que ofrecen servicios de ciberseguridad, "este gran impacto ha hecho que las empresas se den cuenta de la necesidad de afrontar este problema". El teniente coronel Sotomayor coincidió en el ransomware, "dentro de las ciberextorsiones", matizó. En cuestiones de ciberdelincuencia, «la principal amenaza de las empresas son las diferentes formas de la ciberextorsión», explicó.

Continuando con el ransomware, el teniente coronel Sotomayor aclaró que "pagar un secuestro de ransomware no es delito. Otra cosa diferente es el pago de secuestros en el ámbito del terrorismo", porque está penada la financiación del terrorismo, pero esto es un tipo de extorsión. Por encima de todo eso, concluyó el ponente, "la empresa extorsionada debe valorar si el coste de parar su actividad es suficiente para pagar el secuestro de su información". Si se decide hacer el pago, es importante que se haga de la mano de los cuerpos de seguridad, pues "muchas veces es la única línea de investigación para llegar a los ciberdelincuentes".

Ante un ataque, primero deben intervenir las empresas de ciberseguridad y, después, de su mano, acudirán las fuerzas de seguridad para investigar y encontrar los motivos y acciones delictivas del ataque. Míquel González coincidió en la forma de actuar, pero debe estar previsto: primero valorar, después acudir a la compañía de aseguradoras, a las empresas de ciberseguridad y a las fuerzas de seguridad. En todo caso, "la prevención es clave para poder actuar bien en el momento de ser víctimas de un ciberataque", concluyó González. José Luis Álvarez apuntó en este caso la necesidad de "tener previsto un protocolo", además de, después, "analizar e investigar las causas del ciberataque" para mitigar los riesgos y que no vuelva a pasar.

Otro aspecto que supone una pérdida importante de recursos para las empresas atacadas «es el conocido como fraude del CEO, mediante técnicas de suplantación de identidad», apuntó Míquel González. Además, "el gran reto es la concienciación y formación de todos los empleados para que sean capaces de saber cómo actuar en casos de posibles fraudes y estafas". En este punto Sotomayor apuntó a un amplio abanico de posibilidades. Al no incluir la ciberseguridad como una parte de la estrategia global de la empresa, muchas de ellas llegan a tener verdaderos problemas económicos.

Estos pueden haber sido ocasionados por un simple correo electrónico que, de haber tenido una formación básica, habría sido una amenaza neutralizada. Este punto sirvió a la moderadora para introducir el segundo tema de debate: ¿cómo se forma a las personas para ser más críticos con la información que nos llega y evitar ser víctimas de un ciberataque?

"Los programas formativos y de concienciación" son básicos para ello, apuntó José Luis Álvarez. Esta concienciación hará que los usuarios puedan analizar hasta el lenguaje expresado en las posibles amenazas. "Debemos dar a las personas las herramientas concretas para identificar y minimizar los riesgos", dijo.

Alianzas y legislación

La legislación fue otro tema del que se habló en la mesa redonda. "La legislación ayuda a normalizar la situación", apuntó Míquel González, lo que ayuda también a reducir el desprestigio reputacional de una empresa que ha sido víctima de un ciberataque.

También son importantes las alianzas y la cooperación de las empresas y las instituciones en la lucha contra el cibercrimen, y en este punto es primordial compartir información sobre los casos y los protocolos utilizados, porque "uno de los mayores problemas para la lucha contra el cibercrimen es la falta de información", comentó el teniente coronel Sotomayor.

Alfredo Díez apuntó a la necesidad de que "Europa sea su propio líder en cuanto a la industria como a las administraciones públicas relacionadas con la ciberseguridad", porque hoy seguimos dependiendo de potencias exteriores como Estados Unidos o Israel.

De ahí se pasó a abordar el tema y el reto del talento. José Luis Álvarez, responsable de ciberseguridad del CEU, comentó la "gran demanda de talento en este sector, en torno a 86.000 profesionales este año". Muchas de las empresas están formando a las personas para sus propias necesidades, porque no hay una formación específica para este sector. Míquel González destacó la atracción y retención del talento como uno de los principales escollos de las empresas especializadas.

Un trabajo poco atractivo

"La ciberseguridad, hoy en día, no es un destino laboral atractivo", declaró González, «si bien no es algo exclusivo de España, pues ocurre en todos los países», pero ahora tenemos la oportunidad de ser fuente de recursos para España y otros países. Un punto a favor, aún en proceso de implantación, es la "publicación de un real decreto por el que se pueden enseñar conocimientos de ciberseguridad en ciclos formativos de Formación Profesional", como apuntó el teniente coronel Sotomayor. Es diferente el perfil que contrata una empresa que se dedica a ofrecer servicios a terceros que la empresa que implementa internamente servicios de ciberseguridad. Los ponentes, sin embargo, coincidieron en que la ciberseguridad es una profesión con una clara vocación de servicio a la sociedad, por lo que tiene un alto componente vocacional.

Quedaron muchos temas en el tintero, no hubo tiempo para más, pero con toda seguridad se celebrarán nuevos foros de debate y conversación en LA RAZÓN en los que se desarrollarán todos ellos. La ciberseguridad, como conclusión de la mesa, debe formar parte de la estrategia global de las empresas, invirtiendo en formación y concienciación de todos los empleados y aportándoles herramientas para poder analizar y determinar cómo se puede producir una amenaza. De esta manera, se reducirán los riesgos potenciales de ser víctima de un ciberataque, pues las empresas y corporaciones tendrán previstos protocolos de actuación y prevención en caso de que se produzca, a la vez que se pondrá en valor a los profesionales que dedican su experiencia al servicio de los demás.