“Los principales ciberataques a las pymes gallegas acaban en fraudes y secuestro de datos”

El ingeniero en informática Carlos Eloy López Blanco (A Coruña, 1970), responsable de la oficina de Riesgos Digitales de la empresa Hijos de Rivera –conocida popularmente por la cerveza Estrella Galicia– y con 27 años de experiencia en el campo de la transformación digital aplicada al sector público y empresarial, recibirá un premio a su trayectoria por parte del Colegio Profesional de Enxeñaría en Informática de Galicia (CPEIG) .

–¿Reciben muchos ciberataques diarios y de qué tipo las empresas gallegas?

–Por hacer una radiografía, el 99% de los negocios necesitan avanzar en la digitalización, que se ha convertido en una condición necesaria para la supervivencia de las empresas. La tecnología avanza de forma exponencial, por lo que el crecimiento ha sido disruptivo. El tejido empresarial gallego está conformado por un 1% de grandes empresas y un 99% de pymes. Y de ellas, el 54% son de autónomos: abogados, dentistas, asesores fiscales, peluquerías... que tienen en el mundo digital su negocio y son sensibles a robos de información de los datos de sus clientes, o a que les encripten datos. En Galicia, creo que las pymes están muy expuestas a ciberataques, igual que en España.

–¿Cómo las ve: expuestas o desprotegidas?

–Por un lado, están muy expuestas y por otro, creo que bastante desprotegidas. Salvo las grandes empresas y quizás, las medianas, pocas tienen recursos o han implantado sistemas que ayuden a mitigar los posibles ataques. Están despreocupadas, creyendo que el foco de los cibercriminales son las grandes empresas, pero se está demostrando que no.

–Entre las que saltaron a la luz está la del grupo farmacéutico Zendal, que fue víctima de una millonaria estafa con la técnica del phishing.

–El phishing es un delito que se comete por un estafador (phisher) que suplanta la identidad de otra persona en su beneficio, ya sea a través de correos electrónicos o SMS. Pero también hay muchos particulares a los que les han desvalijado las cuentas. por una ciberestafa. Si siendo una gran empresa y disponiendo de medios para contrarrestar estas amenazas, ocurren, ¿qué no podrá pasar en una pequeña? El riesgo cero no existe. Por otra parte, el cibercrimen ya es industria: a nivel mundial mueve más dinero que el narcotráfico.

–¿Cómo hay que abordar el riesgo digital en nuestros días?

–De manera proactiva y antes de que suceda. Normalmente, protegemos cuando nos ocurre algo. Las principales amenazas para este año 2021 y 22 van a estar relacionadas con ataques a las cadenas de suministro. Uno de los principales problemas con el que se encuentra el ecosistema de la seguridad es que muchos de los software y aplicaciones utilizadas a día de hoy han sido desarrolladas hace mucho tiempo. Entonces se tenía más en cuenta la velocidad de entrega que la seguridad. Luego, los riesgos relacionados con las personas, el robo de identidad tanto a nivel empresarial como personal a través del phishing. Puede servir para vaciarte una cuenta de crédito o para escudriñar todos los sistemas de una empresa y normalmente acaban en fraudes. Luego el ransomware, es decir, el uso de software malicioso para el secuestro de información y el posterior pago de un rescate, que normalmente se abona a través de criptomonedas que no dejan rastro. Una vez que han accedido a los datos de la empresa, pueden chantajearte de mil maneras: o pidiendo rescate o amenazándote con publicar datos de carácter personal de tus clientes. Además de pagar el rescate, te arriesgas a una sanción por contravenir la protección de datos.

–Ayer se cayó la red informática del Concello de Lugo más de 8 horas y los usuarios temían que se filtrasen datos personales. ¿Exageramos?

–Son posibles “brechas” de seguridad en el sistema Y faltaría otra parte importante, que es la irrupción en el 5G y la inteligencia artificial, que podría afectar a las empresas y a domicilios particulares, a sus dispositivos personales.

–¿Cómo se debería actuar ante estas amenazas emergentes?

–Hay que estar preparados en las empresas, con planes de resiliencia para que cuando algo desconocido ocurra, sean capaces de recuperar el negocio con las menores pérdidas y el menor tiempo posibles. De esto dependen las demás miles de medidas. También hay consultorías especializadas y las empresas que suministran informática para pymes suelen tener expertos en seguridad.

–Es miembro fundador de la directiva gallega del ISMS Forum Spain, que lidera el proyecto CybersecurityInABox y que próximamente será presentado en Galicia.

–Es una asociación sin ánimo de lucro integrada por expertos en ciberseguridad desde la que tratamos de aportar nuestro granito de arena: acercar la gestión del riesgo digital a las pymes, dotándolas de una herramienta que les permite que evalúen los posibles riesgos tecnológicos –cómo de sensibles son a las amenazas digitales– y luego darles una hoja de ruta avalada por expertos. Será de forma gratuita y pretende involucrar a instituciones públicas y privadas, así como asociaciones profesionales.

Suscríbete para seguir leyendo