A finales del pasado año el grupo farmacéutico Zendal, en O Porriño, fue víctima de una estafa millonaria con la técnica del phising. Un responsable de esta compañía realizó transferencias a una cuenta bancaria por más de nueve millones de euros creyendo que lo hacía por orden de su jefe, cuando en realidad se trataba de un ciberdelincuente que había suplantado su identidad. No es un caso aislado. En los últimos años proliferan estos fraudes así como la petición de rescates por el secuestro de archivos. Muchas empresas no llegan a denunciar y dan por perdido el dinero. A pesar del incremento da este tipo de ciberdelitos, casi la mitad de las empresas gallegas carecen de seguridad en sus sistemas informáticos.
Las compañías grandes son más conscientes de los riesgos y tienen los deberes hechos en materia de protección contra ciberataques y estafas. Según los datos del Instituto Nacional de Estadística (INE), el 91% de las firmas de más de 10 empleados tiene alguna medida de seguridad. Quedarían unas 800 desprotegidas.
Sin embargo, las pequeñas firmas, de menos de 10 empleados, que son las que componen el grueso del tejido empresarial gallego son más vulnerables.
Solo el 52,8% ha instalado algún tipo de protección en sus equipos: bien sea autentificación mediante contraseña fuerte, software actualizado, autentificación biométrica, encriptación, copa de seguridad en una ubicación separada o control de acceso a la red, entre otras. En torno a 113.000 empresas estarían indefensas ante ciberdelitos. Galicia es la tercera comunidad del Estado con más microempresas sin sistemas de seguridad TIC.
Los expertos coinciden en que los ciberdelincuentes siempre van un paso por delante y es difícil reducir a cero los riesgos pero advierten que si no se toman medidas la empresa estará más expuesta a este tipo de delitos.
“Ahora han cambiado los riesgos. Antes el peligro era que alguien desde el exterior podía entrar y atacar tu página web. Ahora el modus operandi es distinto. Pueden secuestrar tus datos y pedirte un rescate”
Es uno de los ataques más frecuentes a empresas. El llamado ransomware es un tipo de malware o software malicioso que se infiltra en los dispositivos de los usuarios y restringe el acceso a los sistemas y datos con el objetivo de exigir un rescate para la liberación de estos. Normalmente se exige el pago de los rescates en criptomonedas o bitcoins, que son muy difíciles de rastrear.
Habitual es también el “timo del CEO”. A través de un correo electrónico se suplanta la identidad de un directivo para ordenar un pago que termina en una cuenta de un país extranjero. Se ha refinado tanto esta estafa que los ciberdelincuentes están ya usando deepfakes, una técnica de inteligencia artificial que permite reproducir imágenes y voz de personas reales, de manera que un empleado puede recibir una llamada y escuchar una voz idéntica a la de su jefe que le da instrucciones para que haga una transferencia y robar así el dinero de la empresa.
En otras ocasiones, el ciberdelincuente puede vulnerar el sistema informático y cuando está bajo su control cambiar, por ejemplo, la orden de pago de las nóminas para que se desvíen a otras cuentas.
Son muchas las “brechas” de seguridad de las que se pueden valer los ciberdelincuentes. “A veces, simplemente un empleado que no ha cambiado la contraseña. Además cada vez las empresas están más interconectadas y algunas quieren digitalizarse demasiado rápido sin adoptar medidas de seguridad”, explica Sestelo. “Tienes que invertir en seguridad el equivalente a lo que quieras proteger”, aconseja. “El problema es que las empresas pequeñas no son conscientes de los riesgos”, señala. El aumento de ciberataques a empresas ha elevado el número de firmas que contratan seguros de ciberriesgo para cubrir las pérdidas.
“Las pymes son especialmente vulnerables. Deben concienciarse del riesgo”
–¿Por qué hay tantas empresas que carecen de sistemas de seguridad frente a ciberdelitos?
–El problema es el desconocimiento. Hay una sensación por parte de las empresas de que ellas no son posibles víctimas. No tienen en consideración el impacto que podría suponer para ellas. Hay empresas de entornos más regulados como los bancos que tienen protección, pero otras no lo están tanto como las pymes o la industria. Invierten menos recursos en protegerse y es fundamental hacer una evaluación de riesgos porque estas empresas están siendo atacadas. Las pequeñas empresas son especialmente vulnerables. Hay que hacer un esfuerzo por concienciarlas.
–¿Qué deben hacer para protegerse?
–Es muy difícil protegerse adecuadamente. La protección absoluta no existe, pero si no se analizan los riesgos las empresas son más vulnerables. Hay varias medidas de protección: instalar un antivirus, un cortafuegos, cifrar los equipos, pero hay otras medidas incluso más importantes que son organizativas. Por ejemplo, determinar cómo se realiza el pago de una factura: me llama alguien de la organización para dar la orden, se hace mediante correo electrónico... Esto es clave para evitar transferencias fraudulentas.
–¿Han aumentado los ciberataques a empresas en los últimos años?
–Sí, hay un crecimiento, pero además no está claro cuántos se denuncian. Muchas empresas no lo hacen por miedo al daño reputacional.
–¿Y es posible recuperar el dinero cuando se sufre una estafa?
–Depende. Si se dan cuenta pronto pueden avisar al banco y recuperar el dinero. Cuando lo que se pide es un rescate por recuperar datos y se paga en criptomonedas puede darse prácticamente por perdido. El problema es que este tipo de ciberdelincuentes trabajan desde países donde les resulta más fácil ejercer estas actividades ilegales. Saber quién roba y dónde es bastante complicado.
