El ciberespacio es una ventana casi infinita de posibilidades para empresas, administraciones públicas y particulares, pero la digitalización también conlleva una serie de riesgos que no hay que perder de vista porque la delincuencia también se adapta a los nuevos tiempos. El “pishing”, el “ransomware” (secuestro de datos), los “malware” (programas informáticos maliciosos), suplantaciones de identidad, violaciones de los datos personales y agresiones contra cadenas de suministro son las principales amenazas en la era de la digitalización. De este tema y de los retos que se plantean hablaron los expertos invitados al Encuentro sobre Ciberseguridad que organizó FARO DE VIGO en colaboración con la Axencia para Modernización Tecnolóxica de Galicia (AMTEGA) y que moderó Bruno Rodríguez, director de Tecnologías del diario decano.

Gustavo Herva (AMTEGA) R. G.

"Los concellos saben que tienen que protegerse, pero faltan recursos"

Gustavo Herva - AMTEGA

En 2021, se publicaron 28.695 vulnerabilidades, lo que supone un incremento del 23,31% respecto a las 23.269 de 2020, según los datos del CCN-CERT que aportó Gustavo Hervà, jefe de subárea de Seguridad de Amtega. Además, en 2021 se registraron 118 incidencias críticas en administraciones públicas españolas, lo que significa que cada semana dos o tres fueron seriamente ciberatacadas, una cifra, además, que duplica la registrada en 2020. El pasado mes de julio, el Consejo Superior de Investigaciones Científicas (CSIC) sufrió un ciberataque, que paralizó su actividad durante varias semanas.

Belén Pérez (NUEVA PESCANOVA) R. G.

"Una empresa que dice que no necesita ciberseguridad está abocada al desastre"

Belén Pérez - NUEVA PESCANOVA

Estas cifras ponen de relieve la magnitud de la cibercriminalidad en España. “Gestionar ese elevado volumen de vulnerabilidades en las infraestructuras TIC y otro tipo de amenazas recientes, como por ejemplo, la supuesta filtración de datos ocurrida en el Consejo General del Poder Judicial, es el contexto y el panorama nuestro de cada día en las administraciones públicas”, afirmó Hervà.

Juan González (Gradiant) R.G.

"En ciberseguridad, la colaboración entre los distintos agentes es primordial"

Juan González - GRADIANT

La Xunta creó hace dos años el nodo de ciberseguridad de Galicia, CIBER.gal, para promover y dinamizar la cooperación entre instituciones, empresas y sociedad con la finalidad de hacer frente al reto de la ciberseguridad. El nodo, que en 2021 comenzó a ejecutar un proyecto de apoyo a la gestión de la ciberseguridad con las diputaciones provinciales, ha extendido este año dicho servicio a los ayuntamientos de más de 20.000 habitantes. El jefe de subárea de seguridad de Amtega explicó que en la mayoría de las administraciones locales gallegas aún no existe el responsable de seguridad, figura fundamental para hacer frente a la cibercriminalidad. “Los ayuntamientos son conscientes de la importancia de la ciberseguridad, pero suelen faltarles medios. Las ciudades grandes, que tienen más capacidad, sí están empezando a dedicar personal y recursos a esto”, expuso.

Ibán Morillo R. G.

"Hablar de industria 4.0. en muchos casos es una quimera, pero corre mucho riesgo"

Ibán Morillo - INPROSEC

Continuando con los objetivos a corto plazo del CIBER.gal, explicó que continuará avanzando en el cumplimiento y certificación del esquema nacional de seguridad tanto del sector privado como del público y anunció que para finales de año esperan contar ya con nueve certificaciones en el ámbito público., que se sumarán a las que ya tiene el sector privado. Asimismo, especificó que el nodo está ya está adherido oficialmente a la Red Nacional de SOC, impulsada por el Centro Criptológico Nacional, y que articula la colaboración y el intercambio de información entre los centros de operaciones de ciberseguridad (SOC) nacionales; y colaborando con los cuerpos y seguridad del estado y el Instituto Nacional de Ciberseguridad (INCIBE).

Por su parte, Belén Pérez, directora de ciberseguridad del Grupo Nueva Pescanova, resaltó la importancia de hacer comprender a la empresa el valor de la ciberseguridad y aportarla un plan estratégico que sea coherente y realista. “El riesgo cero es imposible, porque necesitaríamos esfuerzos infinitos que nunca vamos a tener, porque el negocio tiene que seguir funcionando y tienen que equilibrar lo que te dan a ti y lo que les dan a los demás”, dijo.

La especialista advirtió del aumento de ciberdelincuentes y de su cada vez mayor profesionalización. “Esto ya no es el niño que está jugando desde casa con un ordenador, sino que son organizaciones delictivas a veces mucho más jerárquicas y profesionalizadas que algunas empresas, y pelear contra esto no es sencillo”, manifestó.

Juan González, director de seguridad y privacidad del Centro Tecnológico de Telecomunicaciones (Gradiant) de Vigo, abogó por un trabajo de concienciación empresarial. “Cuando las organizaciones, de una forma conjunta, entienden que el problema de la seguridad afecta a todos en su conjunto la dinámica cambia bastante”, comentó. En su opinión, para esto es necesario que no sea el departamento de seguridad el que plantee las necesidades a dirección, sino que sea esta la que marque la política de seguridad de la empresa.

Poca visibilización

La falta de visibilización de los ciberataques influye en que muchas empresas –y usuarios– minimicen su impacto al ignorar el riesgo. En este sentido, los expertos se mostraron rotundos: los ciberataques son mucho más frecuentes de lo que revelan los datos, ya que muchos no se denuncian. De hecho, el 71% de las empresas españolas fueron víctimas de un “ransomware” en 2021, según los datos que se facilitaron durante este encuentro.

“Muchas veces no se denuncian y otras muchas ni siquiera saben que han sufrido un ciberataque, sobre todo aquellas empresas que no tienen una buena monitorización de la seguridad”, advirtió González.

Respecto a esto, Ibán Morillo, de la consultora de ciberseguridad Inprosec, añadió que ese ocultismo contribuye a la idea de que los ciberataques son males que solo atañen a grandes empresas y multinacionales y que las pymes no están en su radar, cuando no es así: el menudeo, es decir, el ataque a empresas pequeñas, es muy rentable y más sencillo. “Hay por delante mucho trabajo de formación, casi de evangelización, de predicar en el desierto, porque una y otra vez tenemos que repetir los mismos mensajes porque las empresas, las administraciones y los usuarios tienen que entender cuáles son los riesgos y qué deriva de cada una de las acciones que llevamos a cabo en entornos digitales”, comentó el representante de esta consultora.

Exponer a otras empresas

Respecto a esto, la experta de Nueva Pescanova reconoció que, en el contexto actual, para muchos pequeños empresarios –cerca del 97% de las empresas españolas son pymes de menos de 50 trabajadores– que luchan por mantener los puestos de trabajo la ciberseguridad puede ser la menor de sus preocupaciones. “Plantearte el reto de cómo abordar la ciberseguridad en estas empresas es ciencia ficción”, declaró Pérez y advirtió: una empresa expuesta a un ciberataque también puede poner en riesgo a otras con las que trabaje, aunque tengan una estrategia de seguridad sólida.

El represente de Gradiant también advirtió de que muchos ataques van dirigidos a usuarios digitales solo con el fin de convertirlos en colaboradores involuntarios dentro de una estafa o un fraude mayor. “Por eso es importante que avancemos de forma colaborativa. Cualquier miembro de nuestra sociedad que sea especialmente vulnerable porque no tiene en cuenta la seguridad hace que la general también disminuya”, dijo.

La industria tampoco se escapa a los ciberdelitos. En este sentido, Pérez aseguró que hay grandes profesionales en seguridad en el sector industrial y que lo único que necesitan es que se les forme para poder adaptarse al entorno, el digital. “El que no se digitalice se muere y esto implica nuevos riesgos, y, o los asumes, los evalúas y tomas medidas, o si no eres carne de cañón –advirtió–. Si una empresa dice que no necesita ciberseguridad, está abocada al desastre”.

Adaptación

Según Morillo, muchas empresas han postergado su adaptación su salto digital y se han encontrado con el cambio de modelo de repente. “Siempre se habla de cuarta revolución industrial. Sin embargo, hablar de una industria 4.0 en muchos casos es una quimera y es un sector que corre mucho riesgo”, afirmó el experto, que parafraseando a su colega Pérez añadió: “En muchos sectores, la ciberseguridad ni está ni se la espera”.

¿Es cara la ciberseguridad? Morillo aseguró que no si se tiene en cuenta el coste de un incidente. “Estamos viendo cómo se pagan rescates millonarios por recuperar el control de las instalaciones”, alertó.

En cuanto hacia donde deben de ir encaminados los pasos para conseguir un entorno digital más seguro, los especialistas coincidieron en que es vital potenciar el trabajo colaborativo entre los distintos agentes y apostar por la educación digital. “Las personas son el eslabón más débil de la cadena de ciberseguridad y tenemos que estar preparados para el grado de profesionalización de los ciberdelincuentes, que siempre van a intentar estar un paso por delante”, afirmó el representante de Inprosec.

Respecto a esto, Pérez apuntó que el 85% de los incidentes de seguridad tienen origen en personas. “Puedes poner toda la tecnología del mundo que al final es el usuario o la persona que gestiona algo la que acaba generando el problema. Siendo esto así es ilógico que en lo que menos inviertan las organizaciones sea en las personas”, afirmó Pérez, para quien todos y cada uno de los empleados forman parte de la ciberseguridad de la empresa y tienen responsabilidad en ella, ya que sus acciones pueden tener un impacto en la compañía. “Mientras no se interiorice este mensaje, iremos por detrás de los ciberdelincuentes”, advirtió.

LAS CIFRAS: en 2021, siete de cada diez empresas españolas fueron víctimas de un ataque de "ransomware" (secuestro de datos); los ciberataques aumentaron un 125% respecto a 2020

Ciberseguridad propia

Para el representante de Gradiant, es importante que el país avance en la creación de una industria de ciberseguridad propia, actualmente en manos estadounidenses e israelíes. “Es estratégico tener estas tecnologías a nuestra disposición; también por el mercado que supone la ciberseguridad, que es de unos 150.000 millones de euros y que se espera que crezca un 15% recurrente a lo largo de esta década”, dijo González.

En cuanto al grado de madurez de las empresas en materia de ciberseguridad, Herva aseguró que aún es pequeño, ya que todavía invierten poco en ciberseguridad, aunque expresó su confianza en que esta irá aumentando. “Aquí el trabajo colaborativo público-privado del nodo está comenzando a dar sus frutos”, manifestó.

“El nodo es una herramienta fundamental porque en ciberseguridad la colaboración entre los distintos agentes es primordial”, insistió por su parte el representante de Gradiant.

Más de cien denuncias cada día en Galicia

En este encuentro se recordó que cada día, en las comisarías y puestos de la Guardia Civil de Galicia hay más de un centenar de personas presentando denuncias relacionadas con la ciberseguridad, algunas por delitos muy graves, y estas son solo la punta del iceberg de un problema que va en aumento. En 2020, se produjeron algo más de 300.000 hechos conocidos de infracciones penales relacionadas con la cibercriminalidad. Los ciberdelitos representan ya el 16% de los delitos. Esto es, uno de cada seis delitos que se comente en España es un ciberdelito. El 90% de ellos, fraudes. Los expertos reconocen que resolver estos casos es complejo porque afectan más allá de nuestras fronteras. La educación se presenta como la herramienta más eficaz para protegerse.

El nodo, fundado en julio de 2020 y que aglutina a 45 entidades públicas y privadas, tiene entre sus objetivos la información y la concienciación de administraciones, empresas y particulares. Entre las acciones que preparase encuentra una actividad en colaboración con la TVG dirigida al usuario y una campaña en medios convencionales orientada a la ciudadanía y la empresa prevista para 2023.

Este año realizó casi una treintena de actividades de concienciación dirigidas a pymes de diferentes sectores, en las que colaboraron todos los agentes del nodo y en la que participaron unas 300 personas.