«La identidad es el activo más importante a proteger por parte de empresas y particulares»

«Las cifras que mueve el cibercrimen son preocupantes. Debemos de tener en cuenta que, si hablamos en términos de PIB, el cibercrimen asciende al 1,5% del PIB mundial, es decir, sería la tercera potencia más importante del mundo. Actualmente, los ciberdelincuentes ya no son jóvenes que intentar acceder a archivos de organizaciones o burlar la seguridad de empresas o Estados, esta delincuencia digital es una industria bien organizada y, además, utiliza la última tecnología para ser más eficiente», señaló Manel García, responsable Comercial de la Zona Noreste en SIA, an Indra Company, al inicio de la mesa de expertos sobre ciberseguridad que organizó LAS PROVINCIAS. En el debate también estuvieron presentes: Germán Sánchez, consultor de ciberseguridad en Inforges; Daniel Rodríguez, director de Operaciones en Edgewatch; Santiago Escobar, director de la Cátedra de Ciberseguridad INCIBE-UPV; Carlos Estrela, director de Leader Redes y Comunicaciones; Marcelino García, consultor comercial en ciberseguridad de Sothis by Nunsys Group; y Benito Hernándiz, director general de Neotic.

Durante el encuentro, los ponentes hablaron sobre la situación actual de la ciberseguridad en España y en la Comunitat Valenciana, el uso de la Inteligencia Artificial tanto en los ataques que sufren las compañías y particulares como para la defensa de las mismas, así como la ciberseguridad de la IoT en la industria, la Directiva NIS2, la concienciación y la formación en este aspecto, la falta de profesionales en el sector o la importancia de asegurar la cadena de suministro.

La tecnología ha facilitado la vida tanto laboral como personal, pero también ha traído consigo una serie de riesgos que la sociedad todavía no tiene interiorizados. Estamos hablando del secuestro de datos, del robo de identidad, de la sustracción de documentos, de claves o contraseñas, incluso de estafas económicas... En definitiva, de diferentes tipologías de crímenes. Y es que los ciberataques se han convertido en uno de los mayores problemas de esta era tecnológica. De hecho, según datos de las Fuerzas y Cuerpos de Seguridad del Estado, si comparamos enero y febrero del 2024 con los dos primeros meses del año anterior, el cibercrimen ha aumentado en un 13,5%.

No obstante, del mismo modo que no se dejan las llaves de la casa puestas o la puerta abierta, las empresas y la sociedad en general puede y debe tomar precauciones para evitar estos delitos. Los ponentes señalaron que se ha avanzado mucho a lo largo de estos años en ciberseguridad, que cada vez se está más concienciado, aunque todavía queda mucho camino por recorrer y añadieron que los criminales van siempre por delante y, por ello, hay que invertir más en este sentido.

De hecho, según el reporte de Hiscox, se estima que, a lo largo del año pasado, la mitad de las empresas españolas sufrió algún tipo de ciberataque. Este mismo informe destacó el exponencial crecimiento de los ciberataques a pymes. Lo que convierte a este dato en preocupante, puesto que en España el tejido industrial está compuesto en un 98% por pymes, lo que hace que se encuentre en el punto de mira de los ciberdelincuentes. Además, debido a su tamaño y facturación, las pymes son las que menor cantidad de su presupuesto dedican a estos menesteres.

No obstante, «la ciberseguridad debe entenderse como una inversión y no como un gasto por parte de los empresarios», estuvieron todos los ponentes de acuerdo en señalar, a la vez que Santiago Escobar explicaba que «actualmente, se están implantando una serie de normas que las empresas van a tener que cumplir, por lo que ya no es solo una cuestión de concienciación, ya que si no se cumple y la entidad sufre un ataque van a tener que asumir su responsabilidad».

A lo dicho, Carlos Estrela apuntó que «en muchas ocasiones las compañías no se dan cuenta de que han sido vulneradas, han sufrido un ataque o de que les han robado información. Solo cuando repercute en la fabricación, los balances no cuadran, o se hace público el espionaje industrial es cuando los ataques se hacen evidentes» y añadió que a todo esto se suma que «muchas veces las empresas no cuentan que han sufrido ataques por lo que, esa falta de información, también hace vulnerables a otras empresas del mismo sector, incluso de otros».

Los ponentes señalaron que compartir la información es fundamental para poder protegerse, ya que si se sabe qué método se está usando o las vías a través de las que están atacando, se puede tomar medidas para frenar nuevos ataques.

Al hilo de esto, Santiago Escobar explicó que «es cierto que puedes no enterarte nunca de que has sufrido un ataque, puesto que los ciberdelincuentes pueden tener como objetivo atacarte para llegar a otras empresas o bien por espionaje industrial. De hecho, muchos ataques se producen a través de proveedores o la cadena de suministro». A lo que Germán Sánchez sumó que «la ciberseguridad no es solo una cuestión técnica, sino una cuestión de negocio. Incluir a los proveedores dentro del plan de ciberseguridad, ayuda a las organizaciones a evitar paradas de las infraestructuras críticas, así como evitar poner en riesgo al negocio, tanto al propio como al de un tercero y evitar sanciones por incumplimientos de plazos, etcétera». De hecho, Daniel Rodríguez apuntó que «de poco sirve incrementar el presupuesto para proteger los datos cuando pueden estar expuestos vectores de subcontratistas, directivos, teletrabajo, etcétera. Este es el paso número uno para la seguridad de la organización. Controlar que se sabe de nosotros y para ello debemos realizar análisis periódicos, por no decir diarios».

Los ponentes señalaron a lo largo del encuentro diferentes formas de proteger las empresas, pero todos apuntaron que se debe comenzar con una fotografía completa de lo que se tiene y lo que se necesita. «Lo primero que cualquier compañía debe plantearse en materia de ciberseguridad es disponer de un plan director de seguridad o realizar alguna auditoría para conocer sus riesgos y establecer las medidas a aplicar para mitigar esos riesgos. En este análisis de riesgos se debe tener en cuenta el 'apetito de riesgo' y centrar la aplicación de medidas de protección a los activos más críticos, adecuando así el presupuesto de ciberseguridad. Es muy importante, aparte de desplegar de medidas de protección y prevención, disponer de un Plan de Continuidad de Negocio que contenga la recuperación ante desastres aplicada a todos los entornos de la compañía», explicó Marcelino García, experto en ciberseguridad de Sothis by Nunsys Group, y señaló que «es una cuestión de inversión e implicación de la Dirección. Hay que balancear la inversión entre medidas de protección y medidas de recuperación ante desastres, porque estamos expuestos a un ataque en cualquier momento».

No obstante, por todos es sabido las complicaciones que ciertas industrias tienen para implantar o actualizar sus sistemas de seguridad, debido a que no es posible realizar paradas en la producción. «Por todos es sabido que el caso más problemático son las empresas que necesitan producir 24/7, pero en este caso es importante aplicar el sentido común y realizar acciones como, por ejemplo, una segmentación de la red y que un posible ataque no paralice toda la empresa, sino la parte atacada», señaló Carlos Estrela. A lo que Germán Sánchez añadió que «los empleados también deben utilizar el sentido común a la hora de poner en entredicho correos u órdenes que se salen de la norma. Es importante que los departamentos de seguridad realicen análisis de comportamiento de usuario para aprender a protegerse».

En la mesa se apuntó que existe una falsa sensación de seguridad en la sociedad, sobre todo en los más jóvenes que por el hecho de ser nativos digitales entienden que saben protegerse de estos ataques. «Tenemos una falta de percepción del riesgo real y esto debe solucionarse con formación», señaló Daniel Rodríguez, mientras que Manel García añadió que «venimos de unas generaciones en las que la mayor preocupación era evitar conectarse a ciertas páginas web o redes, ahora es mucho más complejo por lo que, como decían mis compañeros, la formación es clave. Estamos acostumbrados a utilizar los dispositivos electrónicos para todo y con ello se proporciona una gran cantidad de información que puede ser utilizada para los ciberataques». A lo dicho, el responsable comercial de la Zona Noreste en SIA, an Indra Company sumó que «esta complejidad hace que sea complicado tapar todas las vías de agua».

Lo cierto es que «actualmente se está formado de forma reactiva. Es tal la complejidad tecnológica actual que, a pesar de que haya más concienciación, es insuficiente. Esto se debería enseñar desde niños, desde pequeños, saber qué riesgos implica aceptar las normas de uso de las aplicaciones, qué hacen con nuestros datos, etcétera. Solo de esta forma, llegaremos a saber utilizar correctamente y de forma segura la tecnología», señaló Benito Hernándiz.

Hablando de formación, el director de Learder Redes y Comunicaciones expresó que «además de este punto también hace falta mucha experiencia para salir airoso de una situación crítica, ya que se deben tomar decisiones de las que pueden depender la continuidad de la empresa».

A todo lo dicho, los ponentes hicieron hincapié en la necesidad de que la dirección de las empresas se crean la importancia de la ciberseguridad, apuesten por ello y formen a sus empleados para que no comentan errores que puedan abrir brechas de seguridad. De hecho, muchas compañías hoy en día ponen a prueba a sus empleados con phishing (mensaje de correo electrónico que parece fiable) y a aquellos que 'pican' les ofrecen píldoras formativas o cursos de reciclaje. «La mayoría de vectores de ataque son las personas, debemos formarlas, que exista formación continua, controlar los vectores de exposición al exterior y que protegerlos», expuso Marcelino García.

Uno de los puntos que se trató más profundamente en el debate fue el uso de la Inteligencia Artificial. Según las previsiones, el empleo generalizado de la IA ascenderá a más de 300 millones de usuarios este año y a unos 700 millones en 2030. Estas cifras reflejan la revolución que esta tecnología supone, pero también muestra el crecimiento de los riesgos a los que estamos expuestos en materia de seguridad. Entre las principales preocupaciones se encuentran el deepfakes (archivos de vídeo, imagen o voz manipulados mediante un software de inteligencia artificial de modo que parezcan originales, auténticos y reales) y la clonación de voz.

Los ponentes señalaron que los ciberdelincuentes van muy por delante en el uso de la IA para sus propósitos. Tal y como aportó Benito Hernándiz «se habla de sistemas para identificarse, como por ejemplo la verificación en dos pasos, pero es que son completamente necesarios porque con la IA te pueden falsificar la imagen, clonar la voz. Esto de la identificación nos puede volver un poco paranoicos, pero no va a existir otra forma de protegerse». A lo que Manel García añadió que «la identidad es lo que mejor hay que proteger, es el activo más importante para las empresas y los particulares. En los intercambios debe haber confianza. Nos encaminamos a una sociedad en la que vamos a tener que plantearnos si es necesario renunciar a parte de la privacidad a cambio de seguridad».

De hecho, según explicó Daniel Rodríguez, «ya se están buscando formas de seguir la trazabilidad de la identidad, pero de nada sirve si a través de WhatsApp mandas el DNI o el certificado digital por correo electrónico. Esa es tu huella digital, aquello que te identifica en el mundo virtual y si se lo mandas al asesor, cualquier puede suplantarte».

Los siete expertos reunidos señalaron la falta de profesionales en el sector de la ciberseguridad y aseguraron que es una profesión con mucho futuro. «El mercado ha crecido mucho y no hay profesionales que puedan cubrir toda la demanda. Es posible que la culpa sea nuestra por no haber hecho atractivo este trabajo. Por ello es importante que logremos que todos los estratos de la sociedad apueste por la ciberseguridad y se preocupe de ello», explicó Manel García.

En la mesa también se expuso la necesidad de la colaboración público-privada con el fin de poder compartir toda la información y hacerse fuerte frente al agresor. «Contamos con el Incibe, Instituto Nacional de Ciberseguridad, de servicios y ya se habla de como hacerlo en el ámbito europeo. Las empresas deben nutrir a estas redes con información sobre avances o ataques, de esta forma el tejido empresarial puede protegerse mejor», apuntó Escobar, mientras que Germán Sánchez añadió que «la ciberinteligencia es un aliado esencial para los SOC (Centro de Operaciones de Ciberseguridad, ya que intercambian información tales como indicadores de compromiso (IOC) y otra información relevante la cual se hace que la respuesta a incidentes sea mucho más rápida».

Respecto a la nueva normativa de ciberseguridad, los ponentes señalaron que «implica ir un paso más allá» y no solo hacer actualizar los sistemas de seguridad y hacer balance de cara a las auditorias, sino que habrá que hacerlo de forma continuada, ya que la nueva directiva va a exigir unos mecanismos de protección mínimos. La nueva normativa persigue reforzar los mecanismos de prevención, detección, respuesta y recuperación ante los incidentes de ciberseguridad, coordinando a los diferentes actores implicados; regular el uso de proveedores de riesgo; aprovechar los fondos europeos del Plan de Recuperación para mejorar la formación de especialistas en ciberseguridad y fomentar la innovación en este ámbito. «Por lo que supone una gran oportunidad», concluyeron.

Temas

• Las Provincias
• Ciberseguridad