Adrián Lence, de la Amtega: «Cerca del 20 % de las empresas gallegas con diez o más empleados sufrieron algún incidente de ciberseguridad en el 2024»

CIBER.gal, el mayor encuentro sobre ciberseguridad de Galicia, regresará a Santiago de Compostela los días 5, 6 y 7 de noviembre. Organizado por la Axencia para a Modernización Tecnolóxica de Galicia (Amtega), su director del área de Infraestructuras y Seguridad, Adrián Lence, desgrana los retos en seguridad digital que aborda la sociedad actual. Quienes quieran acercarse a la Cidade da Cultura aún pueden inscribirse en la página web www.ciberseguridadegalicia.gal.

-¿En qué se centrará el CIBER.gal de este año?

-La temática es muy diversa, ya que contamos con hasta siete actividades en paralelo durante tres días. Me gustaría destacar en el programa la vinculación de la ciberseguridad con la inteligencia artificial y con los desafíos que presenta la revolución cuántica, además de las actividades en paralelo para todos los colectivos. Este año hemos incorporado una temática en la que desde la Administración estamos poniendo un especial empeño, por considerarla esencial: la de los espacios digitales libres de violencia de género. Creemos firmemente que es fundamental promover entornos digitales seguros, inclusivos y respetuosos para todas las personas. En el ámbito de la ciudadanía hemos tenido un gran éxito este año, agotándose hace más de una semana las cerca de 1.400 plazas presenciales ofertadas para la jornada destinadas a este colectivo. Aquí podremos disfrutar de la final del concurso de Ciberseguridade no cole, donde han participado más de 5.000 alumnos; también disfrutaremos de una representación teatral didáctica, de un stand y roadshow de Incibe; de una sesión específica para personas mayores, además de contar con hackers de reconocido prestigio que tratarán de atraer a los chavales al mundo de la ciberseguridad.

-¿Y para los profesionales qué tienen previsto?

-Desde la perspectiva más técnica, contaremos con talleres altamente especializados, competiciones para expertos y demostraciones con soluciones innovadoras. El programa principal estará centrado en tratar las novedades en el ámbito de la ciberseguridad para todos los colectivos, incluyendo un monólogo sobre estas temáticas para que todos los asistentes se diviertan durante el encuentro. En esta quinta edición del encuentro incrementamos un 30% los ponentes. Entre las novedades de esta edición, quiero destacar que en el programa principal participarán más mujeres que hombres. Se trata de un dato especialmente positivo, que refleja que este no es un sector exclusivamente masculino y que pone de manifiesto la creciente relevancia, el liderazgo y la aportación de las mujeres en el ámbito de la seguridad digital. Además, podremos visitar maquetas de ciberseguridad, así como exposiciones de soluciones en este ámbito, además de tener la oportunidad de contar de primera mano el proyecto de laboratorios y centros demostradores de ciberseguridad que pondremos en marcha en el nuevo Centro de Excelencia de Ciberseguridad de Galicia. Otro dato especialmente relevante y positivo es el incremento en el número de entidades que apoyan el Encontro CIBER.gal, reflejo de su compromiso con la ciberseguridad en Galicia. En esta edición contamos con cerca de 30 entidades patrocinadoras, lo que consolida una tendencia al alza respecto a años anteriores.

-¿Qué papel cree que desarrolla a día de hoy este encuentro?

-Es el evento anual de referencia en Galicia en materia de concienciación en ciberseguridad para todos los sectores: empresas, administración pública y ciudadanía. La colaboración público-privada generada a través del Nodo Galego de Ciberseguridade CIBER.gal ha logrado que Galicia sea una referencia nacional de primer nivel en lograr crear un ecosistema alrededor de la ciberseguridad encontrando sinergias entre todos los agentes. En este sentido, demuestra, año tras año, el crecimiento del interés en esta colaboración, que, sin duda, está dando sus frutos. Desempeña además un papel fundamental en la visibilización de la mujer en este sector, y a todos los niveles: desde el más técnico hasta el más directivo o político. Asimismo, contribuye a transmitir que la ciberseguridad no es solo una cuestión de perfiles tecnológicos, sino una responsabilidad compartida entre todos: ciudadanía, empresas y administraciones públicas, desde los más jóvenes hasta los más seniors. También pone en valor el sólido ecosistema de ciberseguridad existente en Galicia y actúa como espacio que facilita la creación de lazos y sinergias entre comunidades autónomas y empresas. Con miles de inscripciones, el encuentro se ha consolidado como el evento de referencia en ciberseguridad no solo en Galicia, sino también a nivel nacional, puesto que participan representantes de diversas comunidades autónomas y distintos ministerios, así como ponentes de empresas gallegas, nacionales e internacionales. Incluso este año contaremos con la participación de organismos europeos.

-¿Cómo ha evolucionado la ciberdelincuencia y la ciberseguridad en el último año? 

-Durante el primer semestre de este año se registraron en nuestra comunidad más de 13.000 infracciones penales cometidas en entornos digitales, lo que supone un incremento del 16 % en relación con el mismo período del año anterior. Estos datos reflejan una tendencia preocupante, que pone de manifiesto la necesidad de seguir incrementando los esfuerzos para combatir la ciberdelincuencia. Por otro lado, según datos del Observatorio da Sociedade da Información e a Modernización de Galicia (Osimga), en el 2024 cerca del 20 % de las empresas gallegas con diez o más empleados sufrieron algún incidente de ciberseguridad. Conviene señalar que estas cifras recogen únicamente los casos conocidos oficialmente, es decir, aquellos informados o manifestados por las víctimas. Sin embargo, el número real podría ser significativamente mayor, ya que muchas personas u organizaciones no llegan a comunicar los incidentes, o incluso pueden haber sido víctimas sin ser plenamente conscientes de ello. 

-¿Es cierto que el principal vector de peligro siguen siendo los usuarios? 

-Es correcto, el principal vector de riesgo sigue siendo, en gran medida, el factor humano. Por eso, la medida más efectiva que podemos adoptar es continuar impulsando la concienciación y la formación en ciberseguridad. De poco sirve invertir grandes recursos en tecnología si, al final, el usuario no dispone de la formación necesaria para identificar un intento de fraude, un correo de phishing o una página web falsa. Tampoco basta con contar con sistemas y herramientas seguras si las personas que los utilizan no saben hacerlo correctamente o no son conscientes de los riesgos asociados a determinadas acciones cotidianas, como compartir contraseñas, descargar archivos sin verificar su origen o no actualizar los dispositivos. En este sentido, la ciberseguridad debe entenderse como una responsabilidad compartida. No se trata solo de disponer de buenas infraestructuras o soluciones técnicas, sino de fomentar una cultura digital responsable que llegue a todos los niveles: desde el ámbito personal y educativo hasta el empresarial y la propia administración pública.

-¿Administraciones y empresas se toman en serio la ciberseguridad?

-Desde la Xunta de Galicia estamos haciendo un esfuerzo muy importante, incrementando el presupuesto y extendiendo nuestros servicios de ciberseguridad a las administraciones locales para ayudarles a fortalecer su protección frente a posibles ciberamenazas. Asimismo, es destacable el papel de la Xunta como impulsora y dinamizadora de múltiples iniciativas de concienciación y formación dirigidas tanto a la ciudadanía como al tejido empresarial. Precisamente porque el factor humano sigue siendo el elemento más vulnerable, consideramos fundamental acercar la ciberseguridad a las personas: desde los más pequeños hasta los más mayores, y también a los profesionales de las empresas, que al final son quienes, con sus buenas prácticas, contribuyen a una Galicia digital más segura. Por destacar alguna de estas iniciativas, desde el Nodo Galego de Ciberseguridade se han creado grupos de trabajo que desarrollan actividades de concienciación en estos colectivos. En cuanto a las empresas, se percibe una mejora gradual en su nivel de ciberseguridad, aunque aún queda mucho por hacer, especialmente en el ámbito de las pequeñas y medianas empresas. Por ejemplo, según informes de Osmiga, en el 2024 solo el 20,5 % de las empresas gallegas con diez o más empleados contaban con personal de perfil TIC que pudiera dedicarse específicamente a la ciberseguridad. Aunque esta cifra sitúa a Galicia cinco puntos por encima del promedio estatal, sigue siendo fundamental que las empresas, sus directivos y propietarios sean conscientes de que, si no se invierte ni en personal especializado ni en medidas de prevención adecuadas, existe una elevada probabilidad de convertirse en víctimas de ciberdelincuentes. Remarcar que, en este sentido, la administración autonómica ha lanzado programas de ayudas que habilita subvenciones para que las empresas gallegas adopten soluciones de seguridad de la información.

-¿Para una empresa, qué coste económico puede tener la ciberseguridad? ¿Cómo deben fortalecerse las más pequeñas?

-Depende del tamaño. Según el Informe de Ciberseguridad de Incibe 2024, el gasto medio anual de una pyme española en ciberseguridad se situó entre 6.000 y 18.000 euros. Sin embargo, no invertir puede salir muchísimo más caro, suponiendo una pérdida directa media para una pyme de entre 35.000 y 70.000 euros por incidente, además del impacto en el negocio (el 60 % de las pymes atacadas suspenden su actividad durante más de una semana) y en la reputación y pérdida de clientes (hasta un 30 % de las pymes pierden contratos o clientes tras un incidente grave). Las pymes deben enfocarse en tres frentes: prevención técnica básica (actualizaciones, backups, autenticación de doble factor); formación constante del personal; y aprovechamiento de ayudas públicas para reducir costes.

 -¿Cómo se puede concienciar a la sociedad de los riesgos que representan las nuevas tecnologías?

-Destacaría estas medidas: integrar la ciberseguridad en la educación: La Xunta de Galicia promueve múltiples actividades, como por ejemplo talleres prácticos acerca de la huella digital y de buenas prácticas en el uso seguro de las redes sociales, donde llevamos formados a más de 17.000 alumnos. También en este ámbito, y con el objetivo de apoyar al mercado laboral en la formación de profesionales capacitados para atender las necesidades de ciberseguridad de las empresas, desde la Xunta de Galicia se han puesto en marcha, durante el último curso académico, 14 másteres de Formación Profesional con un total de 340 plazas. Esta iniciativa forma parte de nuestro compromiso por integrar la ciberseguridad en la educación, asegurando que los futuros profesionales cuenten con los conocimientos y competencias necesarios para fortalecer la seguridad digital de las organizaciones. Formación continua en el trabajo: Desde la Xunta de Galicia disponemos de una importante oferta formativa de ciberseguridad, tanto para el personal de administraciones públicas, como para las empresas a través del CNTG. Campañas públicas de sensibilización: contamos con importantes campañas que llegan a millones de usuarios, a través de DigochoEu con CiberEsther, o mediante las redes sociales de la TVG. A finales de este año también tenemos previsto lanzar una campaña en los medios. Colaboración público-privada para implicar a empresas y administración: en este sentido, el Nodo Galego de Ciberseguridade, dinamizado desde Amtega, juega un rol muy relevante en esta coordinación entre todos los agentes. Asimismo, de manera transversal y de interés para toda la sociedad gallega, desde la Amtega hemos creado un espacio accesible y unificado, destinado a mantener a la ciudadanía informada sobre las últimas estafas y alertas de ciberseguridad. Además, cuenta con vídeos de fácil comprensión para mostrar buenas prácticas digitales que cualquiera puede aplicar en su día a día. Este espacio es ciberseguridadegalicia.gal, y animo a todos a visitarlo. 

-¿En qué situación se encuentra Galicia en términos de exposición a riesgos y seguridad? 

- En términos de exposición a riesgos, según recientes encuestas del INE sobre el uso de las TIC en los hogares gallegos, el 86,9 % de la población utiliza internet de manera diaria, y más del 70 % ha realizado compras a través del comercio electrónico. Por otro lado, la creciente digitalización de servicios implica que tanto empresas como administraciones disponen cada vez de más tecnologías y de un mayor número de procesos en entornos digitales. Por ello, podemos concluir que la sociedad gallega en su conjunto está cada vez más expuesta a riesgos cibernéticos: a mayor uso de servicios digitales, mayor es la probabilidad de enfrentarse a incidentes de seguridad. Como consecuencia de esta alta exposición al riesgo, y del crecimiento de la ciberdelincuencia de forma significativa en los últimos años, la ciberseguridad también está recibiendo más inversión y atención tanto por parte de las empresas como de la administración y la sociedad en general. No obstante, como señalábamos anteriormente, todavía queda camino por recorrer para consolidar plenamente un entorno digital seguro y resiliente para todos los ciudadanos y organizaciones gallegas.

-Los agentes especializados siguen afirmando que la población sigue cayendo en las estafas más comunes, como el hijo en apuros. ¿A qué lo achaca y cómo se puede remediar? 

-La persistencia del éxito de estas estafas no se debe solamente a ignorancia, sino a mecanismos emocionales universales: miedo, urgencia, cariño y confianza. Por eso la solución no es solo técnica, sino educativa, emocional y comunitaria. Debemos enseñar a reconocer y frenar la urgencia emocional antes de actuar, promoviendo hábitos simples, como verificar por otra vía (llamar directamente al hijo, al banco o a la empresa). Algunas estrategias prácticas de prevención podrían ser: desconfiar de mensajes con urgencia o carga emocional; no enviar dinero ni datos sin confirmar por llamada directa; revisar la dirección o número de contacto (dominios falsos, remitentes extraños).