Ciberseguridad: cuando el gasto en prevención es más que rentable

Gladys Vázquez REDACCIÓN / LA VOZ

MERCADOS

Juan Salgado

Los expertos detectan falta de formación y conciencia en las empresas a la hora de proteger su sistema y sus datos; un ciberataque puede tener como resultado pérdidas millonarias

16 ene 2020 . Actualizado a las 12:59 h.

Si una empresa tuviese que responder hace una década con una lista de sus principales preocupaciones, pocas incluirían la ciberseguridad. Muchas no lo hacen ni hoy en día. Es la situación que tienen testada los expertos en la materia. Falta mucha concienciación en las compañías sobre los riesgos que están corriendo al no proteger su red, sus sistemas financieros o los datos que manejan. Es decir, su todo. Porque hoy en día todo, absolutamente todo, pasa por la red. «En algunas empresas, sobre todo en las pequeñas, se parte de cero». Así resume la analista forense y perito judicial informático Pilar Vila los casos que trata a diario. Entre ellos, pone como ejemplo gestorías o despachos de abogados que no tienen copias de seguridad en condiciones. «Conozco empresas que han cifrado sus datos dos o tres veces y siguen igual. Puede ser por falta de medios, pero la otra parte es mentalidad».

Los expertos consultados coinciden: las pequeñas compañías son las más vulnerables. «La pyme vive el día a día. Los recursos son más limitados y no dan importancia a estas cosas. Las empresas no se imaginan qué les puede pasar. La ciberseguridad no se ve a corto plazo como una inversión», explica Pilar Vila. «Las pymes y empresas nacionales no parecen haberse dado cuenta de los riesgos. No suele entrar en sus presupuestos la inversión necesaria en ciberseguridad», explican desde Ancite, la Asociación Nacional de Ciberseguridad y Pericia Tecnológica.

Los datos y los casos más conocidos de los últimos años les dan la razón. Según Incibe, el Instituto Nacional de Ciberseguridad, solo en el 2017 se registraron en España más de 120.000 incidentes de seguridad. Incidentes, que no ciberdelitos. Del total, 116.000 estuvieron relacionados con ciudadanos y empresas. Son solo los que han llegado a su conocimiento. Tres años antes, en el 2014, registraban unos 14.000. Un crecimiento de la incidencia enorme. El ataque más habitual tiene que ver con virus, troyanos o spyware. Más de 80.000 solo el ejercicio pasado.

Los escándalos han sido innumerables, pero WannaCry marcó en mayo del 2017 un antes y un después. Este ransomware cifraba el contenido de los ordenadores para pedir después un rescate. Dejó a las empresas bloqueadas. Atacó a 200.000. Telefónica o el servicio de salud británico fueron solo dos de sus víctimas. «Muchas empresas se concienciaron de los riesgos que existen y tomaron medidas», dice José Manuel Vázquez-Naya, ingeniero informático y docente del Máster Interuniversitario en Ciberseguridad (MUniCS). Desde luego, en Tarlogic lo han percibido. «WannaCry fue determinante, pero aún queda mucho trabajo. Hace solo unos días, la cadena de hoteles Marriott sufrió una brecha que afecta a 500 millones de clientes. Sin duda, el daño reputacional es uno de los mayores para una empresa. La normativa europea obliga a las empresas a notificar estos incidentes. Más aún, si afectan a datos personales», dice Andrés Tarascó, CEO de la firma gallega de ciberseguridad. «Con la entrada en vigor del Reglamento General de Protección de Datos el pasado mayo, algunas compañías se han dado cuenta de las posibles sanciones económicas», dicen los responsables de Ancite. «Muy pocas empresas cumplen el RGPD, ni aquí ni en ningún país europeo. Las noticias que trascienden hacen creer que solo las empresas grandes están afectadas, pero todas lo están», dicen los coordinadores del MUniCS, Carlos Dafonte y Francisco J. Nóvoa.

Sony fue en su día una de las atacadas. En concreto, su sección audiovisual. Tuvo que detener incluso sus producciones. Igualmente conocido fue el escándalo Ashley Madison. La web de citas tuvo que pagar en 2016 más de 1,5 millones de dólares a la Comisión Federal de Comercio de Estados Unidos por el robo de los datos de 36 millones de usuarios en 46 países de todo el mundo.

Luis Jurado, abogado especialista en la materia, se encarga de encontrar soluciones a los ciberdelitos en los tribunales. «Detrás de la inmensa mayoría del malware están expertos cibercriminales, que a su vez alquilan sus servicios a distintas personas u organizaciones. También hay cibercriminales con métodos rudimentarios que consiguen éxitos». Y no solo esto, que suena a ficción de la gran pantalla: el «enemigo» está en casa.

«El principal punto débil siempre está en los empleados: por usar contraseñas débiles, por compartir información sensible, por reutilizar contraseñas de la empresa con servicios ajenos a la compañía o por no darle importancia a acciones que realizan en Internet o con su email», enumera Tarascó. «Hay que tener un mínimo de control, saber lo que pasa por dentro. Los que atacan no solo están fuera », sigue Pilar Vila. Y no solo eso: Ancite apunta a que la seguridad «tiene que estar bien documentada. El trabajador tiene que conocer las reglas. Incumplir la política de seguridad puede acarrear sanciones o ser motivo de despido procedente».

El campo es tan amplio que faltan profesionales. Vázquez-Naya, docente del MUniCS, explica que el escenario de paro es igual a cero. «Los que se forman necesitan una base sólida de conocimientos sobre ingeniería informática, pero también capacidad de adaptación y autoaprendizaje. Todas las empresas necesitarán profesionales de ciberseguridad. En Galicia hay demanda, pero fuera más. Hay más mercado. Además, su capacidad no siempre está correspondida con los salarios que se ofrecen en España. Esto hace que la gente se acabe yendo fuera: pueden desarrollar su carrera y reciben un buen sueldo», explica el docente.

LA ÚLTIMA POLÉMICA

Nadie duda del valor de los datos, pero hay polémicos usos que los devuelven a los titulares. El pasado noviembre, el Senado aprobaba la nueva Ley Orgánica de Protección de Datos (LODP). Una normativa en la que hay un punto importante. Los partidos políticos pueden enviar a los ciudadanos propaganda electoral sin autorización a través de dispositivos electrónicos o el correo electrónico. Es decir, pueden acceder a datos públicos. La Agencia Española de Protección de Datos reaccionó de inmediato: mantienen que podrán hacerlo, pero «no de forma personalizada, ni creando perfiles con datos ideológicos, religiosos o de otros tipo». Los analistas sostienen que proteger toda esta valiosa información será un reto pero, sobre todo, una obligación para evitar desmanes.