Podría parecer que la ciberseguridad es una realidad remota, un asunto que solo atañe a expertos informáticos y grandes multinacionales. Y no es así. En un mundo plenamente digitalizado, cualquier persona con un teléfono móvil y cualquier compañía del tamaño y sector que sea están expuestas a las incursiones de los delincuentes cibernéticos, siempre en busca de los datos más privados y preciados para venderlos en el mercado negro de la información o para cometer chantajes y estafas. Por este motivo, contar con sólidos sistemas de ciberseguridad es ya una "necesidad vital" y una "herramienta imprescindible" para cualquier pequeña y mediana empresa (pyme) de Asturias. Es la principal conclusión del desayuno empresarial "Asturias ante el desafío de la ciberseguridad", organizado por el Centro Tecnológico de la Información y la Comunicación (CTIC) y LA NUEVA ESPAÑA.

El encuentro contó con algunas de las voces más autorizadas de este ámbito en la región: Pablo Coca, director general de CTIC; Eva Castaño, directora de planificación y desarrollo corporativo de CTIC; Juan Acuña, director de Telecable y MasOrange en Asturias; Miguel Ángel Lubián, director general de la empresa tecnológica CIES-Grupo Seresco; Gaizka Martínez, consultor de desarrollo de negocio de la tecnológica Satec, y Enrique Jáimez, director general del Clúster TIC, que aglutina a las compañías asturianas del sector. La mesa fue moderada por María José Iglesias, periodista de LA NUEVA ESPAÑA.

Juan Acuña, director de Telecable y Masorange Asturias: "No se debe iniciar ningún proyecto que no incorpore desde el principio la ciberseguridad" / .

"¿La ciberseguridad debería ser solo un asunto de técnicos? Me respondo yo mismo: por supuesto que no". Con esa pregunta retórica, Juan Acuña ilustró la que, a su juicio, es una necesidad imperativa no solo ya del tejido empresarial asturiano y español, sino del conjunto de la sociedad. "Vivimos en un mundo digital y la ciberseguridad tiene que ser la base en nuestros hogares, en la administración pública, en las empresas...", afirmó el directivo de Telecable. "Necesitamos democratizar la ciberseguridad y todos tienen que implicarse: grandes empresas, pymes, fuerzas de seguridad del Estado... todos tenemos que compartir las amenazas y las soluciones", ahondó. Para ello, según Acuña, "es necesario un buen ecosistema digital, y Asturias tiene muchas posibilidades para que exista: tenemos empresas muy especializadas, el Clúster TIC, el CTIC...".

El director de este último, Pablo Coca, destacó tres tendencias que en este momento confluyen y tienen una incidencia directa en la ciberseguridad: la inteligencia artificial (IA), la criptografía y la identidad digital. Todas ellas son armas de doble filo, ya que "ofrecen nuevas posibilidades de protección" a las empresas, pero también, como se repitió varias veces durante el coloquio, son empleadas por "los malos", esto es, grupos organizados de ciberdelincuentes.

Respecto a la primera tendencia, Coca afirmó que "la IA permite identificar ciberataques de forma mucho más eficiente, pero también tiene un uso indebido para el que quiere atacar, sobre todo la IA generativa, que es capaz de suplantar el comportamiento humano". A este respecto, Coca señaló que el CTIC acaba de desarrollar un proyecto asistido con computación cuántica para detectar firmas falsificadas mediante IA generativa.

Enrique Jáimez, director del Clúster TIC: "El factor humano es el eslabón más débil, cada innovación debe traer consigo una continua concienciación" / .

La segunda corriente es la criptografía, que Coca definió como "la base de las transacciones digitales", y detalló que en este momento una tendencia al alza es la criptografía poscuántica: "¿Qué pasará cuando esos ordenadores cuánticos, que ahora están en desarrollo, sean capaces de descifrar las claves criptográficas actuales?".

El tercer concepto en auge es el de identidad digital, que el experto definió así: "Ya no se trata solo de la información que tienes en la empresa, sino que la información fluye en espacios compartidos. Cuando transmitimos un dato, tenemos que tener la seguridad de que lo está transmitiendo quien dice ser".

El timo de la estampita

Respecto a la identidad digital, Miguel Ángel Lubián, de CIES-Seresco, aseguró que "es el nuevo perímetro de seguridad" en el ciberespacio. "El perímetro tradicional era el ‘firewall’, el cortafuegos, pero ahora la clave es: ¿el usuario es realmente él?", explicó. "En este momento, el que está al otro lado del teclado se identifica como tal, con su nombre de usuario y la contraseña, pero lo ideal sería saber quién está al otro lado por el análisis de su comportamiento. Cuando yo no haga siempre lo mismo frente al ordenador, el sistema debería detectar que quizá no soy yo", ilustró.

Eva Castaño, directora planificación CTIC: "Las empresas no deben solo protegerse de los ‘malos’, sino garantizar que el negocio continúe" / .

Para Lubián, los peligros que traen las innovaciones digitales no dejan de ser "el timo de la estampita llevado a un contexto tecnológico". Con el objetivo de que las empresas se protejan, el empresario recomendó situar la ciberseguridad "en lo más alto" de la jerarquía: "Si la organización impulsa la ciberseguridad en los consejos de administración, todo será mucho más fácil". Por ello, el empresario reivindicó la figura del CISO (siglas en inglés de Director de Seguridad de la Información), "que es igual que el CEO, pero con otra función", en concreto la de "tener la capacidad de introducir la seguridad en la compañía sin olvidarse de que las empresas tienen que generar negocio".

Todas estas innovaciones y estrategias acaban confluyendo en un pequeño objeto físico que ya nos acompaña día y noche: el teléfono móvil. "Hay que concienciar a la gente de que en el móvil no solo tenemos información de trabajo, sino de bancos, contraseñas metidas en aplicaciones a las que es muy fácil acceder...", advirtió Gaizka Martínez, de Satec, que en este sentido recordó que "el factor humano es fundamental", ya que "es fácil convencer a mucha gente para que pinche en un enlace fraudulento".

A este respecto, Enrique Jáimez, director del Clúster TIC, coincidió en que el factor humano "sigue siendo el eslabón más débil" de los nuevos usos digitales: "La mayoría de los incidentes graves empiezan por un clic en un correo que no se debía abrir, una contraseña reutilizada o una configuración incorrecta...". "Por eso insistimos tanto en que la ciberseguridad no es solo tecnología, es comportamiento. Si no acompañamos cada inversión tecnológica con formación y concienciación continuas, el retorno será muy limitado", ahondó Jáimez.

PABLO COCA, director general de CTIC: "Tendencias como la criptografía o la IA traen amenazas, pero también nuevas herramientas de protección" / .

Esa concienciación no atañe únicamente al usuario en general, sino a las plantillas de las empresas. "La ciberseguridad no es solo protegerse de los malos, sino también asegurar la continuidad del negocio", subrayó Eva Castaño, directora de planificación de CTIC, que citó como ejemplo un ataque que paralice una planta industrial (como el que recientemente bloqueó durante un mes las tres fábricas de Jaguar Land Rover en Reino Unido). "La prevención empieza por las propias personas, porque el mayor riesgo en cualquier sistema no es el sistema en sí, sino las personas que lo conforman y que introducen las vulnerabilidades", advirtió Castaño, que llamó a poner remedio mediante "la formación de los trabajadores, algo fundamental en cualquier plan de continuidad del negocio".

Según Pablo Coca, la tendencia detectada en los últimos dos años es que "las empresas atacadas son cada vez de un tamaño medio más pequeño". Gaizka Martínez se mostró de acuerdo en que las pymes son especialmente proclives a padecer este tipo de incursiones, y por ello se debe concienciar a las direcciones de las propias compañías: "Muchas creen que no es un problema, no quieren invertir en ello, y no caen en la importancia de la ciberseguridad hasta que reciben el primer ataque".

Gaizka Martínez, consultor de Satec: "Muchas pymes no creen que la ciberseguridad sea un problema hasta que reciben el primer ataque" / .

En estos casos, apuntó Jáimez, "lamentablemente muchas empresas solo reaccionan cuando el legislador impone su normativa, del mismo modo que cuando comenzó la ley de protección de riesgos laborales, quien no se pusiera un casco en la obra recibía una sanción". Por lo tanto, a su juicio "la regulación ayuda, y ayuda mucho, aunque sea mediante el método del palo y la zanahoria", si bien, en el caso del sector digital, las normas "aún no han penetrado del todo en las estructuras".

Juan Acuña lo ve así: "Las grandes empresas están obligadas a seguir las normas, y la pyme normalmente la adopta cuando se lo exige la gran empresa que la contrata". Por ello, el director de Telecable remarcó que "la ciberseguridad que no se entiende no se aplica, por lo que tenemos que ser capaces de explicársela a la pyme y al pequeño negocio". "No puedes iniciar ningún proyecto en ningún ámbito que no incorpore desde el inicio la ciberseguridad", advirtió.

Además de esa falta cultura digital tanto corporativa como a nivel de usuario –sobre todo en la población de más edad, menos experta a la hora de identificar trampas o fraudes–, Enrique Jáimez advirtió de que, en el caso concreto de Asturias, "falta presupuesto y falta personal especializado". "La demanda de perfiles de ciberseguridad crece mucho más rápido que la oferta, y esto afecta tanto a empresas como a administraciones. Para abordarlo, necesitamos actuar en varios niveles: más formación específica en FP y universidad, reciclaje de profesionales TIC hacia ciberseguridad, programas de atracción de talento y, muy importante, retener el talento que ya tenemos ofreciéndole carreras profesionales atractivas aquí, sin que tenga que irse fuera", enumeró.

Miguel Ángel Lubián, director de Cies (Seresco): "Lo ideal sería que el ordenador o el teléfono móvil nos identificase por nuestra conducta, no por contraseñas" / .

Oportunidades para Asturias

Una de las grandes metas que los ponentes de la mesa se marcaron como prioritaria es la creación de un sólido ecosistema digital en Asturias, es decir, una interrelación fluida entre empresas, administraciones públicas, centros formativos y organizaciones para fomentar esa cultura de prevención que necesita la sociedad y, también, las oportunidades de negocio que traen las innovaciones tecnológicas.

En ese sentido, Pablo Coca destacó que "en comparación con otras comunidades autónomas, tenemos unas condiciones que no existen en otros lugares, lo cual es una ventaja competitiva si la sabemos aprovechar". Un factor favorable, a su juicio, es el pequeño tamaño de la región y la cercanía física entre los actores implicados, ya que "permite que nos organicemos de forma muy rápida". "Tenemos un Clúster que concentra a todos los proveedores, grandes empresas que son referentes a nivel nacional e incluso internacional, una buena universidad y, barriendo para casa, un centro tecnológico como el CTIC, que no existe en todas las comunidades", remarcó Coca.

Eva Castaño apostilló que el ecosistema digital asturiano "está muy vertebrado, organizado y donde los agentes están dispuestos a cooperar".