La ciberseguridad es uno de los grandes retos a los que empresas y usuarios debemos prestar cada vez más atención a día de hoy, convirtiéndose en una prioridad responder a este desafío a la capacidad competitiva e innovadora de la industria y a la amenaza de los derechos de los ciudadanos. Javier Diéguez, director de Basque Cybersecurity Centre (BCSC), advierte que del mismo modo que "todos los coches llevan cinturones de seguridad de serie, todas las organizaciones deberían tomarse muy en serio la ciberseguridad", puesto que "no implantar medidas de protección también tiene un coste porque nos expone a una mayor probabilidad de sufrir un ciberataque con impacto en el negocio". Desde INCIBE y centros regionales como éste, que abrió sus puertas en 2017, trabajan para desarrollar la cultura de la ciberseguridad, dinamizar la actividad económica con la aplicación de protocolos de seguridad y fortalecer el sector profesional en este ámbito.
-¿Por qué es tan importante protegernos ante posibles ciberataques?
-La razón principal es que por el simple hecho de tener una conexión a Internet, cualquier persona física u organización se convierte en un potencial objetivo. Se trata de una amenaza a los derechos individuales y la propiedad en el caso de las personas, a la competitividad en el caso de las empresas y a la reputación y confiabilidad en el caso de las instituciones públicas. Lo que se debe trabajar es en minimizar ese riesgo lo máximo posible, para mantenerlo en unos umbrales aceptables.
-¿Quiénes son más vulnerables?
-Los cibercriminales atacan generalmente de manera masiva e indiscriminada, intentando obtener el mayor beneficio económico con el menor riesgo posible. Esto hace que busquen preferiblemente aquellos objetivos con menores medidas de ciberseguridad, por lo que cualquier ciudadano y cualquier empresa está en riesgo de sufrir un ciberataque en todas sus vertientes: ciberestafas, ciberextorsiones, suplantación de identidad, secuestro de información, etc. Nadie está libre de ser un objetivo.
-¿Cuántos ataques se producen cada día en España?
-Estimar el número de ataques es una tarea sumamente complicada, ya que depende en gran medida de las capacidades de detección y del muestreo utilizado. Todavía no se ha hecho pública la correspondiente a 2018, pero en 2017, INCIBE-CERT gestionó 123.000 incidentes de ciberseguridad, lo que supone una media de 336 al día. Posiblemente este dato sólo sea la punta del iceberg, ya que no todo el mundo reporta sus incidentes de seguridad y no todo el mundo reporta a INCIBE-CERT.
Hay otras organizaciones públicas que gestionamos incidentes de ciberseguridad, como por ejemplo el CCN-CERT a nivel nacional, o a nivel regional el CESICAT (Cataluña), CSIRTCV (Comunidad Valenciana), Andalucía CERT (Andalucía), CSIRT.gal (Galicia) o el BCSC (Euskadi). Y a esto hay añadirle todos los gestionados por los proveedores de servicios de ciberseguridad.
El CSBC es una de las organizaciones públicas regionales que trabajan en el ámbito de la ciberseguridad.SPRI
-En los últimos años hemos visto caer grandes empresas, organizaciones o incluso partidos políticos, pero ¿cuántos ataques no son denunciados ni salen a la luz pública para evitar el desprestigio?
-Precisamente porque no son denunciados o no salen a la luz pública son difíciles de cuantificar o no se puede responder porque pudieran ser confidenciales. Tanto las organizaciones como los ciudadanos deben perder ese miedo a reportar incidentes. Todos estamos en continuo riesgo y el hecho de reportarlos sirve para que los CSIRT/CERT públicos tomen medidas de cara a proteger al resto de usuarios. Entidades como la nuestra seguimos códigos de buenas prácticas para tratar y almacenar la información sensible y proteger su privacidad.
"Los atacantes también roban propiedad intelectual y acceden a estrategias comerciales en grandes licitaciones de contratos", indica este experto
-¿Cuáles son las empresas más codiciadas por los ciberatacantes?
-Depende del tipo de atacante. Desde un punto de vista empresarial, lo más habitual es que los ciberataques busquen un beneficio económico. Por ello, en primer lugar, se sitúan aquellas organizaciones que custodian dinero (banca). Un ejemplo de ello es el malware conocido como Carbanak, responsable de la sustracción de más de 1.000 millones de euros a más de cien entidades financieras y que derivó en la detención de su creador en marzo de 2018 en Alicante. Sin embargo, por el nivel creciente de madurez del sector financiero, también se busca otro tipo de beneficio, producto del espionaje industrial, para robar propiedad intelectual o para acceder a estrategias comerciales en grandes licitaciones de contratos. Y también hay otro tipo de organización atacante con una motivación más de activismo reivindicativo o de posicionamiento geopolítico. En este caso, las acciones se dirigen a gobiernos o a corporaciones cuya actividad esté enfrentada a la sensibilidad o a los intereses de alguna comunidad.
-¿Y son las empresas pequeñas las más vulnerables?
-En términos generales yo diría que la pyme está menos madura. La vulnerabilidad de organizaciones mayores viene dada porque suelen tener mayor superficie de contacto con Internet, pero es cierto que las pymes tienden a estar menos protegidas por empresas especializadas o por personal propio experto.
El coste de la desprotección digital
-¿Es necesario realizar una gran inversión en el área de ciberseguridad para que nuestro entorno empresarial sea realmente eficaz?
-En la actualidad, los modelos de consumo de las tecnologías de seguridad han madurado y se pueden contratar los servicios más prioritarios (filtro de navegación, filtro de correo, backup, antimalware, entre otros) a precios muy competitivos siempre que se contraten en la nube, es decir, sin adquirir equipamiento físico.
El volumen de la inversión en compras y otros costes asociados, como puede ser el impacto organizativo, varía mucho de unas organizaciones a otras. En términos generales, la inversión no ha de ser necesariamente muy grande y dependerá del perfil de riesgo específico de cada organización. No implantar medidas de protección también tiene un coste porque nos expone a una mayor probabilidad de sufrir un ciberataque con impacto en el negocio.
-¿Cómo se puede concienciar a las empresas de la necesidad de trabajar en entornos seguros?
-Debemos plantear la protección digital de manera similar a como percibimos un cinturón de seguridad. Es decir, pese a que no veamos un retorno claro e inmediato de la inversión, en el momento en el que tenemos un accidente, nos puede salvar la vida. Todos los coches llevan cinturones de seguridad de serie, y todas las organizaciones, ya sean públicas o privadas, deberían tomarse muy en serio la ciberseguridad.
La ciberseguridad no es una cuestión puramente tecnológica y no basta con la implementación de soluciones informáticas. La ciberseguridad es una práctica de gestión de riesgos, un conjunto de buenos hábitos individuales, de procesos bien diseñados y por supuesto de tecnología. Pero tiene que funcionar en conjunto, si una de las piezas falla, el conjunto no funcionará.
Diéguez alerta de que "si una de las piezas falla, el conjunto no funcionará".BCSC
-¿Cómo se debe actuar en el caso de ser atacado?
-Lo primero sería identificar el ámbito de la organización afectado por el ataque y su impacto a la actividad del negocio. Esto no siempre es sencillo, pero hay empresas que tienen contratados servicios de ciberseguridad con empresas especializadas. Ésta es la manera más prudente de proceder. Sin embargo, seguro que hay otras organizaciones que no tienen expertos para ayudarles. A éstas últimas les recomiendo que acudan a los servicios públicos, desde donde podremos asesorar para que entiendan lo que les está pasando, dar algunas pautas básicas de actuación y ponerles en contacto con quienes les puedan ayudar.
"Wannacry popularizó la realidad de que los ciberataques se producen, que son algo cotidiano y que pueden afectar a cualquiera", advierte
-¿Qué consecuencias puede provocar un ciberataque?
-Dependerá del tipo de ataque y del objetivo que persiga. Determinados ataques han llegado incluso a causar el cese de la actividad en el negocio. De acuerdo a un informe de Kaspersky de 2017, el 60% de las pymes que sufren un ciberataque cierran en un plazo de seis meses. Esto se debe principalmente a no haber tomado las medidas oportunas para asegurar la continuidad del negocio.
-¿Podemos afirmar que el ataque del WannaCry supuso un antes y un después?
-Lo que sin duda ha supuesto es, gracias a la gran difusión que tuvo en los medios de comunicación, un antes y un después en la sensibilidad del gran público. WannaCry no fue ni mucho menos el ciberataque más dañino que ha habido, pero sí el más famoso. Se puede decir que este ransomware popularizó la realidad de que los ciberataques se producen, que son algo cotidiano y que pueden afectar a cualquiera.
-Y por último, ¿es posible trabajar en un entorno seguro o se trata de una utopía?
-Se suele decir en la jerga del sector que no hay bala de plata para esto. Es decir, al igual que en el plano físico, la seguridad completa no existe. Eso sí, adoptando una serie de precauciones será menos probable que suframos las consecuencias de un ataque intencionado o de un error humano.
