Robo de identidades, engaños por correo electrónico, hurto de datos… Y así hasta completar una lista larguísima. Los ciberdelincuentes atacan ya por todos los costados, y las empresas son, por lo general, sus víctimas favoritas. Pese al bombardeo en la región son muy pocas las que están tomando medidas para parapetarse contra el fuego. Casi la mitad de las pequeñas empresas asturianas –que se cuentan por miles– son vulnerables a posibles ataques informáticos, según un estudio que acaba de divulgar el Instituto Nacional de Estadística (INE). El de especialista en ciberseguridad es, además, uno de los perfiles cuya demanda más está creciendo con fuerza entre las compañías asturianas. Hay demanda, pero hay poca oferta. Poco personal formado.
Los asturianos que se dedican a luchar contra los criminales de la red aseguran que falta concienciación entre los directivos de las empresas de la región. Prima el “a mi no me va a pasar”, hasta que pasa. Entonces, reprochan, es cuando entran las prisas. Las estadísticas del INE aseguran que solo un 58% de las pequeñas empresas de la región (aquellas que tienen menos de diez trabajadores) tienen alguna medida para protegerse contra los delincuentes de la red. Lo que no quiere decir, matizan los expertos, que estén realmente protegidas. Pueden tener instalado un antivirus, por ejemplo, y llevar años sin actualizarlo. No es consuelo, pero el porcentaje está en la línea de lo que ocurre en el resto del país. Los madrileños, catalanes y valencianos son, según destacan las estadísticas, los empresarios que están más concienciados con la ciberseguridad. Aunque tampoco en porcentajes demasiado elevados.
Falta de concienciación. Hay algo que no les cuadra a los especialistas en ciberseguridad. Para más del 82% de las empresas asturianas el ordenador forma parte de su trabajo diario, pero muy pocas tienen en plantilla algún especialista en nuevas tecnologías. Las cuentas no salen. “Entre las organizaciones aún se sigue la filosofía de ‘esto no me va a ocurrir a mi’ o de ‘si nunca nos ha ocurrido nada, no tiene que pasarnos ahora”, asegura Mara Fernández Bermúdez, responsable de los servicios de ciberseguridad en Seresco. Pero puede pasar. Cualquiera que tenga datos en internet está expuesto a los ciberdelincuentes. “El nivel de concienciación de la alta dirección sigue siendo insuficiente, lo cual lleva a adoptar medidas reactivas en lugar de proactivas”, agrega Fernández, “la mayoría de las empresas no alcanzan un nivel de concienciación elevado en materia de ciberseguridad hasta que no han tenido que lidiar con algún problema que les haya supuesto un alto impacto en pérdidas económicas, de recursos e incluso de imagen”.
Entre las organizaciones aún se sigue la filosofía de ‘esto no me va a ocurrir a mi’ o de ‘si nunca nos ha ocurrido nada, no tiene que pasarnos ahora
Similares reflexiones hace Julio Rilo Blanco, responsable de la compañía de ciberseguridad Inixa. “Efectivamente, no existe ni la concienciación ni la cultura de ciberseguridad adecuada entre las compañías asturianas”, apunta, “la alta dirección se preocupa de la productividad sin encontrar el equilibro adecuado en su intersección con la ciberseguridad, algo imprescindible hoy en día”. Mientras que Modesto Álvarez, experto en ciberseguridad de la compañía Ricoh, asegura que “Asturias está, en general, poco y mal digitalizada”. Y explica: “A la mayoría de las empresas que he asistido ante un ciberataque tenían planes para mejorar su seguridad, pero era algo que se había ido dejando para más adelante, poniéndolo por detrás de otras prioridades”.
A la mayoría de las empresas que he asistido ante un ciberataque tenían planes para mejorar su seguridad, pero era algo que se había ido dejando para más adelante, poniéndolo por detrás de otras prioridades
Las estadísticas del INE también apuntan algunos datos interesantes, como que hay un importante porcentaje de empresas del sector de la construcción en Asturias que no tienen “contraseñas fuertes en sus equipos”. Las del ladrillo son también de las que menos seguimiento hacen de los incidentes de ciberseguridad –solo se ocupa de ellos el 21%–, paradójicamente, tampoco la industria le dedica mucho tiempo a ese análisis (el 37%), un porcentaje que sí que es mucho más elevado entre las dedicadas al heterogéneo epígrafe llamado servicios (46%).
La formación. Rilo apunta otro problema. “No existe la formación óptima y transversal para trabajadores en materia de ciberseguridad”, añade. La queja es común. “Es cada vez más difícil poder disponer de personal bien formado”, señala Mara Fernández. Muchas veces, añade, sus competencias entran en conflicto con la del resto de responsables informáticos lo que “no suele ser muy bien entendido por los directivos”.
No existe ni la concienciación ni la cultura de ciberseguridad adecuada entre las compañías asturianas
Aumento constante. Mientras tanto, los ciberataques no cesan. Dice Modesto Álvarez que la actividad de los ciberdelincuentes “se ha disparado desde la pandemia. Ha aumentado tanto la tentación de robar como la vulnerabilidad de las potenciales víctimas. La combinación es letal”. Según sus datos los ataques de tipo “ransomware” (los que buscan secuestrar datos) se ha duplicado en el primer semestre del año. “Los ciberataques están provocando millones de euros en pérdidas y, en algunos casos, incluso el cierre de compañías”, apunta Rilo.
Los ataques más comunes en Asturias. Los de tipo “ransomware” son los más numerosos, y, además, se han sofisticado. El método es el siguiente: el ciberladrón roba los datos de una empresa y pide un rescate. “Es el que más ha crecido por los estupendos resultados para el ciberdelincuente y por el crecimiento de los grupos organizados”, apunta Modesto Álvarez. El otro ataque favorito por los cacos sobre las compañías asturianas es aquel en el que se hacen pasar por un proveedor para cobrar facturas. “Las pymes y las administraciones públicas son víctimas fáciles para este tipo de ataques”, agrega el propio Modesto Álvarez.
