¡°La v¨ªa m¨¢s f¨¢cil para atacar a una empresa est¨¢ en las personas¡±

Teniente coronel en excedencia, experto en ingenier¨ªa inform¨¢tica, sistemas, criptolog¨ªa y seguridad corporativa, Miguel Rego es desde noviembre de 2013 director del Instituto Nacional de Ciberseguridad, un organismo dependiente del Ministerio de Industria. Una de sus obsesiones es extender entre los empresarios la reflexi¨®n sobre lo que pueden llegar a perder si no ponen barreras que protejan su negocio en la Red.

Pregunta: ?Est¨¢n las empresas espa?olas preparadas frente a la ciberdelincuencia?

Respuesta: El nivel de preparaci¨®n en relaci¨®n con las ciberamenazas var¨ªa mucho en funci¨®n de la estructura y el tama?o de las empresas. Las grandes han ido desarrollado capacidades para la detenci¨®n, prevenci¨®n y respuesta en los ¨²ltimos a?os. Cada vez lo tienen m¨¢s interiorizado. Una cosa diferente son las pymes, que representan el 99% de las empresas y que tienen menos de 250 empleados. Aqu¨ª depende mucho del modelo de negocio y de su dependencia tecnol¨®gica. Aquellas que tienen una alta dependencia se encuentran con un mayor nivel de madurez, han ido invirtiendo, de tal manera que comprenden que la seguridad puede llegar a ser una ventaja, como resulta en el caso de las que utilizan Internet, Business to Business o Business to Consumer y distribuyen o forman redes con sus clientes. En servicios financieros, transporte de viajeros y mercanc¨ªas, o franquicias de redes comerciales, el nivel de riesgo es alto y el impacto para sus negocios ante un posible ataque tambi¨¦n lo es. Se deber¨ªa hacer un esfuerzo mayor, porque muchas de ellas no han desarrollado a¨²n este tipo de soluciones. Deber¨ªan alcanzar un determinado nivel de seguridad.

P. ?Qu¨¦ medidas deber¨ªan adoptar?

R. Principalmente, sistemas para la detecci¨®n autom¨¢tica de ataques y modos de responder a ellos. Es importante que sean capaces de monitorizar qu¨¦ es lo que est¨¢ pasando en sus redes internas. Para ello es necesario tener personal dedicado de forma completa a esta actividad. Y todas estas medidas deber¨ªan agruparse en un plan revisable.

P. ?No son costes inabordables por las pymes?

R. Hay que empezar de una manera progresiva. En algunos casos, una inversi¨®n de unos pocos miles de euros al a?o puede ser suficiente, dependiendo del negocio. Tambi¨¦n est¨¢ la posibilidad de que se apoyen en empresas externas. Recomendamos que realicen un an¨¢lisis de riesgos que determine el impacto econ¨®mico y reputacional de un incidente que conlleve una p¨¦rdida masiva de informaci¨®n o un bloqueo de su sistema de comercio electr¨®nico. As¨ª va a ser m¨¢s sencillo justificar una inversi¨®n.

P. ?Qui¨¦n est¨¢ m¨¢s expuesto?

R. En el momento en que uno realiza transacciones a trav¨¦s de Internet cualquiera puede ser objeto de ataque por los ciberdelincuentes.

P. ?Cu¨¢ntas alertas reciben en el instituto?

R. En 2014 hemos gestionado 18.000 incidentes de seguridad. Estos incidentes pueden derivar en un ataque. Son incidentes reales, detectados y gestionados. La tendencia es creciente: hace cinco a?os contabiliz¨¢bamos menos de la mitad. Pero para no caer en la paranoia hay que decir que Internet es cada vez un campo con m¨¢s ciberdelincuentes, pero las empresas y los organismos p¨²blicos desarrollan cada vez m¨¢s capacidades para responder a ellos.

P. ?No van los defraudadores un paso por delante?

R. Es cierto que se han profesionalizado, ya no son estudiantes que quieren demostrar sus habilidades como hackers. Hay modelos perfectamente organizados y las organizaciones criminales tradicionales han contratado expertos para desarrollar herramientas que les faciliten robos en Internet. Invierten mucho dinero para ser indetectables. Se observa que los ataques van muy dirigidos a empresas concretas. A diferencia que lo que ocurr¨ªa hace a?os, cuando se atacaba a la empresa m¨¢s d¨¦bil, ahora son m¨¢s selectivos. Eligen una empresa u organizaci¨®n y dedican tiempo a conocer a sus empleados, analizan v¨ªas de acceso hasta encontrar una brecha en su seguridad.

P. ?Qui¨¦n est¨¢ detr¨¢s?

R. Son mafias criminales como las del mundo real, pero tambi¨¦n nos encontramos con robos de car¨¢cter industrial entre Gobiernos de distintos pa¨ªses. Intentan robar desarrollos en I+D+ i para obtener ventajas competitivas. Durante mucho tiempo se ha identificado al gobierno chino detr¨¢s de estos ataques, pero suceden entre pa¨ªses del mismo entorno. Los Gobiernos utilizan el ciberespacio para obtener informaci¨®n y defender sus intereses.

P. ?Cu¨¢l es el punto m¨¢s vulnerable en una empresa?

R. Las personas. Estamos hablando de ataques complejos, que se construyen en varias fases y que suelen iniciarse con la infecci¨®n del ordenador de un empleado. Ese primer ataque da paso a que se abran conexiones hacia el exterior. Utilizan lo que llamamos correos ¡°arp¨®n¡± o ¡°gancho¡±. Los recibimos frecuentemente en el ordenador, parecen inofensivos, nos ofrecen servicios comerciales e incluyen un enlace que tras pincharlo facilita la infecci¨®n de un virus. Esto no es f¨¢cil de detectar, a veces los correos se construyen de una manera tan precisa que tienen la apariencia de un mail de nuestra propia empresa.

P. ?Qu¨¦ pueden hacer las pymes para protegerse?

R. Muchas pymes son indiferentes. No invierten, ni toman ninguna medida. Pero tienen que entender que la informaci¨®n es un activo vital para ellas. Tienen que preguntarse qu¨¦ pasar¨ªa si la pierden. Deber¨ªan adoptar ciertas medidas, como copias de seguridad y mecanismos para que toda la informaci¨®n no sea accesible por todos los empleados, proteger los datos cr¨ªticos.