Ciberataques que matan a las empresas
Las alertas de seguridad inform¨¢ticas que ponen en jaque a las compa?¨ªas comienzan a ser moneda habitual en un mundo hiperconectado
Odian contarlo, pero las empresas se est¨¢n viendo obligadas a admitir lo que pasa en sus sistemas inform¨¢ticos. Y suelen ser historias espeluznantes. Esta misma semana, Quest Diagnostics, un laboratorio cl¨ªnico estadounidense que forma parte de las 500 mayores empresas de ese pa¨ªs, ha informado de que los datos de 11,9 millones de pacientes (incluidas tarjetas de cr¨¦dito y cuentas bancarias) estuvieron ocho meses expuestos por el error de seguridad de un proveedor. Hace unos d¨ªas, Travelex Holdings, una empresa con sede en Londres, suspendi¨® sus servicios en 30 pa¨ªses por otro agujero en sus sistemas, seg¨²n Bloomberg. En Espa?a se han vivido casos muy llamativos en los ¨²ltimos tiempos, como el hackeo en Prosegur a finales de noviembre, o el que oblig¨® a la suspensi¨®n de la programaci¨®n local en la cadena SER (del grupo PRISA) ese mismo mes por un ataque de ransom?ware, un encriptador de archivos que tambi¨¦n afect¨® a la consultora Everis; o el que infect¨® al hospital universitario de Torrej¨®n de Ardoz el mes pasado e inutiliz¨® sus ordenadores y las pantallas de las salas de espera (y oblig¨® a sus empleados a volver al l¨¢piz y al papel).
Los datos, que se supon¨ªa que eran la nueva mina de oro con la digitalizaci¨®n, tambi¨¦n son munici¨®n para la ciberdelincuencia, un negocio cada vez m¨¢s lucrativo y devastador. Seg¨²n las cifras de la consultora Gartner, el gasto en seguridad empresarial mundial alcanz¨® los 124.000 millones de d¨®lares en 2019, un 8% m¨¢s respecto a 2017. El Observatorio Espa?ol de Delitos Inform¨¢ticos constata que los fraudes, las falsificaciones, los accesos il¨ªcitos o las violaciones de propiedad industrial, tanto a particulares como a empresas, se han disparado hasta los 110.613 casos detectados en 2018 (¨²ltimas cifras disponibles). Cuatro a?os antes no llegaban a los 50.000. El Instituto Nacional de Ciberseguridad (Incibe) gestiona m¨¢s de 100.000 incidentes al a?o de empresas y particulares, de los que unos 700 corresponden a operadores estrat¨¦gicos (desde el¨¦ctricas hasta empresas de telecomunicaciones, puertos¡). Casi 5.000 personas han sido detenidas o son investigadas por delitos relacionados con el cibercrimen en el pa¨ªs, seg¨²n Statista.
En suma, miles de vulnerabilidades son descubiertas cada mes, algo que va en aumento. Pilar L¨®pez, presidenta de Microsoft Espa?a, dec¨ªa hace un par de semanas en una charla en ?Esade que la amenaza de la ciberdelincuencia ¡°es m¨¢s real que nunca¡±. Y alertaba de que la mayor¨ªa de las empresas espa?olas no est¨¢n preparadas para responder a un ciberataque que pueda paralizarlas por completo. ¡°Afortunadamente, estamos avanzando y cada vez se tarda menos en detectarlo. Las empresas tienen que aprender a protegerse y dise?ar un plan global de seguridad¡±. Cierto es que su compa?¨ªa vende productos para ello, pero tambi¨¦n lo es que la alerta no solo proviene del sector. Ana Bot¨ªn, presidenta del Banco Santander, mencion¨® la ciberprotecci¨®n como uno de ¡°los mayores retos sociales¡±, el pasado verano, durante la junta de accionistas de la plataforma educativa Universia. ¡°Es importante saber d¨®nde se ha cometido el robo, pero tambi¨¦n qui¨¦n es el responsable¡±, apunt¨®. Porque los delincuentes est¨¢n por todas partes, a veces tienen el apoyo de sus propios Estados y es dif¨ªcil sentarlos en el banquillo.
La ciberseguridad en el mundo
Coste medio de cada ataque completado
en millones de d¨®lares
El coste del cibercrimen
2017
2018
18,37
Banca
Ser. p¨²blicos
Software
Automoci¨®n
Seguros
Tecnolog¨ªa
Inversi¨®n
Energ¨ªa
B. de consumo
Salud
Distribuci¨®n
Comunicaci¨®n
Viajes
Sector p¨²blico
?
16,55
15,11
17,84
14,46
16,04
10,70
15,78
12,93
15,76
12,90
14,69
10,56
13,92
13,21
13,77
8,09
11,91
11,82
12,86
9,04
11,43
7,55
9,21
4,61
8,15
7,91
6,58
5
10
15
20
0
Por pa¨ªses
En 2018
Canad¨¢
9,25
R. Unido
11,46
Alemania
13,12
Jap¨®n
13,57
Francia
9,72
Italia
8,01
Espa?a
8,16
EE UU
22,37
Singapur
9,32
Brasil
7,24
Australia
6,79
Fuente: Accenture
C. AYUSO / EL PA?S
La ciberseguridad en el mundo
Coste medio de cada ataque completado
en millones de d¨®lares
El coste del cibercrimen
2017
2018
18,37
16,55
Banca
Ser. p¨²blicos
Software
Automoci¨®n
Seguros
Tecnolog¨ªa
Inversi¨®n
Energ¨ªa
B. de consumo
Salud
Distribuci¨®n
Comunicaci¨®n
Viajes
Sector p¨²blico
?
15,11
17,84
14,46
16,04
10,70
15,78
12,93
15,76
12,90
14,69
10,56
13,92
13,21
13,77
8,09
11,91
11,82
12,86
9,04
11,43
7,55
9,21
4,61
8,15
7,91
6,58
5
10
15
20
0
Por pa¨ªses
En 2018
Canad¨¢
9,25
R. Unido
11,46
Alemania
13,12
Jap¨®n
13,57
Francia
9,72
Italia
8,01
Espa?a
8,16
EE UU
22,37
Singapur
9,32
Brasil
7,24
Australia
6,79
Fuente: Accenture
C. AYUSO / EL PA?S
La ciberseguridad en el mundo
Coste medio de cada ataque completado en millones de d¨®lares
El coste del cibercrimen
2017
2018
18,37
Banca
Servicios p¨²blicos
Desarrollo de software
Automoci¨®n
Seguros
Tecnolog¨ªa
Inversi¨®n
Energ¨ªa
Bienes de consumo
Salud
Distribuci¨®n
Comunicaci¨®n
Viajes
Sector p¨²blico
?
16,55
15,11
17,84
14,46
16,04
10,70
15,78
12,93
15,76
12,90
14,69
10,56
13,92
13,21
13,77
8,09
11,91
11,82
12,86
9,04
11,43
7,55
9,21
4,61
8,15
7,91
6,58
5
10
15
20
0
Por pa¨ªses
En 2018
Canad¨¢
9,25
R. Unido
11,46
Alemania
13,12
Jap¨®n
13,57
Francia
9,72
Italia
8,01
Espa?a
8,16
EE UU
22,37
Singapur
9,32
Brasil
7,24
Australia
6,79
Fuente: Accenture
C. AYUSO / EL PA?S
En la firma de seguridad S21Sec tienen monitorizadas algunas bandas que han logrado ingresos de m¨¢s de 50 millones de euros. ¡°Es un negocio redondo, hay estudios sobre la rentabilidad de las organizaciones que hablan de retornos del 2.000%¡±, se?ala Jorge Hurtado, su vicepresidente de Servicios Gestionados. ¡°Lo que hace 15 a?os era una persona en un garaje, hoy son equipos de cientos de personas con herramientas propias y un mont¨®n de recursos a su alcance¡±. En Internet se anuncian sin impunidad supuestas ¡°empresas¡± que ofrecen servicios completamente ilegales. ¡°Muchos clientes nos preguntan si es posible hackear un tel¨¦fono, un whatsapp, una red social¡ a lo que respondemos siempre que s¨ª, todo sistema es vulnerable y con los conocimientos y herramientas adecuados puede ser hackeado¡±, anuncian en una de ellas.
Jos¨¦ Luis Narbona, profesor asociado de criminal¨ªstica en la Universidad de Alcal¨¢ y presidente de la Asociaci¨®n Nacional de Ciberseguridad, no quiere sonar alarmista, pero menciona que Espa?a est¨¢ a a?os luz de lo que necesita en inversi¨®n y conciencia sobre este tema. ¡°Todo parte de una cuesti¨®n econ¨®mica y se ha convertido en una guerra global. El incremento de ataques a empresas espa?olas es bastante alto e inversamente proporcional al gasto que realizan para garantizar la confidencialidad de los datos¡±. Una inversi¨®n que a menudo es pobre, dispersa y casi siempre tiene un sentido de urgencia que la hace in¨²til para construir una verdadera estrategia de negocio.
Fraudes silenciosos
Lorenzo Mart¨ªnez, fundador de Securizame y perito judicial en delitos inform¨¢ticos, ha visto solicitudes de rescate de datos provocadas por ransomware en pymes de 3.000, 10.000 y hasta 12.000 euros (en empresas mayores pueden pasar de los 100.000). Tambi¨¦n ha visto c¨®mo muchos negocios medianos y peque?os se ven desarmados (sin acceso a todos sus sistemas) y acceden al chantaje de los criminales cuando se dan cuenta de que est¨¢n en un callej¨®n sin salida. Algunos incluso despu¨¦s de aguantar un mes buscando alternativas. ¡°Tambi¨¦n se dan estafas como el llamado timo al CEO, de cientos de miles de euros¡±. Esto ¨²ltimo es m¨¢s sofisticado. Imagine a un directivo que tiene que pagar una factura a un proveedor habitual y recibe un correo electr¨®nico ¡ª?aparentemente¡ª de ese proveedor que le pide que esta vez haga el ingreso en otra cuenta bancaria. Lo solicita en un correo electr¨®nico cordial utilizando un lenguaje adecuado y dirigi¨¦ndose a ¨¦l por su nombre y apellidos. El ejecutivo conf¨ªa, cambia el destino del dinero¡ y lo pierde. Por verg¨¹enza, muchas veces estas torpezas se ocultan y no se denuncian. Grave error. Fernando Anaya, director para Espa?a de Proofpoint, avisa que el 93% de los ataques utilizan el correo electr¨®nico como puerta de entrada, ¡°de ah¨ª la importancia de concienciar a los empleados¡±.
Por tipo de ataque
En 2018
Software da?ino (Malware)
Ataques a la web
Denegaci¨®n de servicio
Filtraciones internas
Ingenier¨ªa social
C¨®digo da?ino
Dispositivos robados
Ransomware
Ataques de Bots
?
2,6
2,3
1,7
1,6
1,4
1,4
1
0,6
0,4
0,0
0,5
1,0
1,5
2,0
2,5
3,0
Por consecuencias del ataque
En 2018
5,9
6
5
4
3
2
1
0
Informaci¨®n
perdida
5,0
Interrupci¨®n
del negocio
3,7
Beneficios
perdidos
2,7
Equipos
da?ados
2015
2016
2017
2018
Fuente: Accenture
C. AYUSO / EL PA?S
Por tipo de ataque
En 2018
Software da?ino (Malware)
Ataques a la web
Denegaci¨®n de servicio
Filtraciones internas
Ingenier¨ªa social
C¨®digo da?ino
Dispositivos robados
Ransomware
Ataques de Bots
?
2,6
2,3
1,7
1,6
1,4
1,4
1
0,6
0,4
0,0
0,5
1,0
1,5
2,0
2,5
3,0
Por consecuencias del ataque
En 2018
5,9
6
5
4
3
2
1
0
Informaci¨®n
perdida
5,0
3,7
Interrupci¨®n
del negocio
Beneficios
perdidos
2,7
Equipos
da?ados
2015
2016
2017
2018
Fuente: Accenture
C. AYUSO / EL PA?S
Por tipo de ataque
En 2018
Software da?ino (Malware)
Ataques a la web
Denegaci¨®n de servicio
Filtraciones internas
Ingenier¨ªa social
C¨®digo da?ino
Dispositivos robados
Ransomware
Ataques de Bots
?
2,6
2,3
1,7
1,6
1,4
1,4
1
0,6
0,4
0,0
0,5
1,0
1,5
2,0
2,5
3,0
Por consecuencias del ataque
En 2018
5,9
6
5
4
3
2
1
0
Informaci¨®n
perdida
5,0
3,7
Interrupci¨®n
del negocio
Beneficios
perdidos
2,7
Equipos
da?ados
2015
2016
2017
2018
Fuente: Accenture
C. AYUSO / EL PA?S
La ciberdelincuencia ataca a todos los sectores y est¨¢ en todos los niveles, aunque algunos negocios son m¨¢s vulnerables que otros. La banca, por descontado, es el n¨²mero uno de la diana. Tambi¨¦n la que m¨¢s invierte en protecci¨®n. La Reserva Federal americana (Fed) lo puso de manifiesto el pasado martes. El ataque a uno de los mayores bancos de Estados Unidos podr¨ªa afectar al 38% del sistema financiero de ese pa¨ªs, seg¨²n sus c¨¢lculos. El personal de la Fed hizo el ejercicio de qu¨¦ pasar¨ªa si una gran entidad fuese bloqueada y no pudiese realizar pagos y cobros durante solo un d¨ªa: el contagio ser¨ªa inmediato, el resto de las entidades intentar¨ªan apalancar su liquidez y 4 de cada 10 d¨®lares del sistema quedar¨ªan bloqueados.
No es ciencia-ficci¨®n. Un informe de McKinsey cita que desde 2013 los llamados ¡°ataques Carbanak¡± (robos basados en malware) han costado a la banca mundial 1.000 millones de d¨®lares. En ellos, cometidos por al menos tres bandas criminales como despu¨¦s se acredit¨®, los ladrones demostraron tener un conocimiento sofisticado del entorno digital y entender los procesos bancarios, as¨ª como las brechas de seguridad para llegar a cajeros autom¨¢ticos, tarjetas de cr¨¦dito y transferencias. Estas acciones que afectaron a un buen n¨²mero de bancos rusos tambi¨¦n dejaron al descubierto la cada vez m¨¢s difusa relaci¨®n entre ciberataques, fraudes y delitos financieros. Jos¨¦ Luis Mart¨ªnez Campuzano, portavoz de la patronal bancaria espa?ola (AEB), cree que ¡°a medida que los bancos fortalecen sus barreras de protecci¨®n, los ciberataques derivan hacia el eslab¨®n m¨¢s d¨¦bil de la cadena, el cliente, a trav¨¦s de phishing, vishing, smishing¡±.
Es el mal de este tiempo: sociedades m¨¢s digitalizadas y a la vez m¨¢s desnudas ante el ciberdelito. Quiz¨¢ por ello las encuestas muestran un derroche de voluntad. Un estudio realizado por Willis Towers Watson y ESI ThoughtLab, presentado en Madrid esta semana, cita que organizaciones de todo el mundo quieren aumentar sus inversiones en ciberseguridad un 34% durante el pr¨®ximo a?o, y cerca del 12% lo har¨¢n en m¨¢s de un 50%. Pero quien crea que el dinero arregla el problema se equivoca. Sin soluciones integrales en todos los niveles del negocio la respuesta fallar¨¢, seg¨²n los expertos.
La salud, el punto d¨¦bil
Ocurri¨® en un reciente congreso del sector. Un responsable de seguridad de una empresa estadounidense cont¨® a un profesional espa?ol la enorme preocupaci¨®n que hay en su pa¨ªs por los ataques a centros sanitarios. Y no, como se podr¨ªa pensar, por el simple secuestro o robo de datos. ¡°Hablaba de que temen, por ejemplo, que una manipulaci¨®n de los historiales pueda cambiar el grupo sangu¨ªneo de los pacientes. Solo eso podr¨ªa tener consecuencias catastr¨®ficas¡±, relata el receptor de la confidencia. Una serie de ataques registrados a mediados de 2017 en el sector de fabricantes de medicamentos ya puso en guardia a las farmac¨¦uticas, aunque eso no ha evitado que se sigan dando casos. Bayer reconoci¨® hace dos semanas que un malware llamado Winnti se infiltr¨® en sus ordenadores el a?o pasado. Su unidad de defensa limpi¨® los sistemas afectados y no encontr¨® pruebas de la fuga de datos, pero Costin Raiu, director de su equipo de seguridad, reconoci¨® que ¡°s¨®lo porque una empresa haya evitado con ¨¦xito un episodio no significa que el grupo de criminales que est¨¦n detr¨¢s de Winnti no lo vuelva a intentar¡±.
?C¨®mo debe afrontar el sector sanitario estos problemas? Xabier Mitxelena, de Accenture, cree que ¡°es un objetivo f¨¢cil porque tiene muchas puertas de entrada¡±. La consultora hace simulaciones peri¨®dicas en hospitales y se?ala que, como sector cr¨ªtico, las empresas ¡°tienen que tomarse m¨¢s en serio los riesgos de la tecnolog¨ªa¡±. En especial, habla de la ¡°sensibilizaci¨®n de los m¨¦dicos¡± y de la importancia de establecer comunicaciones seguras. Marco Merino, responsable de tecnolog¨ªa de la empresa gen¨®mica Veritas Intercontinental, observa dos derivadas del problema. La primera se refiere a los datos personales sobre salud: ¡°Su exposici¨®n es muy grave y puede ser utilizada con malicia con una finalidad de chantaje o como herramienta de presi¨®n sobre ciertos colectivos. Esto genera millones de p¨¦rdidas anuales, como se puede comprobar en los informes del sector¡±. En segundo lugar est¨¢ la informaci¨®n cl¨ªnica que las empresas utilizan para la investigaci¨®n y desarrollo de nuevos f¨¢rmacos. ¡°Estamos, por tanto, en una situaci¨®n de espionaje industrial. Por fortuna, ya existen modelos muy evolucionados de protecci¨®n¡±.
Los servicios p¨²blicos
En el sector p¨²blico la cuesti¨®n es parecida. La informaci¨®n de varios Ayuntamientos en Estados Unidos (desde Baltimore hasta Atlanta o Nueva Jersey, pero tambi¨¦n ciudades peque?as como Riviera Beach y Lake City) ya ha sido saqueada por ciberdelincuentes, y algunas de estas ciudades han optado por pagar un rescate para poder atender a sus ciudadanos. En Espa?a se empiezan a dar casos, como el que afect¨® en octubre al Ayuntamiento de Jerez a trav¨¦s de un correo electr¨®nico y bloque¨® todos los ordenadores. Un mes antes, otros consistorios espa?oles, como el de Bilbao, hab¨ªan sido asaltados por el mismo virus sin tanto ¨¦xito. Los vecinos de la ciudad andaluza tuvieron que soportar durante varios d¨ªas el bloqueo de multitud de tr¨¢mites, como el padr¨®n o cambios de domicilio. La alcaldesa, Mamen S¨¢nchez, se neg¨® a pagar rescate alguno.
Para Jes¨²s Romero, socio de consultor¨ªa en ciberseguridad de PWC, ¡°el riesgo tecnol¨®gico cada vez tiene m¨¢s peso y hay un punto clave: adem¨¢s de prepararse para proteger sus activos, ahora la empresa tiene que estar preparada para responder. Es importante que sea resiliente a un ataque, que sepa actuar y remediarlo cuanto antes, porque el tiempo es fundamental¡±. Como otros consultados, insiste en que la seguridad absoluta ¡°no existe¡±. ¡°Cada compa?¨ªa debe saber el riesgo residual con el que puede convivir para garantizar la continuidad de las operaciones, la protecci¨®n de su marca y la informaci¨®n de sus clientes¡±.
Xabier Mitxelena, responsable de Accenture Security en Espa?a, pone un ejemplo muy gr¨¢fico: ¡°Si entras en el metro con tu hijo y ves algo parecido a un bocadillo envuelto en papel, lo primero que le dices es que no lo coja. Pero cuando vamos a cualquier sitio, lo primero que hacemos es buscar la wifi sin saber si es segura¡±.
Suerte que en este caso la regulaci¨®n tira del desarrollo de la seguridad inform¨¢tica. La decena larga de expertos consultados citan el Reglamento Europeo de Ciberseguridad, el Reglamento General de Protecci¨®n de Datos o la Ley de Seguridad Privada, junto a un pu?ado de reales decretos, reglamentos e instrucciones t¨¦cnicas que han cambiado la visi¨®n del problema desde los consejos de administraci¨®n. ¡°Cuando empec¨¦ en esto intentaba hacer ver que la seguridad no es un concepto tecnol¨®gico; que, si haces bien las cosas, tienes una ventaja de calidad. Hasta ahora hab¨ªamos construido una seguridad reactiva, intentando proteger el per¨ªmetro de la empresa con barreras, pero ese per¨ªmetro ha cambiado y ha subido la valoraci¨®n del dato como elemento diferenciador de la competitividad de la empresa¡±, dice Mitxelena. Al menos las grandes compa?¨ªas dicen tener integrada la seguridad como un elemento embebido en el negocio y no como un coste o una unidad separada del resto. Tienen muchos m¨¢s recursos y est¨¢n dispuestas a apostar por la ciberseguridad, porque adem¨¢s, saben que a la larga les supondr¨¢ un ahorro y puede que les ofrezca ventajas frente a competidores. Seg¨²n un estudio mundial de Accenture publicado el a?o pasado, los ataques que terminan con ¨¦xito causan p¨¦rdidas medias de ocho millones de euros por compa?¨ªa en Espa?a. En Estados Unidos el bot¨ªn sube a 22 millones.
Lecciones aprendidas
Las consultoras recomiendan, adem¨¢s de concienciaci¨®n, poner a prueba la capacidad de las empresas con simulacros peri¨®dicos y an¨¢lisis continuos. Es algo habitual en las grandes del Ibex y en algunos sectores que tambi¨¦n son muy sensibles, como el farmac¨¦utico. Y si ocurre el desastre, hay que cruzar los dedos y no entrar en p¨¢nico.
Telef¨®nica ha aprendido del incidente que vivi¨® en la ma?ana del 12 de mayo de 2017, cuando sufri¨® el golpe del ransomware llamado Wannacry. Hoy Juan Carlos G¨®mez, director global de ciberinteligencia de la compa?¨ªa, explica que la alta direcci¨®n est¨¢ muy concienciada con este tema. Su organizaci¨®n integra la seguridad dentro del mismo paraguas y combina distintas herramientas, desde las que ofrecen proveedores externos hasta las desarrolladas en la compa?¨ªa o, cada vez m¨¢s, las que obtienen de las start-ups donde invierten. Su red, dice G¨®mez, es global y se apoya en 15 centros situados en los pa¨ªses donde opera. ¡°Tenemos un gran volumen de activos a proteger, hacemos un gran esfuerzo en la concienciaci¨®n de los empleados porque, por muchas medidas que tengas, alguien puede hacer un clic y propagar un ataque¡±. Esa seguridad, apoya Fernando Anaya, ¡°debe ser multicapa, no hay una soluci¨®n ¨²nica ni una sola tecnolog¨ªa, sino un proceso¡±. Lo mismo opina Carmen Dufur, directora de ese ¨¢rea de la consultora Capgemini. ¡°En nuestro caso trabajamos 4.000 personas en ciberseguridad en todo el mundo y eso crea una gran comunidad que ayuda a generar inteligencia, que al final es un gran valor a?adido¡±.
Riesgos que las organizaciones
consideran m¨¢s relevantes y est¨¢n
trabajando para mitigar
En %. Encuesta realizada por McKinsey
entre sus directivos
62
Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputaci¨®n de la organizaci¨®n
Capitalizaci¨®n de la empresa
Seguridad f¨ªsica
Seguridad nacional
Estabilidad pol¨ªtica
No sabe/no contesta
50
45
39
35
34
26
16
9
7
9
La ciberseguridad en las empresas
espa?olas
Porcentaje de empresas que la han
implementado o lo har¨¢n en los pr¨®ximos
dos a?os. Por n¨²mero de empleados
0
100
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3.000
M¨¢s de 3.000
TOTAL
91
91
84
94
94
100
100
93
Fuente: McKinsey y Deloitte.
C. AYUSO / EL PA?S
Riesgos que las organizaciones consideran
m¨¢s relevantes y est¨¢n trabajando para mitigar
En %.
Encuesta realizada por McKinsey entre sus directivos
62
Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputaci¨®n de la organizaci¨®n
Capitalizaci¨®n de la empresa
Seguridad f¨ªsica
Seguridad nacional
Estabilidad pol¨ªtica
No sabe/no contesta
50
45
39
35
34
26
16
9
7
9
La ciberseguridad en las empresas espa?olas
Porcentaje de empresas que la han implementado o
lo har¨¢n en los pr¨®ximos dos a?os.
Por n¨²mero de empleados
0
100
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3.000
M¨¢s de 3.000
TOTAL
91
91
84
94
94
100
100
93
Fuente: McKinsey y Deloitte.
C. AYUSO / EL PA?S
Riesgos que las organizaciones consideran m¨¢s relevantes y est¨¢n trabajando
para mitigar
En %. Encuesta realizada por McKinsey entre sus directivos
62
Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputaci¨®n de la organizaci¨®n
Capitalizaci¨®n de la empresa
Seguridad f¨ªsica
Seguridad nacional
Estabilidad pol¨ªtica
No sabe/no contesta
50
45
39
35
34
26
16
9
7
9
La ciberseguridad en las empresas espa?olas
Porcentaje de empresas que la han implementado o lo har¨¢n en los pr¨®ximos dos a?os.
Por n¨²mero de empleados
0
100
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3.000
M¨¢s de 3.000
TOTAL
91
91
84
94
94
100
100
93
Fuente: McKinsey y Deloitte.
C. AYUSO / EL PA?S
En la cadena Mango, por ejemplo, tienen lo que llaman ¡°embajadores de seguridad¡±, empleados de la compa?¨ªa que no son inform¨¢ticos, pero que est¨¢n atentos a lo que pasa en cada departamento. ¡°Cuando lanzamos la medida nos sorprendi¨® el n¨²mero de personas que se presentaban voluntarias¡±. En el textil los esfuerzos se concentran en la cadena log¨ªstica, donde un error tendr¨ªa impacto directo en las tiendas. Otro ojo lo tienen puesto en los periodos de mayores ventas, como las rebajas o el Black Friday, donde admiten haber detectado ¡°un aumento de los intentos [de acceso indebido] de hasta un 300%¡±.
Vuelta al pasado
El virus que infect¨® a Telef¨®nica y a otras muchas empresas e instituciones, como el centro nacional de salud brit¨¢nico, no se dirig¨ªa espec¨ªficamente a la operadora. En un solo d¨ªa atac¨® a 140.000 m¨¢quinas en m¨¢s de 100 pa¨ªses gracias a una brecha de seguridad en ordenadores con el sistema operativo Windows no actualizado debidamente.
La historia que puede no ser algo del pasado. Javier Ant¨®n, director de ciberseguridad de Fujitsu, recuerda que Microsoft ha dejado de dar soporte hace unos d¨ªas a las versiones Windows 7 y Windows Server 2008. ¡°Muchas compa?¨ªas que tengan sistemas basados en estas aplicaciones se han quedado sin ese servicio y tendr¨¢n que migrar a otros sistemas, algo que puede generar agujeros de seguridad que, seguramente, van a aprovechar los cibercriminales¡±. Es, insiste, una lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera sencilla. ¡°La pelea est¨¢ muy desequilibrada porque los hackers solo tienen un objetivo: atacar a una entidad definida. Han pasado de ser golpes masivos a actos dirigidos, personalizados. Si quieren atacar a alguien, solo tienen que esperar su momento, porque nadie est¨¢ actualizado al 100% en cuanto a parches o soporte de operaciones¡±. Cuando esto ocurre, el pago siempre se reclama en forma de criptomonedas para no dejar rastro. Y aunque no hay ninguna norma que proh¨ªba ceder a la extorsi¨®n, los expertos recomiendan no hacerlo nunca, ¡°a menos que toda tu compa?¨ªa est¨¦ en riesgo de desaparici¨®n¡±, matiza Ant¨®n. Narbona recuerda que aun as¨ª puede ser completamente in¨²til: pagar no garantiza que te devuelvan los datos. O que lo vuelvan a intentar en el futuro.
El ¨²ltimo recurso
Cuando todo falla entran en juego las aseguradoras, que han desarrollado m¨¢s y m¨¢s productos espec¨ªficos. Todas las grandes, desde Mapfre hasta Zurich, Axa, AIG o Generali, han entrado en este negocio. En Allianz, por ejemplo, aseguran que sus productos no solo sirven para proteger a pymes y aut¨®nomos, sino que se enfocan cada vez m¨¢s a ¡°una estrategia preventiva¡± del ciberdelito. Muchas p¨®lizas cubren desde la certificaci¨®n forense (el peritaje sobre los da?os inform¨¢ticos) hasta planes de recuperaci¨®n de las funciones del negocio o asesoramiento y defensa jur¨ªdica frente a la extorsi¨®n o el borrado de la huella digital. Pero nada sale gratis. Un informe de Kaspersky citado por el Incibe valora en 33.700 euros el presupuesto medio que necesitar¨ªa una pyme para resolver un problema de seguridad como fugas de datos, fraude o ataques de denegaci¨®n de servicio. De modo que lo habitual es contratar p¨®lizas por obligaci¨®n legal o para cubrir solo accidentes que afectar¨ªan de modo irreversible a la empresa.
Otra vulnerabilidad, pero en clave empresarial, est¨¢ en la poca visibilidad de la industria espa?ola en este sector, superada a menudo por las ofertas que realizan grandes consultoras internacionales o multinacionales instaladas en el pa¨ªs. El Incibe tiene contabilizadas unas 1.600 firmas con ra¨ªces nacionales de las m¨¢s de 6.000 del sector. Quiz¨¢ sea, como menciona Yago Jes¨²s, director de Tecnolog¨ªa en la empresa eGarante, que ¡°hay mucho intrusismo en el negocio y no se valora la I+D propia como en otros pa¨ªses¡±. Un mal que hace que cada vez m¨¢s sean aut¨®nomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni posibilidad de crear y compartir conocimiento. O, como menciona Lorenzo Mart¨ªnez, que las soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las mismas: ¡°Disponer de un buen backup [copia de seguridad], cuando en muchos casos tambi¨¦n puede ser cifrado¡±. Un problema que tiene una doble cara, como recuerda Arancha Jim¨¦nez, directora de seguridad de Atos Iberia: la eterna falta de profesionales para responder a la alta demanda del mercado. Personas que ¡°investiguen, que evolucionen¡±. Que vayan tan r¨¢pido como los malos.
Consejos para pymes
Las peque?as y medianas empresas son m¨¢s vulnerables pese a que pueden llegar a perder todos sus recursos en un ataque. El problema, como se?ala la directora de comunicaci¨®n de Sumauto, Isabel Garc¨ªa, es que "en su pensamiento siguen siendo anal¨®gicas". Marco Lozano, responsable de servicios para empresas del Incibe, recomienda empezar por un an¨¢lisis de riesgos que responda a estas preguntas: "?A qu¨¦ nos dedicamos? ?Qu¨¦ procesos son cr¨ªticos? Si hay un accidente, ?con cu¨¢ntos procesos puedo contar para seguir trabajando? ?Cu¨¢les son mis activos y c¨®mo me voy a proteger?". Establecer las medidas adecuadas para mantener los servidores, un sistema de alimentaci¨®n ininterrumpida, aplicaciones de prevenci¨®n anti-ransomware o hacer copias de seguridad para restaurar el sistema "no son cosas extremadamente complejas ni que necesiten una inversi¨®n enorme. Pero a veces el d¨ªa a d¨ªa no nos deja implantarlas".
Cualquier pol¨ªtica debe empezar por la concienciaci¨®n de los empleados. Es importante, como se?alan en RSM Spain, que estos lean los procedimientos de seguridad, informen sobre llamadas o textos inusuales, acepten las actualizaciones de seguridad, no hagan clic en links de desconocidos y sean cuidadosos con las redes sociales. Y, en especial, eviten conectarse a redes inal¨¢mbricas seguras y no abran correos desconocidos.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
Sobre la firma
