Cada vez m¨¢s digitalizados, pero menos protegidos

Cuando la crisis de coronavirus nos convirti¨®, repentinamente, en una econom¨ªa de confinamiento, muchos pudieron mantener su actividad gracias al teletrabajo, que pas¨® del 5 al 34 % durante el estado de alarma. Por encima de la seguridad, la prioridad fue mantener la producci¨®n, y eso abri¨® de par en par la puerta a la ciberdelincuencia, que en estas semanas ha llegado a multiplicarse por tres. No se trata de una amenaza nueva: en el primer trimestre de 2020, el n¨²mero de ciberataques aument¨® un 40 % a nivel mundial, seg¨²n datos de IBM; y solo en 2018, Espa?a registr¨® un total de 111.519 incidentes, de acuerdo con el Instituto Nacional de Ciberseguridad (INCIBE). Un 36 % de las compa?¨ªas espa?olas fue v¨ªctima de un ciberataque durante los siete primeros meses de 2019.

La necesidad de profesionales es evidente y, sin embargo, la demanda sigue sin cubrirse: se calcula que, en 2022, 1,8 millones de puestos de trabajo relacionados con la ciberseguridad quedar¨¢n vacantes en todo el mundo, 350.000 de ellos en Europa. Unos n¨²meros que se explican por la creciente digitalizaci¨®n de la sociedad: ¡°Cada vez una mayor parte de nuestra vida est¨¢ online: cuentas bancarias, ahorros, datos privados, opiniones pol¨ªticas... Todo aquello que pueda ser usado para manipularte o perjudicarte, est¨¢ en la nube, y si no est¨¢ debidamente protegido, quedas en manos del atacante¡±, afirma Fernando Rodr¨ªguez, cofundador y Chief Learning Officer del Centro de Formaci¨®n en Programaci¨®n y Tecnolog¨ªa KeepCoding.

Las v¨ªctimas de la ciberdelincuencia

Otro motivo que justifica el aumento de la ciberdelincuencia, relacionado con el anterior, es el de la cantidad de informaci¨®n que exponemos. ¡°Cuanto m¨¢s volumen tenemos en formato digital, y m¨¢s valor tiene para la ciberdelincuencia, m¨¢s necesidad tenemos de un instrumento que ponga l¨ªmites a esa actividad delictiva, y ese es el campo de la ciberseguridad¡±, explica Santiago Moral, director del Instituto DCNC Sciences de la Universidad Rey Juan Carlos (URJC), de Madrid. El razonamiento es simple: la ciberdelincuencia existe porque cada vez hay m¨¢s que robar, cada vez tiene m¨¢s valor, y hay una alta probabilidad de salir impune: ¡°Es un delito muy rentable y por el que raramente alguien acaba alguna vez en la c¨¢rcel. Se hace de pa¨ªs a pa¨ªs y es muy dif¨ªcil de perseguir¡±, a?ade.

M¨¢s informaci¨®n

La revoluci¨®n ¡®maker¡¯ llega a la educaci¨®n

La igualdad sigue sin llegar a la ciencia ni a la tecnolog¨ªa

Las pymes y los usuarios particulares constituyeron el objetivo principal de los ciberataques en 2018, con 102.414 incidentes en Espa?a. Y la crisis de la covid-19 lo ha acentuado: ¡°El teletrabajo, un modelo totalmente nuevo para muchas empresas, est¨¢ siendo aprovechado por los ciberdelincuentes para explotar vulnerabilidades y atacar los sistemas de las organizaciones que no estaban suficientemente preparadas para ponerlo en marcha¡±, asegura Susana del Pozo, directora de IBM Seguridad para Espa?a, Portugal, Grecia e Israel. Son oleadas masivas, constituidas por cientos de peque?os ataques contra objetivos poco protegidos, que requieren la intervenci¨®n del usuario, seg¨²n concluye el estudio Panorama actual de la ciberseguridad en Espa?a, elaborado por Google.

Pero ?cu¨¢les son las mayores amenazas de la ciberdelincuencia? ¡°Depende del objetivo. Para las pymes, se trata de su continuidad. Hay unos vol¨²menes tremendos de ransomware [programas maliciosos que restringen el acceso a determinadas partes de un sistema inform¨¢tico, exigiendo un rescate para su liberaci¨®n]. Y si te secuestran tu organizaci¨®n, no puedes operar¡±, argumenta Moral, tambi¨¦n director de ciberseguridad e innovaci¨®n en OpenSpring. Programas como WannaCry, que, en 2018, infect¨® a 300.000 ordenadores de 150 pa¨ªses, y caus¨® p¨¦rdidas por valor de 3.500 millones de euros (1.000 millones m¨¢s que el presupuesto nacional de educaci¨®n) son solo una parte de un problema mucho mayor, ya que las p¨¦rdidas generadas por ciberataques ascienden al 0,8 % del PIB mundial (unos 534.000 millones de euros en 2017). El coste medio de cada ciberataque a una pyme es, seg¨²n el mencionado estudio de Google, 35.000 euros, y el 60 % cierra seis meses despu¨¦s de haber sufrido uno.

En el caso de los ciudadanos, el principal problema es la privacidad, bien debido al robo de datos bancarios que redunden en compras il¨ªcitas, o bien porque se vea violentado alg¨²n aspecto de tu vida que no deseas que se haga p¨²blico, lo que puede dar lugar a extorsiones. ¡°Eso, en la poblaci¨®n adulta, no es un gran problema, porque la tasa de personas con una vida oculta no es tan grande; pero s¨ª lo es entre los adolescentes y los ni?os, porque hay muchos casos de espionaje hacia los peque?os, te abren la c¨¢mara y te enga?an para que env¨ªes alguna foto¡±. Para minimizar estos riesgos, Internet Segura 4 Kids, de INCIBE, ofrece a los padres numerosos recursos de mediaci¨®n para acompa?ar a los menores en el inicio de su vida digital.

La pandemia y los ciberataques

El aumento del teletrabajo durante las ¨²ltimas semanas y los meses que vienen han puesto a trabajadores y empresas en una situaci¨®n para la que muchas no estaban preparadas. Para empezar, porque ha aprovechado la necesidad de informaci¨®n de la poblaci¨®n para intentar cometer fraudes contra los ciudadanos (phishing), pero tambi¨¦n porque hay instituciones que han sido especialmente atacadas, como los hospitales, que en estos momentos de saturaci¨®n no estaban tan pendientes de la seguridad de sus datos.

Por otro lado, se ha agrandado ¡°la superficie de ataque¡± para la ciberdelincuencia, es decir, el n¨²mero de recursos de una empresa que son susceptibles de ser atacados: ¡°Si esta superficie aumenta, las probabilidades de un ataque con ¨¦xito tambi¨¦n lo hacen. Al haber un gran n¨²mero de profesionales trabajando desde casa, conect¨¢ndose a Internet desde una red casera, probablemente mal protegida y con software anticuado, cada uno de esos empleados es un blanco en potencia¡±, asegura Rodr¨ªguez.

Recursos generalizados como el programa usado para mantener videoconferencias puede, por ejemplo, ser fuente de problemas; como tambi¨¦n lo es el hecho de que, en estas circunstancias, ¡°se termina de mezclar nuestro entorno digital personal y el profesional, y eso hace que los riesgos personales que podamos correr como ciudadanos, se entremezclen con los riesgos empresariales¡±, recuerda Moral. Usar un gestor de claves seguras como 1Password, cambiarlas cada tres meses y no compartirlas con nadie son solo algunas de las medidas que pueden tomarse para aumentar la seguridad del teletrabajo: ¡°Es importante tener el router actualizado con la ¨²ltima versi¨®n de firmware, conectarse ¨²nicamente a una red wifi de confianza y, si es posible, a la VPN de la empresa. Adem¨¢s de asegurar que el antivirus est¨¢ actualizado, tambi¨¦n es recomendable contar con una autenticaci¨®n multifactor siempre que sea posible, que nos permita confirmar el inicio de sesi¨®n a trav¨¦s de mail o mensaje de texto¡±, recuerda Del Pozo.

Los hackers ¨¦ticos y otros perfiles

La escasez de recursos en el mercado hace que, en general, los numerosos perfiles de ciberseguridad que existen tengan una demanda elevad¨ªsima: desde aquellos de corte m¨¢s legal, que trabajan aspectos relacionados con la privacidad y la Ley General de Protecci¨®n de Datos (LGPD), hasta los profesionales que se dedican a garantizar la integridad de los sistemas de una determinada empresa. Son los llamados hackers ¨¦ticos, entre los que sobresalen los ¡°equipos rojos¡± (red teams) y los ¡°equipos azules¡± (blue teams): ¡°Los primeros son los encargados de atacar un sistema y encontrar sus debilidades, mientras que los segundos son como la ant¨ªtesis de los primeros, y se encargan de la defensa frente a los ataques¡±, explica Rodr¨ªguez. ¡°Lo correcto es que un mismo profesional trabaje en ambas ¨¢reas, alternando su papel. Lamentablemente, en Espa?a se sobrecontrata a los primeros y no se da la debida importancia a la defensa¡±.

Para Del Pozo, a d¨ªa de hoy la ciberseguridad se aborda con una visi¨®n integral, ¡°por lo que los perfiles que aportan una visi¨®n amplia de la seguridad y de su integraci¨®n con el resto de funciones son y ser¨¢n muy demandados¡±. Uno de ellos es el que proporcionan los arquitectos de seguridad, que son capaces de definir los escenarios tecnol¨®gicos en los que las plataformas de seguridad trabajan de una manera integrada con el resto de sistemas. ¡°En un plano algo menos t¨¦cnico, los consultores de seguridad son tambi¨¦n muy requeridos, por su capacidad de alinear la estrategia de seguridad con los requerimientos de negocio¡±, a?ade.

?C¨®mo estudiar ciberseguridad?

Criptograf¨ªa, ciberderecho, inform¨¢tica forense, ciberinteligencia, hacking ¨¦tico... De acuerdo con los cat¨¢logos actualizados en 2020 por el INCIBE, en la actualidad existen ya 129 centros educativos en Espa?a que ofertan numerosas formaciones relacionadas con la ciberseguridad, ya sean cursos de especializaci¨®n, ciclos de Formaci¨®n Profesional, grados o posgrados como los organizados por la Universidad de Le¨®n, con la colaboraci¨®n del INCIBE, o el m¨¢ster en Data, Complex Networks & Cybersecurity Sciences de la URJC, que dirige Santiago Moral y que incluye ciberseguridad y ciencia de datos.

¡°Como todos los sistemas generan much¨ªsima informaci¨®n, lo que hacemos es observar lo que est¨¢ sucediendo para poder tomar decisiones muy r¨¢pidamente. Aplicamos inteligencia artificial y aprendizaje autom¨¢tico a los datos que est¨¢n alrededor de la ciber, para poder reaccionar online¡±, cuenta Moral. El m¨¢ster consta de cinco m¨®dulos que pueden cursarse en su totalidad o separadamente, seg¨²n los intereses acad¨¦micos o profesionales del estudiante: introducci¨®n a la ciberseguridad, programaci¨®n en Python, un m¨®dulo de dos meses y medio sobre ciberseguridad que incluye criptograf¨ªa y arquitectura de seguridad, ciencia de datos y pr¨¢cticas.

Aunque el itinerario habitual contempla estudiar primero un grado que aporte la base t¨¦cnica (ya sea por medio de una ingenier¨ªa inform¨¢tica o de telecomunicaciones) y luego un m¨¢ster que aporte la especializaci¨®n deseada, tambi¨¦n hay espacio para muchas otras carreras: desde abogados y periodistas hasta, por ejemplo, economistas o soci¨®logos. ¡°Por ejemplo, para todos los temas de difusi¨®n y concienciaci¨®n, necesitamos buenos comunicadores. Un periodista, claro, no coger¨¢ tu PC para securizarlo, pero s¨ª ser¨¢ un experto capaz de comunicar de manera adecuada la problem¨¢tica de la ciberseguridad¡±, sostiene Moral. ¡°Pero tambi¨¦n necesitamos economistas que sean capaces de entender los ciclos presupuestarios de la ciberseguridad, e incluso soci¨®logos, para entender la mentalidad de los atacantes¡±.

La formaci¨®n en tecnolog¨ªa es, seg¨²n los expertos consultados para este reportaje, de vital importancia para que un pa¨ªs pueda mantenerse en la vanguardia tecnol¨®gica. ¡°Si la batalla por el hardware est¨¢ perdida en Occidente (Oriente ha ganado por goleada), en el software, la inteligencia artificial, los servicios y la fabricaci¨®n autom¨¢tica a¨²n podemos dar la batalla¡±, apunta Fernando Rodr¨ªguez. No parece ser este el caso de Espa?a: ¡°No hay un plan nacional de fomento de las disciplinas STEM o de las tecnolog¨ªas en general. No se invierte nada en IA; no se hace nada por retener a los investigadores espa?oles, ni para atraer a los de fuera¡±, a?ade. IBM, por su parte, cuenta con varios proyectos centrados en ofrecer formaci¨®n en nuevas tecnolog¨ªas, como la plataforma gratuita Open P-Tech, para adquirir competencias clave, o la iniciativa Watson va a clase, para acercar la IA y las nuevas tecnolog¨ªas a los alumnos y profesores de los centros de Bachillerato y FP de toda Espa?a.