Las empresas se ponen en guardia: aumenta el riesgo de ciberataques tras la invasi¨®n de Ucrania

En 2021, se produjeron 40.000 ciberataques diarios, un 125% m¨¢s que el a?o anterior, seg¨²n la empresa de soluciones de seguridad, Datos101. Si bien es cierto que en los ¨²ltimos a?os el n¨²mero de ciberataques no ha dejado de crecer, existen determinados factores, como la pandemia o la extensi¨®n del teletrabajo que, seg¨²n los expertos, han contribuido a que el crecimiento en 2021 haya sido tan exponencial. Ahora, en plena guerra entre Rusia y Ucrania, ese riesgo se ha incrementado de nuevo y hace unas semanas la ministra de Defensa, Margarita Robles, anunci¨® que el nivel de alerta ante ataques en el ciberespacio se elevaba a 3 de los 5 grados posibles.

La prevenci¨®n sigue siendo la principal defensa frente a la amenaza de los ciberataques, y es ah¨ª donde los abogados tienen un papel fundamental, concretamente en la adaptaci¨®n de las organizaciones al marco regulatorio protector. Estas m¨¢s de 50 normas se encuentran recogidas en el C¨®digo de derecho de ciberseguridad, estructurado en ocho grandes bloques, entre los que est¨¢n, seguridad nacional, infraestructuras cr¨ªticas o protecci¨®n de datos.

Los sujetos obligados de estas normativas, salvo las m¨¢s generales, como el Reglamento general de protecci¨®n de datos, son, como se?ala Jes¨²s Y¨¢?ez, socio de ciberseguridad de ECIJA, la Administraci¨®n p¨²blica y sus proveedores, las infraestructuras cr¨ªticas y los servicios esenciales. Estas entidades son precisamente el principal objetivo de los ciberataques dirigidos que surgen en respuesta a las sanciones impuestas a Rusia, afirma Jes¨²s Iglesias, socio de Clyde & Co. Y es que, desde que se inici¨® la invasi¨®n de Ucrania, han sufrido este tipo de ataques compa?¨ªas de infraestructuras cr¨ªticas como Iberdrola, entidades p¨²blicas como la Polic¨ªa Nacional o la Agencia Tributaria, tecnol¨®gicas como Microsoft y Apple, as¨ª como la gran mayor¨ªa de bancos espa?oles (BBVA, Santander, Caixabank, Sabadell Liberbank), entre otros.

Sin embargo, no son el ¨²nico blanco de la ciberdelincuencia. Los ciberataques generalizados siguen produci¨¦ndose a gran escala y atentan contra todo tipo de empresas, desde pymes a multinacionales. ¡°En Rusia, hay organizaciones que se dedican al cibercrimen y aprovechan cualquier conflicto para incrementar los ciberataques¡±, explica Cristina Cajigos, ejecutiva de cuentas de Grupo Paradell Technologies, consultora especializada en riesgo digital y corporativo. En cuanto al m¨®vil por el que se realiza un ataque cibern¨¦tico, Y¨¢?ez admite que, puede ser tremendamente variado, ¡°desde un rescate econ¨®mico al acceso a informaci¨®n secreta, o una venganza de un extrabajador que sabe que las medidas de seguridad de su antigua empresa son m¨ªnimas¡±.

Cumplimiento normativo

Por todo ello, cada vez m¨¢s empresas cuentan con un programa de cumplimiento normativo en ciberseguridad, a trav¨¦s del cual, como explica Natalia Martos, fundadora de Legal Army, se identifican los riesgos y vulnerabilidades y se valoran las probabilidades de que se produzca un ciberataque. ¡°Se hacen test, se instalan controles de los que se verifica su eficacia, se crea un repositorio de evidencias y se generan medidas mitigadoras de riesgos¡±, describe Martos.

Un control que, como indica Y¨¢?ez, tambi¨¦n implica evaluar a los proveedores tecnol¨®gicos de la empresa en materia de seguridad e incluso, exigirles medidas efectivas por contrato. ¡°Hay que negociarlas con ellos, negociaciones que ya adelanto no son f¨¢ciles, pero s¨ª necesarias. Ello no s¨®lo nos ayudar¨¢ a evitar posibles brechas, sino que adem¨¢s servir¨¢ para demostrar nuestro compromiso y diligencia en esta materia¡±, advierte.

Para Cajigos tambi¨¦n hay que prestar especial atenci¨®n a la sensibilizaci¨®n y formaci¨®n sobre los riesgos por parte de los empleados. ¡°El 90% de los ciberataques en las pymes viene por un fallo humano que est¨¢ fuertemente vinculado a la concienciaci¨®n y al clima laboral¡±, afirma. De hecho, los m¨¢s frecuentes son aquellos en los que se emplea ingenier¨ªa social, que como define Y¨¢?ez, no explotan las vulnerabilidades t¨¦cnicas, sino que enga?an al usuario haci¨¦ndole creer que est¨¢ introduciendo sus credenciales de acceso en sitios leg¨ªtimos, que en realidad no lo son. Se trata de los supuestos de suplantaci¨®n de identidad corporativa o de sus representantes, con el objetivo principal de defraudar a terceros y obtener un beneficio econ¨®mico. ¡°Uno de los m¨¢s comunes es el de la falsificaci¨®n de facturas, mediante el cambio del n¨²mero de cuenta donde debe realizarse el pago¡±, avisa iglesias.

Como resultado, las empresas a las que se les suplanta su identidad, comenta Martos, ¡°sufren terribles consecuencias, ya que sus clientes suelen ser objeto de robos y extorsiones que, inicialmente, pudieran parecer de su responsabilidad¡±. Por ello, la consejera delegada de Legal Army recomienda que la entidad v¨ªctima deje constancia de todos los datos del ciberataque y se ponga inmediatamente en contacto con las unidades especializadas de las Fuerzas y Cuerpos de Seguridad del Estado para contenerlo y, en ¨²ltima instancia, tras un proceso de investigaci¨®n forense, intente averiguar qui¨¦n est¨¢ detr¨¢s. ¡°Algo que es realmente complejo por la falta de trazabilidad de las acciones en el mundo cibern¨¦tico¡±, reconoce.

Por su parte, Cajigos a?ade como pasos a seguir para mitigar el da?o, detectar el origen del ataque, as¨ª como las vulnerabilidades para poder solucionarlas, e informar a la Agencia de Protecci¨®n de Datos en caso de perder datos cr¨ªticos. Eso s¨ª, insiste en la prevenci¨®n como aspecto clave. ¡°Si preparas la infraestructura para la detecci¨®n de intrusiones, tienes backups descentralizados con los datos cr¨ªticos, un plan de recuperaci¨®n de desastres y un plan de continuidad de negocio, el tiempo de reacci¨®n ser¨¢ m¨¢s corto y el impacto del ciberataque mucho menor¡±, concluye.

Seguros espec¨ªficos

Contratar un seguro de ciberriesgos, seg¨²n Jes¨²s Iglesias, socio de Clyde & Co, ¡°ayuda a que las empresas puedan responder y gestionar adecuadamente un ciberataque, y reduce los perjuicios financieros, legales o reputacionales derivados¡±. Estas p¨®lizas, explica el abogado, suelen incluir servicios de gesti¨®n de respuesta a incidentes y proporcionan un panel de diferentes proveedores, como t¨¦cnicos, asesores legales, o empresas de relaciones p¨²blicas, que intervendr¨¢n si se da el caso. Tambi¨¦n es habitual que cubran las multas administrativas que puedan imponer las autoridades de protecci¨®n de datos, el reembolso de los pagos de rescate realizados en caso de extorsi¨®n cibern¨¦tica, o la posible responsabilidad civil del asegurado derivada del incidente.