Los ataques informáticos pueden causar estragos a las empresas, como lo constata Cipherbit-Grupo Oesía, una multinacional dedicada a la ingeniería tecnológica y digital con delegación en Euskadi. Su jefe de operaciones, Alfredo Díez, sitúa el reto en proteger a las organizaciones más pequeñas, que en muchos casos trabajan con grandes compañías a las que pueden contagiar.

¿Se han intensificado los ciberataques en el mundo empresarial? 

Llevamos ya muchos años en los que la cibercriminalidad sube, especialmente contra las empresas y las administraciones públicas, y la conflictividad internacional no nos ha venido nada bien porque los casos han crecido exponencialmente.

¿Quién está detrás de ellos? 

Debemos olvidarnos de chicos con capucha en el garaje porque eso ya no existe. Hoy en día son organizaciones criminales perfectamente estructuradas, como las que se dedican al mundo de la droga. La cibercriminalidad es una actividad muy lucrativa porque se puede realizar desde países muy alejados a los que no llegan los medios normales de investigación, y además los ciberataques se pueden lanzar a mucha gente a la vez. 

¿Qué persiguen?

Los motivos son económicos. Ahora se conocen muchos casos de robo de datos que conllevan un rescate de millones de euros y dólares, y de ahí que interese más el mundo empresarial e industrial, y también las organizaciones gubernamentales, que las personas individuales. No obstante, los ataques contra personas se siguen produciendo y es un tema del que la población se tiene que preocupar. 

Además del económico, ¿tienen algún otro objetivo? 

Sobre todo es el económico, aunque también existen motivaciones secundarias, como dañar la reputación de una empresa o el robo de datos para utilizarlos con fines comerciales, que por otro lado no deja de tener una finalidad económica. 

“Existen empresas que han sido atacadas y lo saben, y otras que también han sido atacadas pero no lo saben, todas son objetivo”

¿Qué perfil de empresa suele recibir estos ciberataques?

Absolutamente todas, aunque la mayoría no se entera. Los profesionales de la ciberseguridad siempre decimos que existen empresas que han sido atacadas y lo saben y empresas que no lo saben. No hay empresa que no haya sido atacada o haya recibido un intento de ciberataque. Las empresas grandes lo detectan porque tienen servicios dedicados a ello, pero todas son atacables. 

¿A qué sectores hay que vigilar más?

Hay que tener mucho cuidado con las infraestructuras críticas, las que nos dan energía, agua, transportes, porque desde que volvemos a tener armas en territorio europeo son un objetivo de criminalidad. También los hospitales han sufrido desde la pandemia un aumento de ciberataques muy alto. Intentan hacer el mayor daño posible y atacan a las actividades de las que más depende la sociedad para asegurarse un rescate.

Hay voces que alarman de su capacidad de crear un caos con, por ejemplo, la descoordinación de semáforos. 

Se han dado casos en algunos ayuntamientos, pero no hay que alarmar a la población, porque también los que estamos en la parte de los buenos estamos trabajando.

Es importante la prevención, pero en el caso de que suceda, ¿qué puede hacer la firma atacada?

Primero debe contener ese daño, establecer mecanismos para que no se extienda. El problema suele llegar por un ordenador o un servidor, por lo que tiene que aislar la máquina para que no lo expanda al resto de la organización, y para ello necesita profesionales que sepan cómo enfrentarse a estos problemas. Una vez aislado, lo siguiente es avisar a las autoridades para que puedan actuar no solo en este caso, sino también en otras organizaciones a las que les puede ocurrir lo mismo. Por último, debe recuperar la información perdida o la disponibilidad del sistema. 

¿Qué grado de exposición tienen las empresas vascas? 

Una de las peculiaridades del tejido empresarial vasco es su fuerte carácter industrial, y el 40% de los ciberataques se dirigen a infraestructuras físicas hasta conseguir parar el proceso productivo durante cierto tiempo, consiguiendo hacer muchísimo daño. Respecto al grado de exposición, en comparativa con el resto del Estado y con el resto de la Unión Europea, Euskadi no está en un mal lugar lo que no quiere decir que nos podamos relajar. Hay mucho por hacer.

“En comparativa con el Estado y el resto de la Unión Europea, Euskadi no está en mal lugar, lo que no significa que nos relajemos”

¿Cuáles son sus principales vulnerabilidades? 

La principal es que está conectada a una red y esa red puede estar conectada a Internet. La industria puede saberlo porque es necesario para el propio proceso, pero en muchas ocasiones ni siquiera lo sabe, porque procede de alguno de sus técnicos que ha establecido una conexión con una aplicación y expone a la organización a un ataque exterior. También debemos tener en cuenta que los ciberataques no siempre llegan de fuera, a veces vienen de empleados enfadados o de personas que logran acceder a las instalaciones e instalar a través de un usb o de un puerto un virus, que en el peor de los casos puede destruir un proceso industrial. Incluso podría atentar contra la vida de las personas si se atacara, por ejemplo, a una central nuclear o una industria química. Por eso tenemos que tener especial cuidado con el entorno industrial, porque ese potencial de daño no es solo informático, digital, puede ser también físico.

¿Qué consejos daría a las empresas? 

Primero, que se conciencien y que estén informadas. Después, que conozcan su propia empresa mediante un análisis de riesgos, qué activos debo proteger y de qué los tengo que proteger. Y una vez que tenemos estas cosas claras, establecer mecanismos de protección. No podemos esperar a tener el problema para actuar. Siempre destacamos que entre el 80 y el 90% de los ciberincidentes empiezan por un error humano, los trabajadores tienen que conocer qué deben hacer y a quién deben acudir si reciben un correo electrónico sospechoso.

¿Qué inversión requiere implantar un sistema de protección? 

Depende. Hay posibilidades desde la banca, que invierte muchísimo dinero, hasta el sistemas de seguridad y soluciones tecnológicas muy sencillas. Me gusta poner el ejemplo de los móviles de empresa. La licencia de algunos agentes cuesta 50 euros anuales, que es un coste que cualquier directivo se puede permitir, y que escanea todos los correos electrónicos y todos los whatsapps. Hay mecanismos que con una inversión no tan elevada pueden funcionar.

“Debemos tener especial cuidado con el entorno industrial, porque el daño no puede ser solo digital, sino también físico”

¿Es aconsejable crear un equipo de ciberseguridad en la empresa?

Lo mejor es un sistema híbrido, es decir, tener personal que sepa de ciberseguridad dentro de la empresa es fundamental, porque es quien entiende la realidad de tu día a día, de un proceso productivo. Y luego puedes tener muchos servicios externalizados que no estén todos en el mismo lugar, porque el que implanta las medidas de seguridad y quien las audita no deberían ser el mismo para que sea útil. 

¿Es factible en una organización pequeña?

El reto está en cómo llegamos a las pymes y a las entidades locales muy pequeñas. Por un lado, no son capaces de tener la inversión necesaria y, por otro, las empresas que nos dedicamos a prestar servicios de seguridad tampoco somos capaces de rebajar nuestro coste para atenderles una a una. En todos los foros en los que hay autoridades siempre les digo que tienen que ser ellas quienes establezcan un mecanismo, porque para nosotros no es rentable atender a una pyme, pero si nos empaquetan 200 pymes, seguramente con un protocolo similar para todas sería sencillo. Creo que las asociaciones empresariales y las administraciones públicas tienen un reto de llegar a esta industria, que además es la que se conecta la gran industria. Nunca estaremos protegidos debidamente si tenemos un tejido empresarial cuyo 80% es pequeña empresa que carece de sistemas de protección.