“No se trata de gestionar la ciberseguridad en base a si vas a sufrir un ataque o no; hay que tener claro que te va a pasar”

Hoy, 30 de noviembre, se celebra el día internacional de la Ciberseguridad y ZIUR se ha convertido en un actor fundamental en materia de ciberseguridad en el territorio de Gipuzkoa. ¿Cuáles son a día de hoy las principales amenazas que rodean a la industria y a nuestra sociedad?

Esta semana hemos celebrado el quinto aniversario de la fundación ZIUR y, efectivamente, en estos cinco años ZIUR se ha constituido como una referencia en materia de ciberseguridad para nuestras empresas en un momento en el que las amenazas son reales. Todos estamos expuestos y hoy en día un ciberataque lo puede sufrir cualquiera. No se trata de gestionar la ciberseguridad pensando en si te va a pasar o no; hay que tener claro que te va a pasar, la pregunta es cuándo. Por tanto, es preciso anticiparse y hacer un trabajo previo, que nos permita reaccionar rápido y recuperar lo antes posible la actividad. A nivel económico, la ciberdelincuencia es una de las actividades que más réditos económicos aporta, de hecho, ya genera más dinero que el tráfico de armas o de drogas. Esta es una realidad que vivimos hace tiempo y que lamentablemente va a seguir creciendo. 

Lo cierto es que todos estamos expuestos. ¿Cuál es el objetivo de los ciberdelincuentes?

El objetivo es conseguir dinero de la manera más efectiva y rápida. Es cierto que la ciberseguridad ha evolucionado mucho en los últimos años. Atrás ha quedado aquella imagen del ciberdelincuente, una persona joven que actuaba desde el ordenador de su casa, buscando reconocimiento social por sus hazañas. Sin embargo, se ha convertido en una industria potente y organizada, con empresas que generan mucho dinero. Por otra parte, a nivel geopolítico, hoy en día las guerras se juegan no solo en el terreno físico, sino también, y en gran parte, en el ciberespacio. 

¿Cuáles son los ciberataques más habituales que sufren las empresas? 

A nivel empresarial el más habitual es el phishing, que supone el 95% de los ciberataques. Sucede cuando un trabajador recibe un correo electrónico de alguien haciéndose pasar por una entidad o por alguna persona de confianza. Con esa suplantación lo que consiguen es que el usuario, confiado, abra un adjunto o un link, lo que les permite entrar en la red de la empresa. Esto lo logran enviando un ransomware, es decir, un virus informático que cifra todos los sistemas. A partir de ahí, en muchos casos, los cibercriminales se llevan los datos que les interesan de la empresa y es en ese momento cuando empieza el chantaje, cuyo fin es económico. Es decir, los criminales te dicen que si quieres recuperar tus datos y que tus sistemas vuelvan a normalidad, tienes que pagar a cambio una cantidad de dinero.

¿Y a nivel personal?

Es habitual que recibamos algún correo haciéndose pasar por el banco o por alguna empresa de mensajería. En este caso, el objetivo también es que entremos en algún link, o bien para hacerse con nuestros datos personales, que luego pueden ser vendidos en el internet oscuro, o bien para obtener otros datos como el número de tarjeta, por ejemplo. Otro caso habitual es cuando se nos abre una página que parece la de una tienda que conocemos y donde solemos comprar habitualmente, pero realmente no lo es, por lo que hacemos una compra y luego el producto nunca llega, con lo que perdemos el dinero. 

ZIUR lleva cinco años trabajando en el ámbito de la ciberseguridad industrial de Gipuzkoa. ¿Cómo valora el nivel de protección de las industrias del territorio?

Lo cierto es que somos muy positivos, aunque queda trabajo por hacer. Cuando hablamos del sector industrial hay que ser conscientes de que ha sido uno de los últimos sectores en incorporar la ciberseguridad en sus organizaciones. De hecho, hace años, el objetivo de los primeros ataques masivos de ciberseguridad era el sector financiero, porque era el más conectado y el que más posibilidades ofrecía a los criminales para conseguir dinero. Pero hoy en día esto ha cambiado y como decía antes, todos estamos expuestos. Con respecto a las empresas del ámbito industrial de Gipuzkoa, vemos que tienen trabajo por delante por hacer, pero estamos satisfechos porque ya han dado el primer paso, el más importante, que es el de ser consciente de que la ciberseguridad es fundamental. Incluso vemos que las empresas más pequeñas también se muestran sensibilizadas y están empezando a hacer cosas en este sentido. ZIUR lleva cinco años llevando a cabo en Gipuzkoa una intensa labor de concienciación y de sensibilización, con el fin de llegar a todas las empresas, también a las pequeñas y medianas. Un indicador de que estamos haciendo las cosas bien es que empresas que trabajan a nivel nacional nos trasladan que aquí, en Gipuzkoa, se aprecia un nivel de sensibilización y concienciación más alto que en otros territorios. 

La industria de la automoción, de enorme peso en nuestro tejido industrial, se verá obligada en breve a tener que certificar como seguros sus procesos. ¿Cómo impacta en dicha industria la normativa europea que a partir de julio 2024 obliga a todos los vehículos matriculados a contar con un certificado de ciberseguridad?

Las instituciones europeas son conscientes de la realidad que nos rodea y el objetivo es claro: velar por la seguridad de todos los ciudadanos y obligar a las empresas a que sus productos y sus servicios sean seguros. Hoy en día, es fundamental garantizar la seguridad de los coches también a nivel digital, porque el coche conectado es una realidad. A nivel industrial, el sector de automoción es uno de los de los más adelantados y este verano ha sacado la normativa UNECE-R155 a través de la cual, cualquier vehículo a partir de dos ruedas que se matricule tiene que tener un sello de ciberseguridad; eso quiere decir que antes de sacar ese vehículo al mercado una entidad ha certificado que el sistema del vehículo está diseñado de manera segura y, por tanto, protegido frente a posibles hackeos. 

En este sentido, ZIUR ha elaborado un Libro Blanco que recoge el conjunto de normativas y estándares de ciberseguridad aplicables en los diferentes países donde opera la industria guipuzcoana. ¿Cuál es su objetivo y a quién va dirigido? ¿Cómo ha sido acogido?

En los últimos meses ha habido muchos cambios a nivel normativo y para las empresas es complicado estar al día de todos los cambios que se están produciendo no solo en Europa, sino en Asia o en Estados Unidos, porque a fin de cuentas compiten en todo el mundo. El objetivo es arrojar luz sobre este panorama normativo y el Libro Blanco es una herramienta para facilitar a las empresas toda la información relativa a la normativa de ciberseguridad vigente en cada país, pudiendo consultarla por sectores y por países para saber dónde poner el foco y qué les van a requerir en cada caso.