Ciberseguridad: cuando el gasto en prevención es más que rentable

Los expertos detectan falta de formación y conciencia en las empresas a la hora de proteger su sistema y sus datos; un ciberataque puede tener como resultado pérdidas millonarias


Redacción / La Voz

Si una empresa tuviese que responder hace una década con una lista de sus principales preocupaciones, pocas incluirían la ciberseguridad. Muchas no lo hacen ni hoy en día. Es la situación que tienen testada los expertos en la materia. Falta mucha concienciación en las compañías sobre los riesgos que están corriendo al no proteger su red, sus sistemas financieros o los datos que manejan. Es decir, su todo. Porque hoy en día todo, absolutamente todo, pasa por la red. «En algunas empresas, sobre todo en las pequeñas, se parte de cero». Así resume la analista forense y perito judicial informático Pilar Vila los casos que trata a diario. Entre ellos, pone como ejemplo gestorías o despachos de abogados que no tienen copias de seguridad en condiciones. «Conozco empresas que han cifrado sus datos dos o tres veces y siguen igual. Puede ser por falta de medios, pero la otra parte es mentalidad».

Los expertos consultados coinciden: las pequeñas compañías son las más vulnerables. «La pyme vive el día a día. Los recursos son más limitados y no dan importancia a estas cosas. Las empresas no se imaginan qué les puede pasar. La ciberseguridad no se ve a corto plazo como una inversión», explica Pilar Vila. «Las pymes y empresas nacionales no parecen haberse dado cuenta de los riesgos. No suele entrar en sus presupuestos la inversión necesaria en ciberseguridad», explican desde Ancite, la Asociación Nacional de Ciberseguridad y Pericia Tecnológica.

Los datos y los casos más conocidos de los últimos años les dan la razón. Según Incibe, el Instituto Nacional de Ciberseguridad, solo en el 2017 se registraron en España más de 120.000 incidentes de seguridad. Incidentes, que no ciberdelitos. Del total, 116.000 estuvieron relacionados con ciudadanos y empresas. Son solo los que han llegado a su conocimiento. Tres años antes, en el 2014, registraban unos 14.000. Un crecimiento de la incidencia enorme. El ataque más habitual tiene que ver con virus, troyanos o spyware. Más de 80.000 solo el ejercicio pasado.

Los escándalos han sido innumerables, pero WannaCry marcó en mayo del 2017 un antes y un después. Este ransomware cifraba el contenido de los ordenadores para pedir después un rescate. Dejó a las empresas bloqueadas. Atacó a 200.000. Telefónica o el servicio de salud británico fueron solo dos de sus víctimas. «Muchas empresas se concienciaron de los riesgos que existen y tomaron medidas», dice José Manuel Vázquez-Naya, ingeniero informático y docente del Máster Interuniversitario en Ciberseguridad (MUniCS). Desde luego, en Tarlogic lo han percibido. «WannaCry fue determinante, pero aún queda mucho trabajo. Hace solo unos días, la cadena de hoteles Marriott sufrió una brecha que afecta a 500 millones de clientes. Sin duda, el daño reputacional es uno de los mayores para una empresa. La normativa europea obliga a las empresas a notificar estos incidentes. Más aún, si afectan a datos personales», dice Andrés Tarascó, CEO de la firma gallega de ciberseguridad. «Con la entrada en vigor del Reglamento General de Protección de Datos el pasado mayo, algunas compañías se han dado cuenta de las posibles sanciones económicas», dicen los responsables de Ancite. «Muy pocas empresas cumplen el RGPD, ni aquí ni en ningún país europeo. Las noticias que trascienden hacen creer que solo las empresas grandes están afectadas, pero todas lo están», dicen los coordinadores del MUniCS, Carlos Dafonte y Francisco J. Nóvoa.

Sony fue en su día una de las atacadas. En concreto, su sección audiovisual. Tuvo que detener incluso sus producciones. Igualmente conocido fue el escándalo Ashley Madison. La web de citas tuvo que pagar en 2016 más de 1,5 millones de dólares a la Comisión Federal de Comercio de Estados Unidos por el robo de los datos de 36 millones de usuarios en 46 países de todo el mundo.

Luis Jurado, abogado especialista en la materia, se encarga de encontrar soluciones a los ciberdelitos en los tribunales. «Detrás de la inmensa mayoría del malware están expertos cibercriminales, que a su vez alquilan sus servicios a distintas personas u organizaciones. También hay cibercriminales con métodos rudimentarios que consiguen éxitos». Y no solo esto, que suena a ficción de la gran pantalla: el «enemigo» está en casa.

«El principal punto débil siempre está en los empleados: por usar contraseñas débiles, por compartir información sensible, por reutilizar contraseñas de la empresa con servicios ajenos a la compañía o por no darle importancia a acciones que realizan en Internet o con su email», enumera Tarascó. «Hay que tener un mínimo de control, saber lo que pasa por dentro. Los que atacan no solo están fuera », sigue Pilar Vila. Y no solo eso: Ancite apunta a que la seguridad «tiene que estar bien documentada. El trabajador tiene que conocer las reglas. Incumplir la política de seguridad puede acarrear sanciones o ser motivo de despido procedente».

El campo es tan amplio que faltan profesionales. Vázquez-Naya, docente del MUniCS, explica que el escenario de paro es igual a cero. «Los que se forman necesitan una base sólida de conocimientos sobre ingeniería informática, pero también capacidad de adaptación y autoaprendizaje. Todas las empresas necesitarán profesionales de ciberseguridad. En Galicia hay demanda, pero fuera más. Hay más mercado. Además, su capacidad no siempre está correspondida con los salarios que se ofrecen en España. Esto hace que la gente se acabe yendo fuera: pueden desarrollar su carrera y reciben un buen sueldo», explica el docente.

LA ÚLTIMA POLÉMICA

Nadie duda del valor de los datos, pero hay polémicos usos que los devuelven a los titulares. El pasado noviembre, el Senado aprobaba la nueva Ley Orgánica de Protección de Datos (LODP). Una normativa en la que hay un punto importante. Los partidos políticos pueden enviar a los ciudadanos propaganda electoral sin autorización a través de dispositivos electrónicos o el correo electrónico. Es decir, pueden acceder a datos públicos. La Agencia Española de Protección de Datos reaccionó de inmediato: mantienen que podrán hacerlo, pero «no de forma personalizada, ni creando perfiles con datos ideológicos, religiosos o de otros tipo». Los analistas sostienen que proteger toda esta valiosa información será un reto pero, sobre todo, una obligación para evitar desmanes.

«Lo que diferencia a las empresas es qué hacen para solucionarlo»

G.V.

La «excelencia profesional» es su lema. Nacían hace cinco años, conscientes de que en este mundo hay «mucho atrevimiento». Ancite, la Asociación Nacional de Ciberseguridad y Pericia Tecnológica, cree que entre tanta demanda se cuelan los profesionales poco formados. «Se ve gente con conocimientos muy bajos ofreciendo servicios a organizaciones en las que no se ha invertido lo suficiente en formación o no se cuenta con experiencia previa. Un verdadero profesional de la seguridad informática sabe rechazar un trabajo porque no se ve capacitado para llevarlo a cabo. Y eso no siempre pasa», aseguran José Luis Narbona, Lorenzo Martínez y Alfonso González, miembros de la junta directiva de este colectivo de profesionales, que también mantienen que las empresas reaccionan cuando ya han tenido un incidente. «Invertir en prevención siempre es lo recomendable. La reputación empresarial es clave para la operativa de una organización. Una brecha en los sistemas es negativa para la percepción del cliente, hay una pérdida de confianza. Influye en la facturación, así como en la captación de nuevos clientes».

Seguir leyendo

«Hay déficit de estos profesionales por todas partes»

Gladys Vázquez

Son poco más de una veintena de alumnos, pero se están formando para cubrir las vacantes que está demandando con ansiedad el tejido empresarial gallego y nacional. Es la consecuencia de la necesidad de las empresas de dotarse de talento en lo que a la ciberseguridad se refiere. Hace un par de meses arrancaba el Máster Interuniversitario en Ciberseguridad (MUniCS). Un proyecto en el que se dan la mano la UDC y la UVigo. «Tenemos 25 estudiantes. Es un buen número para el primer año. Como esperábamos, el perfil está muy centrado en Informática y Telecomunicaciones, pero hay sorpresas agradables como un estudiante de Derecho con una fuerte formación de base en tecnologías y algunos ingenieros industriales, una formación que se adapta muy bien en este entorno», aseguran Carlos Dafonte, coordinador de MUniCS en la UDC, y Francisco J. Nóvoa, presidente de la Comisión Académica. Lo dicen con orgullo, conscientes de que se trata de una formación con gran demanda entre las empresas.

Seguir leyendo

«No suelen hacerse públicas las extorsiones»

Gladys Vázquez

Lo suyo es resolver problemas al más alto nivel. Dicen de sí mismos ser una «boutique». Tarlogic lleva siete años galopando al ritmo de la tecnología. Son una empresa especializada en ciberseguridad y ciberinteligencia. Un equipo de 48 personas que prevé acabar el 2019 con 20 incorporaciones más. «Los sistemas se han vuelto más complejos, pero se repiten los mismos errores. Con la proliferación de los dispositivos IoT (Internet de las cosas), nos volvemos a encontrar con problemas de seguridad que había a finales de los 90 y que llevaban años resueltos».

Seguir leyendo

«Los empresarios más hábiles se adelantan»

Gladys Vázquez

Cada vez hay más abogados que se especializan en delitos informáticos, pero pocos que se dediquen a ello de forma diaria. Es el caso de Luis Jurado. «La demanda es cada vez mayor por parte de las empresas, pero también por parte de otros abogados. Recurren a nosotros para entender estas situaciones y dar una mejor respuesta a sus clientes».

En su despacho de A Coruña se repiten frases como «siempre hemos trabajado así» o «yo de esto no sé». «Si después ocurre un ataque informático, les viene un baño de realidad que puede hacer peligrar la estabilidad de su negocio. Solo los empresarios más hábiles deciden adelantarse y poner el parche antes de que algo suceda».

Seguir leyendo

«Hemos visto de todo: somos los apagafuegos»

Gladys Vázquez

Ingeniera informática de formación, un curso de lo que en aquel momento sonaba tan extraño como peritaje informático la catapultó a su presente. A día de hoy, Pilar Vila y su equipo de Forensic & Security se reconocen «desbordados» de trabajo. «El aumento de las empresas que nos reclaman aumenta año a año. Cuando empecé, nadie había oído hablar de esto». Ellos son los «apagafuegos», el CSI que investiga cuando todo son crisis.

 

La Justicia es uno de los ámbitos que reclama sus servicios. «En ocasiones contactan con nosotros para pedirnos más explicaciones sobre nuestro informe. Si hay un juicio, siempre lo vamos a ratificar». Antes de llegar a ese punto, tienen por delante un trabajo ingente. Algo ha sucedido en una estructura o, como mínimo, se sospecha. «Solemos llegar cuando todo ha pasado. Cogemos evidencias e investigamos. Las empresas nos cuentan la situación y decidimos cómo actuar».

Seguir leyendo

Conoce toda nuestra oferta de newsletters

Hemos creado para ti una selección de contenidos para que los recibas cómodamente en tu correo electrónico. Descubre nuestro nuevo servicio.

Votación
2 votos
Comentarios

Ciberseguridad: cuando el gasto en prevención es más que rentable