No es un obstáculo de índole tecnológica el que impide a las empresas hacer frente a los ciberataques. En numerosas ocasiones, según Francisco Valencia, CEO de Secure&IT, de lo que carecen éstas es de las medidas adecuadas, integradas en una estrategia holística, para abordar los contratiempos que se derivan de la ciberdelincuencia.
Tal y como recalca a Soziable, resulta necesario concienciar a la alta dirección corporativa de que las consecuencias de un ataque de estas características son un problema que pertenece a la propia empresa –no al ‘informático’, que es quien, en última instancia, aporta la solución– y que es ésta quien debe dar los pasos imprescindibles en materia organizativa, jurídica y técnica.
En esta entrevista, además, Valencia detalla los servicios que prestan desde Secure&IT, entre los que se encuentra el de tratar de frenar los efectos de un ciberataque; explica qué debe tener una buena estrategia de ciberseguridad y cuáles son los asaltos cibernéticos más comunes en la actualidad; y ofrece una serie de recomendaciones concretas para intentar adelantarse al cibercrimen.
- ¿Qué es Secure&IT y qué servicios prestan en la compañía?
Secure&IT es una compañía líder en ciberseguridad que nace hace 15 años y que ofrece servicios integrales de protección de la información y de los procesos de empresas y administraciones de todos los tamaños y sectores.
Tenemos cinco líneas de trabajo. La primera se centra en el ámbito jurídico y, en ella, ayudamos a las organizaciones a satisfacer la demanda jurídica en materia de información. Tenemos una segunda línea basada en procesos corporativos de seguridad, donde ayudamos a la empresa a poner orden en su información, a establecer políticas, procesos, procedimientos, análisis de riesgos, marcos de actuación ante un incidente…
Además, contamos con dos líneas tecnológicas, una en el ámbito de IT y otra en el industrial, donde implantamos las tecnologías de ciberseguridad que son necesarias para la reducción de los riesgos (firewalls, antivirus, sistemas avanzados de protección…).
Y en la última línea, tenemos dos centros de operación que trabajan 24x7 desde Madrid y Vitoria, donde estamos detectando y neutralizando del orden de 40.000 intentos de ciberataque diarios.
- ¿A qué tipo de clientes se dirigen, principalmente?
Nuestro cliente principal es una compañía privada de todos los sectores. Estamos muy metidos en el mundo sanitario, en el industrial y en el de energías renovables, en el del retail y la alimentación y en el de las aseguradoras, las compañías de abogados… Y son empresas desde un tamaño mediano hasta Enterprises. Nuestro porfolio está pensado para empresas a partir de 50, 100 o 200 empleados en adelante.
Si el cibercrimen fuera un país, sería el tercero más grande del mundo
También tenemos una línea fuerte en la administración, tal vez no tanto como en el sector privado, pero sí ayudamos a ayuntamientos, a las administraciones autonómicas y a la Administración General del Estado a satisfacer, por ejemplo, ámbitos como el del Esquema Nacional de Seguridad o la Protección de Datos o la vigilancia y respuesta en ciberseguridad.
- ¿Qué debe tener una buena estrategia de ciberseguridad?
La ciberdelincuencia, o el cibercrimen global, es un sector que mueve el 1,5% del PIB mundial. Mueve muchísimo dinero. Si fuera un país, sería el tercero más grande del mundo. Los cibercriminales van a seguir desarrollando nuevas formas. Por cada euro que nos gastamos en ciberseguridad, se invierten 1.000 en cibercrimen. Por lo tanto, no hay ninguna estrategia de ciberseguridad infalible. Ahora bien, muy eficaces sí.
Lo que debe tener una estrategia de ciberseguridad es que sea holística, que se vea desde el punto de vista global, que integre ámbitos de procesos corporativos, de que alguien diga cómo deben hacerse las cosas dentro de la organización y establezca políticas, formación, concienciación, marcos de actuación… Y tiene que satisfacer el marco jurídico, que está muy bien escrito, sobre todo a partir de todo lo que se está reescribiendo, la nueva Directiva NIS, el nuevo Esquema Nacional de Seguridad, la nueva Protección de Datos…
- ¿Según su experiencia, en qué sectores de actividad se producen más ciberataques?
El ciberatacante trabaja con varias motivaciones. Hay grupos de cibercrimen que están más centrados en ámbitos geopolíticos. En este caso, existen grupos prorrusos que, por ejemplo, lanzan ataques con fines políticos en sectores que se consideran estratégicos, en las infraestructuras críticas: energía, alimentación, transportes, aguas…
Y luego hay grupos de ciberdelincuencia, los más comunes, que buscan nuestro dinero. Y éstos se dirigen a aquellos sectores que más probablemente vayan a pagar un ataque: sanidad, la administración pública y la industria. Son los tres sectores más proclives de pagar un rescate y, por lo tanto, donde más ataques se lanzan. Hay un sector que es un clásico, el de la banca, pero es verdad que ésta está especialmente bien protegida y, entonces, los impactos, aunque los hay, son menores.
- ¿Cuáles son, en la actualidad, las formas más comunes de ciberataques?
Los ataques más temidos por las organizaciones son el famoso ransomware. Éste ha tenido una evolución desde el primer conato, que fue el que atacó a Telefónica hace ya unos años y que consistía en ‘yo te cifro los datos y, si no me pagas, no los recuperas’.
Ese chantaje ha ido evolucionando de forma que, en los últimos años, ya no solamente cifran los datos, sino que primero los copian. Y entonces, si no pagas, no sólo no los recuperas, sino que encima los hacen públicos, incrementando el daño reputacional y jurídico que puedas tener por la publicación de tu información.
A partir de ahora, se espera una evolución de los ciberataques muy basada en la inteligencia artificial generativa
A éstos se han añadido dos chantajes nuevos durante los dos últimos años. Uno consiste en apuntar a la persona clave que tiene que tomar la decisión de pagar un rescate. Observan a esta persona, que es el directivo de la empresa, y dicen ‘mira qué coche conduce, a qué colegio lleva a sus hijos, dónde he pasado de vacaciones, cuánto dinero gana… Y en cambio no quiere pagar el rescate porque en el fondo todos los datos de la organización le dan igual, solamente quiere su dinero’. Entonces, se hace un apunte mediático que va contra el VIP.
Y la cuarta forma consiste en que ellos mismos te ponen la denuncia después de atacarte para obligar a la Agencia de Protección de Datos a la Policía a actuar de oficio.
A partir de ahora, se espera una evolución muy basada en la inteligencia artificial generativa: simular que estás en un audio, en una videoconferencia, en una llamada con alguien que no es y que ha sido generado por ordenador. Y esto va a generar muchas ciberestafas en particulares y mucho ciberataque.
- En general, ¿están las empresas y las administraciones públicas preparadas para hacer frente a estos ataques?
Antes contaba que el cibercrimen mueve más de un trillón de dólares, el 1,5% del PIB mundial. Pero la digitalización de la sociedad crece más que el cibercrimen. Por lo tanto, algo bien estamos haciendo. España es uno de los países más atacados del mundo, pero también es verdad que, aunque no es uno de los países más defendidos, sí que estamos en la cabeza si nos comparamos con todos los países del mundo. Pero, desde luego, queda mucho por hacer.
La empresa de determinados sectores, especialmente banca, suele tener un grado de madurez mayor. La administración pública, depende, pues no es lo mismo un Ministerio de Defensa que un Ayuntamiento de la España vaciada. La administración pública, de media, tiene un nivel de seguridad que aún es bajo; y en la empresa privada pasa un poco lo mismo.
En general, salvo en sectores específicos, el nivel de seguridad todavía es bastante mejorable y muchísimas pymes aún no han implantado las medidas casi básicas de seguridad.
- ¿Qué carencias han detectado, tanto en el sector público como en el privado, en relación con su ciberseguridad?
La carencia que más detectamos no es tecnológica. Las empresas suelen tener tecnología, pero lo que suele faltar más es el plano organizativo. Y muchas suelen pensar que ése es un problema del informático. Yo siempre digo es que el informático tiene la solución, pero no el problema: el problema lo tiene la empresa.
Cuando la empresa asuma que el problema es suyo y, por lo tanto, quien intervenga sea el comité de dirección o el consejo de administración para decidir las medidas organizativas, jurídicas y técnicas que deben implantar, ya estaremos en camino de que la compañía sea bastante cibersegura.
En general, el nivel de seguridad todavía es bastante mejorable y muchísimas pymes aún no han implantado las medidas casi básicas de seguridad
Stephen Hawking decía que la física no es difícil, pero los físicos hacen que parezca difícil. En ciberseguridad, sucede un poco lo mismo. Esto es fácil, es barato, exige un poco de disciplina y poca cosa más. Así que yo diría que la principal carencia es la organización.
- Para suplirlas, ¿qué recomendaciones ofrecería?
Hay que concienciar al alto mando, a los consejos de administración, a los comités de dirección… para que asuman que el problema realmente es suyo y, a partir de ahí, establezcan un plan apoyado por profesionales porque esto es más fácil hacerlo con compañías como la nuestra o nuestros competidores, que de verdad sabemos hacerlo muy bien. Y que sigan haciendo las mismas cosas, pero de una forma un poco más segura.
No hablamos de comprar un coche con mejores frenos, sino de saber conducir mejor. Y por eso es necesaria la colaboración de esta alta dirección.
- Según un informe de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), el sector de la salud es uno de los que más ciberataques recibe. ¿Qué hace de este ámbito algo atractivo para los ciberdelincuentes?
Pues son varias cosas. Una de ellas es que es un sector bastante regulado y, por lo tanto, por la Protección de Datos y las normativas asociadas a la privacidad, es más probable que una compañía sanitaria que sufre un ataque decida pagar para no enfrentarse a sanciones que pueden ser costosas y que encima tienen un daño reputacional a veces mayor que el propio ciberataque.
Hay otra parte fundamental y es que puede haber vidas en peligro. Si, por ejemplo, consigo parar la actividad de un hospital que tiene 100 personas en la UCI y, de repente, no saben ni cómo son, ni cuántos son, ni cómo se llaman, ni qué hacen allí… probablemente haya un factor de urgencia que haga que también realicen este pago.
Y también hay grupos de ciberdelincuentes que son más bien activistas y que creen que la sanidad debe ser igual en todo el mundo y que en Europa tiene que haber el mismo nivel sanitario que en que en países africanos, latinoamericanos o asiáticos.
- Este mismo estudio sostiene que la información robada en el sector de la salud mediante ciberataques puede llegar a venderse en el mercado negro. ¿Qué cifras se están llegando a pagar por esta información?
El pago es bastante variopinto. Por ejemplo, hay grupos que están pagando entre 30, 50 o 100 dólares por historial. Casi siempre se venden de forma agrupada y, entonces, el precio por historial baja.
No hay una fórmula mágica para acabar con la ciberdelincuencia, pero debemos intentar reducirla. Y esto pasa por la educación y por implantar medidas de seguridad en todo lo que hagamos
¿Y quién lo compra? Pues lo compran distintos grupos, casi siempre criminales, con distintas motivaciones. Por ejemplo, yo me puedo coger una lista de personas que están afectadas por una patología concreta y a ellos mandarles un spam diciendo que yo tengo la cura y que es una pastilla que hemos inventado en un laboratorio… A veces se puede jugar con la desesperación de ciertas personas, pero, evidentemente, no hay pastilla ni cura, solamente es una estafa. Y ya saben a quién dirigirla.
También se hacen chantajes. Se cogen historiales de personas que tengan determinada patología, por ejemplo, una ETS, y se dirigen a ellos diciéndoles ‘Sé que tienes esto. O me pagas o lo voy a hacer público’. Y hay quien no quiere que lo sepan en su empresa, en su familia, en su entorno de amigos… y se acaba sometiendo a este chantaje.
- ¿Y en otros sectores, como la banca, los seguros o la administración pública?
El dato no es exactamente comparable. Por ejemplo, las cuentas bancarias, las cuentas de Paypal y las tarjetas de crédito también se cotizan. Y mucho, evidentemente. Suelen cotizarse en función del dinero que tengan dentro. Hay páginas que te dicen ‘Tengo una persona con una cuenta de Paypal en la que tienen 300 euros y te lo vendo por 30 dólares’. Se suele comprar por el dinero que haya dentro.
Una dirección de correo electrónico se vende por dos o tres céntimos; una foto de un menor comprometida puede llegar a costar hasta 100 dólares; un vídeo de una persona en una situación comprometida, en una actividad sexual o algo así, se puede cotizar hasta por 200 o 300 dólares y también depende de la persona que sea.
Estos ataques suelen ser más particulares y, en cambio, la información sanitaria suele ir agrupada: ‘Ataco a un hospital y robo 1000 historiales’ y, por lo tanto, el paquete es más caro cuando se habla del entorno sanitario.
- La ciberdelincuencia y las formas en las que se producen los ciberataques no parecen ser algo que se detenga. ¿Cómo de complicado es adelantarse a la ciberdelincuencia o suprimir sus efectos cuanto antes?
Es muy difícil hacer que se supriman los efectos. Lo que debemos hacer, y tenemos la obligación ética en esta generación, es que la ciberdelincuencia no sea rentable. Porque mueve muchísimo dinero, una cantidad ingente, más del doble que el tráfico ilegal de armas, drogas y trata de personas juntos.
Todo va a estar en un mundo digital y tenemos que lograr que sea razonablemente seguro. Creo que no hay una fórmula mágica para acabar con la ciberdelincuencia, pero debemos intentar reducirla. Y esto pasa por la educación, fundamentalmente de los empresarios, y por implantar medidas de seguridad en todo lo que hagamos. No es algo costoso y tampoco es complejo una vez que lo conoces. Al final, es un tema de disciplina empresarial.