La amenaza cibernética no para de crecer. Tanto administraciones públicas como empresas tratan de protegerse frente a los ataques de los hackers que pueden comprometer datos que afecten a la seguridad nacional de los países o a los intereses comerciales privados. Es una amenaza que está en constante evolución, que se vuelve cada vez más sofisticada y resulta más lucrativa para sus autores. ¿Están los Gobiernos, las compañías y los usuarios preparados para una guerra que ya está aquí? ¿Existe la cultura de ciberseguridad necesaria para minimizar los riesgos?
Esas son algunas de las cuestiones que se abordaron esta semana en el marco del foro El Estado de la Amenaza Cibernética, organizada por El Independiente en la sede de Next Abogados. «Hay mucha pedagogía que hacer, porque esto va en serio. Y cada vez el riesgo va a ser mayor. Tenemos que usar sistemas de protección, bajo el entendido de que la seguridad total no existe. Quien piense que se va a blindar del todo, está equivocado», reflexionó el director de El Independiente, Casimiro García-Abadillo.
La Agencia Tributaria, el Punto Neutro Judicial o el Servicio Público de Empleo Estatal (SEPE) son algunos de los organismos de la Administración que se han visto recientemente atacados por los ciberdelincuentes. Los teléfonos móviles del mismo presidente del Gobierno o la ministra de Defensa también fueron hackeados sin que la opinión pública conozca la autoría de los ataques. ¿Qué está fallando?
España, según los ponentes, no está mejor ni peor que otros Estados de nuestro entorno. A todos les afectan los mismos problemas y los ciberdelincuentes no entienden de fronteras. Eso sí, «en la protección respecto a otros países tenemos carencias», opinó Francisco Martínez, abogado y socio de Next Abogados. «En el mundo anglosajón han reaccionado antes y las estructuras, protocolos y normativa están más desarrollados», dijo tras deslizar cierta falta de coordinación entre los diferentes actores implicados.
«Que se haya podido hackear el acceso al Punto Neutro Judicial o la Agencia Tributaria lleva a la conclusión de que muy pocos organismos están blindados y que la seguridad total no es asumible. Hay que tener claro cuál es el proceso de decisiones y dejar las peleas por el tema de competencias», remarcó.
Hasta ahora, ha existido cierta laxitud a la hora de exigir que se cumpla con la legislación vigente en la materia. «El derecho se está moviendo pero llega muy tarde. Estamos realmente lejos de tener el contexto legal y regulatorio que sea capaz de motivar el desarrollo de unas buenas prácticas», apuntó Miguel Rego, director general de Funditec.
En este sentido, Francisco Pérez, socio de ECIX Group, destacó que el regulador ha tomado conciencia de la problemática y está «empezando a regular de forma compulsiva» en todo lo relativo a la ciberseguridad. «Lo hemos visto desde 2018 y prácticamente veremos hasta 2025 cómo cada año se van a ir publicando normas muy relevantes», apuntó. Ese haz regulatorio nunca visto hasta el momento «va a obligar a las empresas y organizaciones a cumplir con las normativa para que la protección de la información sea lo que debe ser», sostuvo. «En ciberseguridad, la regulación no puede ser del año pasado o del anterior. Eso es ir tardísimo», agregó Rafael Chust, country manager de Delete Technology, una compañía dedicada al borrado certificado de datos.
Martínez recordó que los ciberatacantes también dirigen sus acciones contra los sistemas de salud de los países. «La información se secuestra con la finalidad de pedir un rescate y está convirtiendo una mercancía valiosísima como los datos personales en objeto de una extorsión», advirtió. Sin ir más lejos, el hospital Clínico de Barcelona sufrió un ciberataque hace escasas fechas que obligó a detener todas las operaciones programadas.
¿Y qué pasa con las empresas? «En muchas ocasiones, la ciberdelincuencia se enfoca desde el punto de vista del delito. Pero tenemos que ir mucho más lejos», apuntó Bernardino Cortijo, CEO de Dacor Intelligence y representante español en el Consejo de Europa para el Cibercrimen. En este sentido, trató de dimensionar el problema y sostuvo que muchos de los ciberdelitos son los mismos que hace dos décadas, pero con mayor sofisticación.
Además, recordó que la mayor parte del malware que existe ahora mismo proviene de guerras reales de los últimos años, que se han trasladado a la vida civil. «Es imposible parar 15.000 ataques diarios si no se hace con prospectiva y tienes la precaución de visualizar lo que puede ocurrir a continuación», expuso. Además, recordó que el coste en ransomware para las empresas se ha casi duplicado desde 2019. «Estamos hablando de cifras de coste muy alto para las compañías», sostuvo.
«Es imposible parar 15.000 ataques diarios si no se hace con prospectiva»
Bernardino Cortijo, CEO de Dacor Intelligence
Precisamente, la falta de concienciación por parte de los directivos es uno de los grandes problemas que ven los expertos. «La digitalización sin inversión en seguridad es peligrosísima», dijo Martínez. Pero la resistencia a pagar por algo difícilmente tangible hasta que el ataque se ha producido y compromete hasta la viabilidad de la compañía.
«Es un poco lamentable cuando te encuentras a responsables que te dicen que cuando tenga problemas, ya te llamaré», relató Chust. «En la práctica, las pymes no se quieren gastar el dinero. Les cuesta mucho gastar un euro en cualquier cosa relacionada con la ciberseguridad hasta que les pasa algo o cuando una normativa lo exige a rajatabla», agregó Cortijo.
Precisamente, Rego recordó que «cada vez hay que invertir más en ciberseguridad en relación con la digitalización». Y puso como ejemplo el sector financiero, donde se recomienda que de cada 100 euros en digitalización 17 vayan a destinados ciberseguridad. «Pero si una organización está invirtiendo un 1%, algo se está haciendo mal», opinó en referencia a algunos organismos públicos. Eso sí, subrayó la barrera que supone la rigidez de la ley de Contratos Públicos en este ámbito. «La Administración a veces no cumple, pero cuando quiere cumplir tampoco lo tiene fácil», incidió.
¿Cómo encarar entonces el problema? «Parar un ciberdelito es muy difícil, pero evitar el riesgo del ciberdelito es más sencillo y es lo que hay que intentar», expuso Cortijo. En este sentido, recordó que los hacker pueden entrar a los sistemas informáticos de una compañía hasta a través del wifi de una cafetera que tenga este tipo de conexión.
Rego subrayó, por su parte, el cambio de paradigma a la hora de diseñar los modelos de ciberseguridad. «Si antes se enfocaba más hacia lo preventivo, ahora eso no se desprecia, pero uno monta su modelo de seguridad sabiendo que te van a atacar y que van a tener éxito». «Lo que buscas es que el impacto y las consecuencias negativas sean lo más pequeñas posibles», detalló.
Falta de talento
Por otro lado, Rego puso sobre la mesa la falta de talento que existe en el sector. «No tanto en calidad como en cantidad», adujo. «Es imposible satisfacer las necesidades que tenemos las organizaciones públicas o privadas de especialistas en ciberseguridad«, sentenció. En este sentido, se inclinó por «ser mucho más tajante en la búsqueda de soluciones».
Además, destacó la importancia de la innovación en el sector. «Sin soberanía tecnológica, no vamos a estar con ciertos niveles de garantía de seguridad. Vamos a depender de terceros, muchos aliados, pero en el ciberespacio hay intereses contrapuestos», concluyó.