VALÈNCIA. Hace apenas un mes, el Hospital General de Valencia sufrió un ataque informático que le obligó a paralizar sus sistemas. Aún así, salió mejor parado que el Servicio Público de Empleo Estatal (SEPE), cuya base de datos fue hackeada en marzo bajo un procedimiento similar al que tuvo lugar el verano pasado en Adif, el administrador público de infraestructuras ferroviarias. Son algunos ejemplos de incidentes que salen a la luz por el peso de las entidades que los sufren pero que constituyen solo la punta del iceberg de todos los ciberataques que se producen en España, tanto en las grandes como en las pequeñas y medianas empresas.
De hecho, la mayor parte de compañías no informan sobre los ataques cibernéticos de los que son víctimas, pese a que un 53% de empresas españolas reportaron estos incidentes en 2020. Una cifra que las sitúa a la cabeza en el ranking entre los países europeos con mayor transparencia en este ámbito, seguidas de las francesas con un 49%, según apunta el último estudio anual de la aseguradora Hiscox, que recoge los resultados de encuestas realizadas a un total de 6.042 empresas de diversos tamaños y sectores en ocho países.
Aun así, expertos consultados por este periódico como Jordi Juan, responsable de ciberseguridad de la consultora E&Y, constatan la dificultad de realizar un seguimiento del número de casos que se producen en un territorio: “Son masivos, pero muchos se quedan en el sector de las pymes y no trascienden; hasta hace poco, las pequeñas empresas no consideraban que estaban en el punto de mira de los ciberdelincuentes, pero cualquier ordenador les resulta interesante”.
“Existen dos tipos de empresas: las que han padecido un ataque y las que lo padecerán”, determina. Según explica, uno de los principales motivos por los que se han disparado estas actividades en los últimos meses es la “rentabilidad de preparar ciberataques” en un contexto en el que la pandemia ha impulsado la digitalización de los procesos burocráticos y ha acelerado la implementación del teletrabajo, dejando “más vectores de entrada” a los piratas.
Una afirmación que respaldan los resultados obtenidos en un estudio de Deloitte Cyber, cuyo especialista en este ámbito, Gianluca D’Antonio, asegura en base a este informe que el 62% de empresas españolas “afirma recibir más ataques desde el comienzo de la crisis sanitaria”. En este sentido, Marco Antonio Lozano, miembro del Instituto Nacional de Ciberseguridad (Incibe), confirma que a raíz de la expansión del virus han gestionado desde la plataforma un mayor número de incidentes: de los 107.397 de 2019 a los 133.155 en el año de la covid.
Según detalla Lozano, en el ‘top’ de ataques tramitados en Incibe en el último año se encuentra el ransomware, un programa software malicioso que tiene la capacidad de cifrar archivos y bloquear equipos para la obtención de dinero a cambio de la devolución al funcionamiento normal del sistema. Las vías más comunes son los correos electrónicos, SMS o Whatsapp mediante la técnica de phishing: “Se hacen pasar por entidades como la DGT o Correos y cuando el usuario clica cifran su ordenador”, explica Jordi Juan.
En términos comparativos, en 2019 Incibe tramitó un 25,5% de incidentes por malware (software que lleva a cabo acciones como la extracción de datos, entre las que se encuentra el ransomware), mientras que, según el balance de 2020 que elabora la organización cada año, la cifra se incrementó hasta el 35,2%.
A nivel internacional, el citado informe de Hiscox revela que una de cada seis víctimas se vio sometida a extorsión en el último ejercicio, aunque poco más de la mitad accedieron a sufragar el rescate, siendo las empresas españolas las más reticentes a desembolsar este pago, con un porcentaje del 44%. “Si alguien facilita el pago, los hackers lo tienen en cuenta y vuelven a repetir la operación”, advierten desde E&Y.
Ante este escenario, resulta inevitable formular las siguientes preguntas: ¿Qué empresas tienen mayor probabilidad de sufrir un ciberataque? ¿Qué relación existe entre el tamaño y volumen de facturación de una compañía y los ataques que recibe? Lo cierto es que las fuentes consultadas por este diario coinciden en que la dimensión y las ganancias de una compañía no determinan el nivel de exposición ante estos incidentes.
Si bien desde Deloitte indican que los ámbitos más condicionados son los relacionados con el consumo, distribución, fabricación industrial, manufactura y tecnología, Incibe y E&Y sitúan el foco de atención en el grado de dependencia tecnológica de una entidad para determinar su vulnerabilidad. “¿Qué sucedería si de pronto no puedes acceder al sistema?; es lo primero que preguntamos a nuestros clientes, quienes dicen que sería un drama son los que más se deben proteger”, relata el experto de la consultora.
Pero la preparación frente a estos accidentes es todavía una asignatura pendiente entre las empresas españolas. El 35% están consideradas como cibernovatas, frente al 9% de ciberexpertas, según el estudio de Hiscox, que evalúa la capacidad de defensa y resiliencia de las encuestadas. Y aunque son las grandes corporaciones las que destinan un mayor presupuesto tecnológico en ciberseguridad, no están exentas de riesgo, ya que cuentan con un mayor número de empleados, lo que multiplica la cuantía de equipos vulnerables.
Por ello, los profesionales entrevistados aportan cinco claves para la prevención y la recuperación de la actividad después de un ciberataque. Una de las premisas es la promoción de la cultura ‘ciber’ entre los trabajadores, dado que el grado de concienciación es de nivel medio en las grandes empresas y medio-bajo en las pymes, según determina Lozano desde su experiencia en Incibe.
Por ejemplo, la publicación más reciente de la consultora PwC sobre cultura de ciberseguridad, recomienda la implementación de planes de formación y métodos de seguimiento para empleados y directivos. Asimismo, la escuela de estudios tecnológicos Ironhack propone en un comunicado que el personal no especializado no haga uso personal del correo corporativo, con el objetivo de evitar que acceda a correos maliciosos de forma no deliberada.
Por otro lado, los técnicos insisten en potenciar la contratación de perfiles cualificados, dado que en estos momentos en España hacen falta más de 29.000 trabajadores para suplir la demanda en el mercado laboral, en el que operan más de 120.200 profesionales según el último informe de (ISC)2 Cybersecurity workforce study. Enfocado desde otra perspectiva, siete de cada diez empresas no poseen el personal necesario, de acuerdo con el escrito de Ironhack.
Aun así, desde Incibe explican que cada vez son más los graduados en informática que se especializan en el campo ciber, dado que se trata de “una oportunidad de negocio muy bien valorada que les supondrá ventajas salariales frente a otros puestos de trabajo”. Sin embargo, recuerdan que las tácticas de los hackers “van evolucionando, por lo que es necesaria la formación continua; lo que hoy es puntero, dentro de unos meses puede no serlo”, afirman.
Además, desde E&Y destacan otros tres pasos elementales a seguir, aplicables a cualquier sistema operativo y que son efectivos tanto para compañías como para particulares. Por una parte, instan a los usuarios a construir contraseñas “robustas” pero “fáciles de recordar”, por lo que Juan sugiere cambiar las letras por números en palabras que resulten familiares. No obstante, Lozano añade que dicha recomendación “ha quedado obsoleta, ya que es necesario recurrir a elementos adicionales”.
De este modo, ambos hacen hincapié en las actualizaciones de los sistemas. “En la actualidad muchas empresas todavía están utilizando Windows 7; es un sistema operativo obsoleto, Microsoft ya no publica actualizaciones”. “Las aplicaciones instaladas tienen que actualizarse porque si no, son susceptibles de ser atacadas; lo llevamos diciendo desde 2006 y quince años después continúa vigente”, aseguran.
Como quinta consideración, ponen sobre la mesa la importancia de la creación de copias de seguridad, con la finalidad de recuperar los datos o reanudar la actividad empresarial con la mayor brevedad posible en caso de que se produzca un robo de información. Una vez cubiertos estos aspectos, la implementación de medidas más sofisticadas como la monitorización permanente de los dispositivos para la detección temprana de cualquier amenaza dependerá del presupuesto que cada entidad invierta en esta industria.
D’Antonio pone de relieve que las organizaciones que destinan menos de un 5% de sus fondos tecnológicos en estas técnicas sufren tres veces más incidentes, según una investigación de Deloitte, por lo que prestar atención a la ciberdelincuencia se ha convertido “en una necesidad para cualquier empresa”, determina. Los hackers no disciernen entre empresas ni particulares: “Nunca estaremos a salvo al 100%, ahora mismo hay sistemas que están siendo atacados, pero debemos estar preparados para saber responder”, concluye Jordi Juan.