Ciberamenazas ensombrecen la pista de despegue

Ciberamenazas ensombrecen la pista de despegue

Los expertos subrayan que el modelo híbrido de trabajo abre un escenario de mayor riesgo que obliga a reforzarse frente los ataques

Las pymes son el eslabón más débil de la cadena por sus bajos niveles de inversión: solo un 36% tiene protocolos básicos de seguridad

Ni se lo esperaban ni estaban preparadas para afrontarlo en tiempo récord con todas las garantías de seguridad requeridas. La crisis sanitaria provocada por el coronavirus ha forzado al tejido empresarial español, integrado en un 98% por pymes, a implantar el teletrabajo masivo, un nuevo escenario laboral que ha sido la única vía para seguir adelante con el negocio pero que al mismo tiempo ha abierto la puerta a la amenaza de los ataques informáticos, sobre todo entre las pequeñas y medianas compañías, las menos protegidas al no contar con tantos recursos.

Si en 2019 solo el 4,8% de los empleados trabajaban en remoto en nuestro país, los meses de confinamiento han elevado ese porcentaje al 34%, dando lugar a una revolución que obliga a las organizaciones a reforzar posiciones para blindarse de los ciberdelincuentes. «Antes estábamos todos confinados dentro de nuestra empresa con un control perimetral gestionado por los propios expertos del departamento de sistemas y de seguridad de la información. Ahora el perímetro se rompe y a muchas empresas les ha pillado con el pie cambiado», señala Juan José Nombela, director del Área de Ciencias de la Computación y Tecnología de la Universidad Internacional de La Rioja (Unir).

Y el problema se agrava si se tiene en cuenta la cantidad de profesionales que utilizan sus propios equipos domésticos sin haber recibido apenas formación sobre herramientas tecnológicas y seguridad. «Esa es una de las razones por las cuales las empresas pueden ser mucho más vulnerables. Simplemente han instalado conectividad, pero se han olvidado de poner capas de seguridad para proteger al usuario que, por supuesto, debido a este cambio rapidísimo que hemos vivido necesita formación para saber enfrentarse a las nuevas amenazas que antes no debería sufrir porque le estaban protegiendo los propios sistemas corporativos», afirma Eusebio Nieva, director técnico de Check Point para España y Portugal.

Desde el Instituto Nacional de Ciberseguridad (Incibe) aseguran, eso sí, que por ahora el número de incidentes desde que comenzó el estado de alarma no se ha visto incrementado y la tipología tampoco ha variado respecto a los meses anteriores, con el «phishing» como principal ataque (técnica utilizada para obtener información personal y bancaria de los usuarios en la que se envían mensajes suplantando a una entidad legítima para engañarles y que introduzcan sus datos en una página suplantada). «Lo que sí ha cambiado es el vector de ataque, la manera de llegar al máximo número de público posible. De estar muchísimo más diversificada con distintas temáticas se ha pasado a utilizar como gancho el Covid», explica Lola Rebollo, gerente del departamento de Apoyo a la Empresa e I+D+I de Incibe. Por hacerse una idea: según datos de Check Point, desde el pasado mes de enero se han registrado más de 4.000 dominios relacionados con el coronavirus en todo el mundo, que tienen un 50% más de probabilidades de ser maliciosos.

Y, a nivel mundial, la práctica del «phishing» ha ganado terreno. Si en enero había 149.195 sitios web activos de «phishing», en marzo se contabilizaban 522.495, lo que supone un incremento del 350%, según datos recopilados por Google y analizados por Atlas VPN. « Han aprovechado el miedo de las personas que buscaban información sobre el coronavirus, la vacuna, etc. De hecho, la Organización Mundial de la Salud ha sido una de las instituciones más atacadas. Este es un primer indicador que nos puede ayudar a entender que el Covid es una oportunidad para los cibercriminales», apunta Gianluca D’Antonio, socio de Risk Advisory de Deloitte.

Si en enero había 149.195 sitios web activos de «phishing», en marzo se contabilizaban 522.495, es decir, un 350% más

Los ciberdelincuentes, que ingresan 1,5 billones de dólares al año, no descansan y aprovechan los entornos de incertidumbre para actuar. Como dice Nieva, de Check Point, «los atacantes han visto una oportunidad, tanto por la necesidad de la población de estar informada sobre la enfermedad como por el teletrabajo, que implica nuevos peligros que todavía muchos usuarios no tienen controlados y, por lo tanto, son más vulnerables en este momento». Solo en 2019, Incibe gestionó 107.397 ciberataques, seis veces más que en 2014, aunque algo menos que el ejercicio anterior, cuando se contabilizaron un total de 111.519 ciberataques. En lo que respecta a los ciberataques a redes de instituciones públicas, el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), registró en 2019 un total de 42.997 incidentes (4.805 más que el año anterior) a redes de instituciones públicas.

A pesar de que las organizaciones cada vez son más conscientes de los riesgos a los que se exponen y actúan para evitarlos, «todavía estamos a años luz de tener una concienciación 100% embebida en nuestro día a día y en cada acción como trabajadores», tal y como advierte Rebollo, que pone el foco sobre las pymes, el blanco perfecto de los incidentes en red. «Cuando se habla de ciberseguridad la idea es que solo afecta a las grandes porque son las que tienen algo de valor, pero nada más lejos de la realidad. Las pymes son los principales objetivos porque componen mayoritariamente nuestro tejido empresarial y lo que se hace es intentar llegar a millones. Si un porcentaje pequeño de esos millones pica, el ciberdelincuente ha obtenido su recompensa», subraya.

En este sentido, lamenta que es bastante común por parte de las pymes de menor tamaño asumir que no son un objetivo de la ciberdelincuencia, de modo que consideran la ciberseguridad como un coste y no como una inversión para proteger su negocio. Su cultura es todavía reactiva en vez de proactiva, es decir, no actúan hasta que no han sufrido algún incidente. De hecho, tan solo el 36% de las pymes españolas tiene establecidos protocolos básicos de seguridad como la verificación de dos pasos para el correo de empresa, según el estudio «Panorama actual de la ciberseguridad en España», elaborado por The Cocktail Analysis a petición de Google.

«En España las pymes y micropymes están muy lejos aún de tener una inversión en ciberseguridad que les permita poder estar preparadas», indica Gianluca D’Antonio. Un punto de partida desfavorable para afrontar el reto mayúsculo que ha generado el contexto actual. «Con el Covid estas empresas han tenido que primar la continuidad de negocio sobre la seguridad, eso significa que están asumiendo todavía más riesgo. Si antes ya estaban mal, ahora que todo el mundo está trabajando desde cualquier sitio, aumenta más la exposición a este riesgo», desarrolla el experto.

El 36% de las pymes españolas cuenta con protocolos básicos de seguridad como la verificación de dos pasos para el correo de empresa

Las pymes son las que más margen tienen de mejora, sí, pero el tejido empresarial español en su conjunto también esconde carencias en ciberseguridad. «La evolución en materia de seguridad ha sido y sigue siendo muy lenta. Por la forma de ser del español nos ocupamos más de la parte ejecutiva y operativa que de tomar precaución ante eventos que no han llegado. Los países de Centroeuropa y el norte de Europa tienen una mayor concienciación. Es un tema en el que nos queda mucho recorrido», cuenta Antonio Cimorra, director de Tecnologías de la Información y Agenda Digital de Ametic.

Lo cierto es que solo un pequeño porcentaje (14%) de las empresas españolas se consideran «ciberexpertas», según el informe internacional Hiscox Cyber Readiness Report 2020, que analiza el nivel de preparación en esta materia de grandes y pequeñas corporaciones en cinco países (España, Inglaterra, Alemania, Francia y Estados Unidos). España se sitúa así por debajo de la media del resto de países analizados (18%). La insuficiente capacidad para detectar, resolver y recuperarse de un incidente cibernético provoca que empresas y profesionales españoles tengan que asumir un 30% más de gasto para retomar su actividad tras una brecha de ciberseguridad, con un coste medio de 66.800 euros (la media del estudio se sitúa en 50.900 euros).

Crece la inversión

La parte positiva es que las compañías españolas han pasado de dedicar un 8,80% de su presupuesto de tecnologías de la información a ciberseguridad en 2019 a destinar un 14,93% en 2020. «Históricamente las inversiones en ciberseguridad se han considerado un gasto y se han realizado para resolver incidentes. Hoy nadie duda de que es una inversión necesaria y supone un activo esencial en la competitividad de las empresas, incluidas las pymes», sostiene Xabier Mitxelena, managing director de Accenture Security en España, Portugal e Israel.

Y de cara a los próximos años las previsiones hacen pensar que la inversión aumentará ante el avance imparable de la digitalización. «La ciberseguridad va a jugar un papel más importante que antes. Algunas empresas han sufrido ciberataques, otras están viéndole las orejas al lobo y se han concienciado más en que esto es un problema que si no resuelven puede suponer una barrera importante para seguir vivas en el mercado», argumenta Eusebio Nieva, que recuerda que, según una encuesta de Check Point el 79% de las compañías en todo el mundo tiene como principal prioridad reforzar sus niveles de ciberseguridad.

Ahora bien, a la hora de invertir los expertos recomiendan hacerlo con cabeza para que ninguna de las «tres p» (producto, procesos y personas) falle. «Trabajar más en la identificación de los activos fundamentales, consolidar una identidad digital única dentro del ecosistema de los negocios y simular los escenarios de riesgo para mejorar la protección son algunas de las bases del nuevo modelo de inversión. No hay que invertir más, sino tener un modelo y una estrategia tecnológica que seamos capaces de proteger», aconseja Mitxelena. El factor humano, en cualquier caso, desempeña un papel crucial. «Es el centro de todo porque los ataques los provocan ciberdelincuentes y los que los tienen que defender son también las personas», comenta Nombela, de la Unir. La protección plena es una utopía, pero los sistemas de prevención y la tecnología de contención siempre son un valor seguro… más en estos tiempos que corren.

Deja un comentario