Regió7 organizó con la colaboración de Control Group una jornada sobre ciberseguridad para empresas, porque la ciberdelincuencia es una realidad que la tenemos cerca cada vez que utilizamos herramientas digitales.
Adelantarse a los riesgos y pronosticar por dónde pueden venir los ciberataques, es fundamental para afrontar la ciberdelincuencia, una de las grandes amenazas que afrontan empresas, autónomos y particulares.
Éstas son las normas básicas de conducta que recomendaron los expertos invitados a una jornada organizada por Regió7 y Prensa Ibérica con el patrocinio de Tesalia y Bitfender, la colaboración de Control Group y con el apoyo institucional de la Agencia de Ciberseguridad de Cataluña y los Mossos d’Esquadra.
«Ciberseguridad: hacia un internet más seguro» fue el título de la convocatoria, que se centró en las consecuencias de los ciberataques para las empresas, tanto pymes como grandes corporaciones, y lo que pueden hacer para evitarlos.
La jornada la conformaron dos ponencias y una mesa redonda, que tuvo como objetivo aclarar incertidumbres y sensibilizar a los participantes sobre un riesgo creciente, respaldado por estadísticas verificables. Durante el año anterior, la ciudad de Manresa reportó una cifra cercana a 800 delitos cibernéticos, lo que resalta la tendencia al alza de esta amenaza.
En conjunto, en Catalunya hubo un incremento del 30% de este tipo de ataques informáticos. Además, según datos del Instituto Nacional de Ciberseguridad, el 94% de las empresas españolas sufrieron algún incidente relacionado con los riesgos cibernéticos en 2022. Las pymes fueron el objetivo de siete de cada diez ataques, según recordó en la presentación de la jornada la periodista de Región7 Queralt Casals.
Selva Orejón, directora ejecutiva de onBranding y perito judicial especializada en ciberinvestigación, protección de la identidad digital y reputación online, fue la primera en intervenir. Orejón incidió en los grandes problemas del sector, y en las situaciones diarias de riesgo financiero y de reputación que sufren las empresas.
Orejón insistió en que en caso de ataque es necesario detectar su origen, qué información ha sido hackeada y borrarla, un trabajo que, apuntó, «hay que hacer muy bien para evitar riesgos operacionales», aunque no evita posible afectación en la reputación de la empresa.
Por eso es fundamental que las empresas tengan un Plan de cibersegurad para adelantarse y conocer las vulnerabilidades, las amenazas y los riesgos técnicos en seguridad de tu organización con una estrategia de Seguridad Ofensiva.
La segunda ponencia fué de Roberto Pérez, channel account manager de Bitdefender, especialista en seguridad informática y en soluciones de prevención, detección y respuesta frente a amenazas cibernéticas.
Pérez, que tituló su ponencia «La actual superficie de ataque: el usuario», explicó el origen de su empresa en Rumanía, con una trayectoria de dos décadas, y cómo completa su operativo desde la su sede de Estados Unidos.
Pérez quiso lanzar un mensaje de «tranquilidad» a los asistentes a la matinal, porque existen recursos para afrontar los peligros aunque lo que llamó «la superficie de ataque» está creciendo. Y lo explicó gráficamente: los entornos informáticos de las empresas, que antes eran como un castillo, con una sola puerta de entrada, «ahora son como un aeropuerto, con un montón de gente que entra y sale, con muchas puertas y rendijas de vulnerabilidad». Para Pérez, «la superficie de ataque está donde está el usuario», desde donde se conecta. El móvil, por ejemplo.
El especialista explicó algunas soluciones para mejorar la predicción, la protección y la respuesta, porque, ha apuntado «los antivirus tradicionales no aportan una capacidad de respuesta ágil».
En una intervención muy técnica, Pérez repasó algunas de las herramientas que considera útiles para cerrar de forma segura los entornos de las empresas, para «reducir la superficie de ataque». Pérez apuntó que en el sector existe una alta rotación «y un gran nivel de estrés», por lo que recomienda tener servicios externalizados.
El experto insistió en la necesidad de proteger los teléfonos móviles, y hacerlo en cuatro factores: aplicaciones, conexiones wi-fi, sistemas operativos y navegación web, porque uno de los grandes riesgos es el phishing, en el que los atacantes utilizan nombres web casi idénticos a los auténticos para atraer a los usuarios.
La jornada se completó con una mesa redonda que tuvo de invitados a Santi Romeu, jefe de la unidad de Ciencia y Analítica de Datos de la Agencia de Ciberseguridad de Cataluña; Rosa Relats, caporal de la Unidad Central de los Mossos d’Esquadra; y Andreu Bru, jefe del departamento de Nuevas Tecnologías de Pimec.
Los tres expertos hicieron una descripción del estado de la cuestión, un panorama que genera inquietud cuando se escucha descrito con detalle y enmarcado en el conocimiento de que hay 200 estafas diarias que afectan a pequeñas y medianas empresas en Catalunya.
Para Romeu, hay que estar muy alerta, porque ha crecido el espectro de dispositivos a defender y los datos cada vez ganan mayor valor, por lo que cada vez son un aliciente más atractivo para los ciberdelincuentes. En definitiva, el conjunto de ciberamenazas «crece», dijo Romeu, y además lo hacen de forma cada vez más sofisticada, con inteligencia artificial, suplantaciones de voz o redes de botes.
Hay que estar atentos, por tanto, a la repetición de passwords, al uso de aplicaciones que provienen de entornos de poca confianza, a los sms que avisan de una recogida de un paquete que no se ha pedido. El espectro de las ciberamenazas, insistió Romeu, es muy amplio: «de las que usan inteligencia artificial a las más básicas».
Para Andreu Bru, los datos de ciberataques que conocemos no se corresponden, seguramente, con la realidad, porque no todos son denunciados. Hay más, por tanto.
Andreu Bru reclama que las empresas «tomen conciencia de que se trata de una cuestión muy grave», para afrontar la que lo primero es «sensibilidad». «Nos jugamos la empresa», insistió el experto, que pidió trasladar esa «sensibilización» al conjunto de sus plantillas.
«Si no se hace así, no sirve de nada». Bru es consciente de que «no se puede pedir que las pymes sean expertas en ciberseguridad, pero sí deben tener unos conocimientos mínimos». Y después hay que ponerse en manos de expertos, lo que sí vale dinero «pero no tanto como parecen: hay cuotas como las de las alarmas», indicó.
La caporal de los Mossos, recordó que la ciberdelincuencia busca lo que han hecho tradicionalmente «los malos», como les llama: robar dinero y ahora también valiosos datos. «Todo acaba con un fraude», dijo Relats, que recomendó no fiarse del azar: «lo que no hemos querido invertir pensando que a nosotros no nos va a pasar o que no somos un objetivo, lo acabaremos perdiendo multiplicado cuando nos acabe pasando». «Nadie está exento de la picaresca y la ingeniería social», insistió Relats, quien recordó que «de nada sirve hacer una gran inversión en ciberseguridad si después contestamos un correo» que forma parte de un ataque informático. «Es una cuestión de responsabilidad», lo resumió.
Los ciberdelincuentes «son muy inteligentes», apuntó Bru, quien recomienda «cautela, tanto en la vida personal como en el trabajo». Y alejarse de «la desidia». Los hackers se aprovechan de cualquier rendija: un software no actualizado, por ejemplo. Sin embargo, donde hay intercambio entre usuarios hay riesgos, insistió. Las visitas de clientes a las páginas web son, en ese sentido, también un riesgo.
Cualquier precaución es poca frente a la enorme amenaza de la ciberdelincuencia. Y la víctima puede convertirse, además, en objeto de consecuencias legales «si no ha tenido una buena práctica, en el sistema de pagos bancarios, en la protección de datos», dijo Romeu, apuntando a una forma de revictimización. Y es que haber caído en manos de «los malos» puede suponer un calvario añadido para la víctima cuando se enfrenta a la denuncia del caso. «Lo primero que se pierde en un ciberataque es la esperanza de que se pueda llegar a una resolución», dijo Relats. «Un final satisfactorio es muy difícil, no es sencillo recuperar todo lo que se puede perder en un ataque. Y el periplo penal puede ser insalvable, un calvario civil, de juzgado en juzgado», ha explicado la cabo, decidida a «temer» a los asistentes para que extremen todas las precauciones.
El representante de Pimec recordó que a las empresas especializadas en ciberseguridad les cuesta encontrar especialistas. Y hizo una recomendación: que los jóvenes en edad de orientarse profesionalmente tengan muy en cuenta a este sector. «Nos faltan miles de perfiles y cuanto más se pueda recurrir a empresas de ciberseguridad, más bajará su coste». Un coste que, insistió, puede ser de entre 15 y 20 euros mensuales por tener protegida la empresa. «No es caro, pero no se busca hasta que ya no se ha sido víctima de un delito», lamentó Bru. En cuanto a la formación en las organizaciones, Romeu insistió en que deben ser «periódicas, porque las amenazas cambian continuamente».
El debate se cerró con varias intervenciones del público, que explicaron casos personales y mostraron su temor por ser víctimas de un delito informático. Como último consejo a los asistentes, Romeu pidió considerar la ciberseguridad como un ingrediente más de la actividad interna de la empresa, mientras que Relats insistió en que «la mejor prevención es conocer a lo que estamos expuestos«. Bru, por su parte, puso deberes al público: «si el lunes al llegar al trabajo veis que le han secuestrado datos, ¿sabréis qué hacer?».