"Hace 12 años nadie sabía el que era el cibercrim ni se hablaba de crisis que afectaban las empresas a escala global. En cambio, hoy estamos tomando conciencia y sabemos que casos como el reciente ataque de WannaCry se pueden repetir. Aún así, hace muchos años que vivimos incidentes, probablemente más graves que este, y no han trascendido hasta que no ha afectado de manera tan masiva". Esta es la conclusión que extrae el director de ciberseguretat de Indra, Manuel Escalante, sobre el reciente pirateig mundial que ha afectado tanto emprendidas como particulares. Un episodio que, a pesar de que en España no ha afectado la sociedad civil, sí que ha vivido casos más extremos en los Estados Unidos, el Reino Unido o Alemania, donde se ha tenido que paralizar la actividad de hospitales y transportes ferroviarios.
Por todo esto, el socio responsable de la práctica de IT Risk de Ernst & Young en Barcelona, Xavier Ferré, considera que el ataque ha sido infravalorat: "Se ha demostrado que hay un riesgo real y global que puede tener un impacto muy importante. Será el último gran ataque o el primero de muchos? Genera muchas dudas".
Pero en todo esto hay un detalle, como muy bien explica en una jornada sobre ciberseguretat organizada por el Grupo Siete, y es que se trataba de un ransomware, encriptaba ordenadores y pedía un rescate, que la agencia americana de seguridad ya tenía detectado y que hacía pocos meses que se había filtrado que utilizaba. "Qué papel juegan los gobiernos en todo esto?", se cuestiona.
Peligros del uso creciente de la tecnología
El gobierno norteamericano tendría que haber avisado de la vulnerabilidad que había detectado en los sistemas de Windows y que el WannaCry aprovechó para propagarse? Ninguno de los dos expertos tiene una respuesta al 100%, pero sí que comparten la idea que, por ética y para evitar grandes dramas, el más adecuado es avisar. El problema rae en el hecho que, según Ferré, los estados han entrado en el juego del cibercrim, pero en forma de espionaje. "Se llama que los hackers rusos han afectado las elecciones americanas, que el WannaCry era utilizado por los Estados Unidos... por lo tanto, queda claro que los gobiernos se espian", afirma, y añade que la ciberseguretat se ha convertido en una línea más al clásico "por tierra, mar y aire" que los ejércitos controlan.
Ferré: "Los datos y la información son una mercancía que genera mucho dinero"
Que los incidentes de seguridad se multipliquen anualmente es, para el socio de Ernst & Young, una muestra de cómo todo ello se ha convertido en un negocio que ya supera el narcotráfico. "Los datos y la información son una mercancía que genera mucho dinero", explica. Una realidad que se ha agravado debido a una transformación digital "demasiado rápida" que ha hecho que los ciudadanos hayan perdido su sensación de privacitat. "Antes teníamos nuestra información más controlada y ahora está en muchos lugares y el perímetro de seguridad ha cambiado. Es más difícil controlarlo todo. Si lo juntas con unos actores que intentan extraer beneficio de los riesgos que supone, voces que hay un negocio con malwares y bandas criminales organizadas, no de hackers que lo hacen todo desde casa", añade.
Ferré, Vilanova y Escalante durante la sesión | Cedida
De hecho, ya es posible contratar piratas porque accedan a la información de la competencia. Tenemos gadgets conectados en la red, crece el YATE, la inteligencia artificial se consolida... cada pequeño adelanto hace que la sociedad esté cada vez más conectada y, por lo tanto, más al alcance de los cibercriminals. "El día que podamos dar órdenes a los robots, que nos escuchen y nos vean, quién nos asegura que no habrá alguien detrás pirateando la tecnología y viéndolo y escuchándolo todo?", se pregunta Ferré.
Una Unión Europea que se desmarca
El próximo 2018 la Comisión Europea tiene que aplicar una directiva en materia de seguridad a la red para regular este vacío que se está generando a medida que la tecnología se va introduciendo en casa nuestra.
Esto, pero, tiene un problema: sólo la Unión Europea tiene esta obsesión por la privacitat de sus ciudadanos. "Los Estados Unidos también están preocupados, pero tienen una normativa mucho más suave; en los países del sur de América, muchos no tienen ni normativa", compara Ferré, que constata así que todo depende del punto de vista que se le dé. Por este motivo, considera que el principal hàndicap al cual se enfrentará el debate es la interpretación local que se le dé a conflictos que son globales, como lo pueden ser las denuncias europeas a Google o Facebook para eliminar información. Mientras el ciudadano se regirá por una normativa de la UE, la empresa seguirá la ley norteamericana.
Vilanova: "Pretender recibir las ofertas de música y cine que te interesan y no asumir el riesgo que tus datos se hagan públicas, es una incoherencia"
Ante este contexto, la presidenta de Atrevía, Nuria Vilanova, considera que el debate se tiene que emprender desde diferentes perspectivas. "Si quieres que te lleguen las ofertas de música o cine que te interesan, tienes que permitir que sepan quién eres. Pretender esto y no asumir el riesgo que tus datos se hagan públicas, es una incoherencia", señala. Para ella, los gobiernos no pueden proteger la privacitat de la ciudadanía al 100% si esta quiere continuar disfrutando de los beneficios que aporta la conectividad y la red. Y a pesar de que ve con buenos ojos que la UE cree su marco legal, también considera que no se pueden poner trabas a los negocios.
Cómo hay de hacer frente la empresa?
Una cosa es ver el cibercrim desde la perspectiva del ciudadano, pero otra es hacerlo desde la óptica de una compañía; un trabajo que se ha hecho más que necesaria si se tiene en cuenta que España es el tercer país más atacado del mundo y con un aumento de hackejos del 130% entre el 2015 y el 2016.
Vilanova: "El 90% de las empresas tienen imprimido el plan de comunicación de crisis, pero nadie recuerda donde está guardado"
Cómo tiene que actuar la empresa ante un ataque? Tiene que esconderlo o decirlo? De entrada, todo esto está pautado en el que se denomina el plan de comunicación de crisis, un manual que, afirma Vilanova, "el 90% de las empresas tienen imprimido, pero nadie recuerda donde está guardado". "El WannaCry demuestra que es una realidad por la cual tenemos que estar absolutamente preparados y que el concepto de crisis tiene que evolucionar, se tiene que asumir y se tiene que dejar de debatir qué hacer y como hacerlo", continúa.
En este sentido, apunta hacia la figura del empleado, un actor muy involucrado en la crisis y que las empresas a menudo obvian. Según la presidenta de Atrevía, son pocos los negocios que realmente los consideran embajadores y que saben que todo aquello que dices al trabajador es información que facilitas en el mundo. "Con las redes sociales se pueden colgar fotografías y hacer comentarios que pueden revelar cualquier información corporativa. El mundo hoy es vulnerable y el consumidor no tolera que se le intente esconder, hay que hacer un cambio de mentalidad", constata. Una idea que refuerza afirmando que a escala corporativa se tiene que aceptar esta vulnerabilidad y convertirla en una herramienta de diálogo y transparencia.
A este ánimo comunicativo el socio de Ernst & Young añade otro detalle: "Las empresas tienen que hablar también entre ellas. Si se descubre una vulnerabilidad o se sufre un ataque, hay que avisar las autoridades y las otras compañías". Una acción que, con la nueva directiva europea, será obligatoria y que supondrá el pago de una dura sanción para aquellas corporaciones que intenten esconder información.