Ninguna empresa es demasiado pequeña o insignificante para ser inmune a los ciberataques. Los hackers han dejar de ser una figura individual y reivindicativa para convertirse en toda una estructura organizada que se mueve, sobre todo, por dinero. A la creación de un nuevo modelo de negocio basado en el cibercrimen se tiene que añadir la digitalización de la sociedad, cada vez más avanzada, y, por lo tanto, el incremento de los peligros en el ámbito de la ciberseguridad. Tal como explica Oriol Torruella, director de la Agència de Ciberseguretat de Catalunya, el aumento del teletrabajo a raíz del confinamiento provocado por el coronavirus ha supuesto una adaptación de las prácticas de los ciberdelincuentes y tendría que traducirse en una mayor protección por parte de las empresas.
¿Han aumentado los ciberataques durante el confinamiento?
Hemos detectado una adaptación al nuevo entorno. Han incrementado mucho las formas óptimas para atacar a las empresas en esta situación. Ha habido más malware [software malicioso], puesto que se han puesto en marcha nuevos dispositivos y plataformas; se ha doblado prácticamente el phishing [suplantación de identidad online], porque más gente con menos conocimientos se ha puesto a trabajar en formato digital, hay más gente crédula que picará en el enlace fraudulento; se ha triplicado la suplementació del correo electrónico...
¿Cómo se tiene que plantear el teletrabajo ante el cibercrimen?
Si la empresa tiene una buena política de seguridad y dispositivos configurados para que sean seguros, es mejor utilizar estos aparatos antes que los personales. Pero hay otra cuestión: la introducción de dispositivos personales en el entorno corporativo. Si la empresa tiene medidas de seguridad y se introduce un dispositivo personal que no las tiene, estamos aumentando el riesgo porque la superficie de exposición aumenta. Si el dispositivo está infectado, puede infectar todo el sistema.
"La información de las empresas es valiosa y perder datos personales o de negocio puede hacer incumplir la normativa y reducir la reputación online"
Muchas empresas han entrado en un proceso de digitalización forzada estos últimos meses debido a la covid-19. ¿Las prisas han dejado de lado elementos como la ciberseguridad?
La prisa puede haber hecho reducir y bajar la guardia en relación al planteamiento de riesgos en esta nueva forma de trabajar o relacionarse con los clientes; es mala consejera al montar las cosas bien. Quien no haya tenido en cuenta la ciberseguridad, lo pasará peor que quien sí que lo ha hecho en el proceso de construcción y puesta en marcha o ahora, adaptándose a la realidad.
¿Cuáles son los principales peligros de la digitalización?
El proceso de la digitalización aporta numerosos beneficios, desde la continuidad del servicio a mejoras en productividad, efectividad del teletrabajo... Es imprescindible que se impulse al máximo la digitalización, pero evidentemente, arrastra riesgos. Los agrupamos en cinco ejes. El software malicioso es el primero, que puede ser un virus, ransomware, un software para minar criptomonedas... La información de la empresa también es valiosa y perder datos personales o de negocio puede hacer incumplir la normativa y reducir la reputación online. Los nuevos dispositivos para trabajar también son sensibles: tienen que estar configurados de manera segura para eliminar riesgos de entrada por esta vía. La continuidad de la actividad es otro eje básico, puesto que cada minuto que la empresa está parada son pérdidas. Y el último eje que hay que tener en cuenta es la confianza en el entorno digital: cuantas más medidas tengamos y más conscientes seamos, mejor podremos adentrarnos en él.
¿Cómo se pueden prevenir los riesgos?
Es básico tener políticas de seguridad, medidas técnicas -como los antivirus- y organizativas. Los trabajadores tienen que utilizar los sistemas y dispositivos de una manera concreta y tener conocimientos para no generar situaciones de riesgo.
"Un 44% de los ataques han ido a parar a la administración pública; pocas empresas tienen datos de todos los ciudadanos"
¿Qué tiene que hacer una empresa cuando identifica un ciberataque?
Lo primero que tiene que tener una empresa con presencia en el entorno digital es tener a alguien que la ayude en la gestión de los incidentes; en empresas grandes es posible que tengan un equipo propio y en pequeñas hay muchas empresas proveedoras de servicios en ciberseguridad. Además, la Agència y los Mossos pueden echar un cable: nosotros ayudamos a minimizar el impacto del incidente y los Mossos a perseguir al infractor.
¿Todos los sectores están expuestos igualmente al cibercrimen?
El negocio del cibercrimen escoge a los sectores en función de la capacidad de capitalizar las acciones. Un 44% de los ataques han ido a parar a la administración pública, básicamente porque tiene datos tan sensibles como los del servicio de salud, los de Hacienda... pocas empresas tienen datos de todos los ciudadanos. En función del tipo de ataque, el target es uno u otro.
¿Estos tipos de ataques afectan tanto a empresas grandes como a pequeñas?
En el mundo de la ciberseguridad el gran error es considerar que yo no soy lo suficientemente importante o que la información que tengo no es lo suficientemente importante. Son tópicos que se reproducen tanto en el sector público como en el privado y a todos los niveles. Todo el mundo siempre se considera demasiado poco importante como para ser atacado. Puede ser que la estrategia del ciberdelincuente sea precisamente dirigirse a los más pequeños y cuantos más, mejor. Se ha convertido en un modelo económico per se. Hace mucho tiempo que detectamos que las actividades de ciberseguridad se han profesionalizado mucho, y ante un modelo de negocio, todo el mundo está sujeto a la realidad.
"El gran error en ciberseguridad es considerar que yo no soy lo suficientemente importante o que la información que tengo no lo suficientemente importante"
Por lo tanto, ya no estamos hablando de un hacker que actúa solo con su ordenador.
El concepto de hacker romántico, como una persona que buscaba detectar errores de seguridad en sistemas ajenos por el orgullo personal de haberlo hecho, ha pasado a la historia. Estamos hablando de que es un negocio, una actividad económica organizada. Nos hemos encontrado con ciberataques que paran los viernes al mediodía y vuelven a empezar el lunes por la mañana: ¡el hacker se ha ido de fin de semana! Y vemos cosas tan curiosas como manifiestos que por solidaridad con la covid-19 paraban sus actividades.
Si el cibercrimen está cada vez más organizado y profesionalizado, ¿el sector de la ciberseguridad crece en paralelo?
Las TIC cada vez cogen más fuerza. En números absolutos, no es un sector excesivamente grande: un 1% del PIB. Vive un crecimiento constante desde hace años, y en el contexto de pandemia es de los que menos ha sufrido. Ahora hay 356 empresas dedicadas a la ciberseguridad en Catalunya, que dan trabajo a 6.100 empleados y facturan 809 millones de euros. Todavía es un sector pequeño, pero crece a doble dígito. Queremos que las empresas se conviertan en 700 o 1.000 y que los trabajadores se dupliquen o tripliquen. Esto quiere decir más gente ocupada con niveles salariales bastante altos, puesto que la media es de 47.000 euros anuales en Barcelona. Cada nuevo trabajador es un trabajador con un nivel salarial importante que trabaja, produce y consume en Catalunya. Es calidad de vida, una mejora socioeconómica para el país.