El segundo Foro de Ciberseguridad expone los ataques de piratas informáticos y la desinformación como otros de los grandes retos a los que se enfrentan las empresas, el Gobierno y la ciudadanía en plena transición digital
Cada 39 segundos, se produce un ciberataque. En 2023, hubo más de 2.200 al día, una cifra muy elevada. No solo afecta a temas económicos: el ciberataque al Hospital Clínic de Barcelona el año pasado puso en peligro la salud y la privacidad de los pacientes. La acelerada transición digital abre la puerta a que el crimen aumente de forma exponencial, lo que coloca la ciberdelincuencia entre los temas más importantes de la agenda social, política y económica.
Para debatir sobre la ciberseguridad, los ataques a través de internet y las mejores estrategias para prevenirlos y detectarlos, El Periódico celebró el segundo Foro de Ciberseguridad el 7 de noviembre en Barcelona. En él, participaron voces expertas como Marcos Gómez Hidalgo, subdirector del Instituto Nacional de Ciberseguridad (INCIBE); Manel García, responsable de ciberseguridad en la zona noreste de SIA (Indra); Llorenç Malo, CISO de CaixaBank; José Luis Rojo de Luque, socio de Ciberseguridad de EY, y María Mira, sales manager este de Fortinet. Moderó la mesa de debate Martí Saballs, director de Información Económica de Prensa Ibérica.
El subdirector del INCIBE abrió la cita con una charla sobre la consolidación en ciberseguridad y la integración de la inteligencia artificial, uno de los principales paradigmas de la actualidad. “Debemos adaptarnos a los cambios y prevenirlos -afirmó Gómez.- España ha sido el primer país en elaborar una estrategia nacional de IA”. El potencial de estas herramientas hace que sean muy peligrosas, pero también muy útiles si se saben usar.
Arma de doble filo
“Con la IA podemos mejorar la gestión de incidentes de ciberseguridad, entrenando al sistema con estadística y modus operandi para optimizar esa gestión y dar respuestas de recuperación más rápidas”, explicó. Y añadió que se pueden utilizar para detectar vulnerabilidades del sistema y entrenar y formar a profesionales del sector. “La IA nos tiene que ayudar en la siguiente evolución del ser humano”. Sin embargo, no olvidó todas las amenazas de esta nueva herramienta. “La que más se utiliza son las fake news: la desinformación, vídeos de políticos, actores o futbolistas, diciendo cosas que no han dicho, imágenes falsas… Lo hemos visto en Ucrania y Gaza”. La inteligencia artificial es pues un arma de doble filo. “Un ciberdelincuente puede usar la IA para cometer fraude bancario, pero también se puede utilizar para detectarlo, si pones a la IA trabajando en ciberseguridad, tendrás más éxito”, destacó.
El reto de formar talento
Para llevar a cabo esa implementación, el subdirector del INCIBE calculó que se necesitan más de 70.000 profesionales tan solo en España en el ámbito de ciberseguridad, casi el doble que el año pasado. Las cifras actuales, tanto de universidades como de ciclos formativos, no llegarán a cubrir esa demanda. “Un reto fundamental es el talento, la falta de personal”, coincidió María Mira. “En España hay universidades de ingeniería potentes, pero se necesitan años de experiencia para llegar a la madurez necesaria. En Fortinet somos 200 personas, pero no seríamos nadie sin los colaboradores, es importante crear una red”, detalló.
En cambio, en la ciberdelincuencia no faltan profesionales. “Nos enfrentamos a organizaciones criminales que generan el tercer mayor PIB del mundo. La persecución de estos crímenes es compleja. ¿Qué podemos hacer? Organizarnos, colaborar para que la información fluya -resolvió García, de SIA (Indra)-. O trabajamos de modo organizado y colaborativo o estamos a expensas de los ciberdelincuentes”. Trabajar de forma coordinada permitiría actuar más rápido y preparar procesos para reaccionar.
A menudo, señaló, causa vergüenza admitir que se ha sido víctima de un cibercrimen, pero denunciarlo es esencial para tener la mayor información posible sobre los ciberdelincuentes. “En los simulacros de incendios sabemos qué hay que hacer, también tendría que ocurrir en la ciberseguridad”, puso como ejemplo. Coincidió en que la IA puede ayudar, pero que sin la unión de las empresas y una buena organización, sería inútil.
Los expertos coincidieron en que la ciberseguridad debe formar parte de la cultura empresarial, todos los trabajadores deben de ser conscientes de los riesgos que conllevan los ciberataques y se debe invertir en aumentar la prevención. “Todo tipo de empresas reciben amenazas: grandes, medianas, pequeñas, de todos los ámbitos. El crimen organizado no entiende de tamaño, sino de facilidades”, enfatizó Rojo. “Hay ciertos sectores que llevan mucho tiempo invirtiendo en ciberseguridad, la gran empresa tiene más recursos para hacerlo, pero para el resto invertir no es opcional”, añadió.
Debido al tejido empresarial español, conformado por una gran mayoría de pymes, la inversión en ciberseguridad ha sido menor que en otros lugares, cosa que ha hecho este “sea uno de los países más atacados del mundo”. Sin embargo, el especialista destacó que es un referente mundial de ciberseguridad y de sus servicios.
Uno de los puntos fundamentales para protegerse es tener un buen plan. “Si hay un sistema de alerta reaccionaremos antes y de forma más eficaz“, explicó el socio de EY. “Hay que ensayar, hacer simulaciones, conseguir que toda la empresa lo tenga muy interiorizado. Ese día D, si se improvisa, mal. Pierdes tiempo y, cuanto más tiempo pase, más grandes serán los impactos”, argumentó. Cuando el moderador les preguntó qué ocurriría en caso de no tener un plan preparado, los expertos en ciberseguridad negaron con la cabeza, eso ya no es una opción: “Si no tienes un plan, busca ayuda en una empresa, en tu proveedor de ciberseguridad, pero caer ante una amenaza y pagar lo que te piden los delincuentes es la última opción”.
Pagar un rescate debería ser el último recurso. “Por un lado, colaboras con una organización criminal, y por otro, nada te garantiza que puedas recuperar la información”, destacó Rojo. “Te convertirás en su cliente VIP y abrirás las puertas para que se pueda extorsionar a más empresas”, añadió el experto de ciberseguridad de SIA.
Empresas como esta y la de los demás profesionales son un gran recurso para protegerse de estos ataques, ya que contar con expertos en ciberseguridad propios no siempre es viable. “Cada vez hay más concienciación de que se tiene que invertir, incluso la empresa mediana está concienciada -apuntó Mira-. Sin embargo, la carencia a menudo son sus propios recursos. Somos tan pocos que las mejores empresas atraen el talento y las pymes quedan desamparadas”.
No solo las empresas deben tomar conciencia de la importancia de la ciberseguridad. Cada día millones de personas regalan sin darse cuenta miles de datos propios. Acceden a internet, utilizan redes sociales, instalan nuevas aplicaciones donde deben registrarse con su correo electrónico y aceptan todas las cookies para poder entrar en una web. Algo que puede parecer tan inofensivo como poner tu fecha de cumpleaños o crear un usuario con tu nombre alimenta todo un banco de datos que puede ser usado en campañas publicitarias y políticas, pero también en ciberataques.
Eslabón más débil
Para los expertos, este desconocimiento y la vulnerabilidad de los ciudadanos hacen que sean un objetivo frecuente para los ciberdelincuentes. “El eslabón más débil son las personas”, destacó Malo, CISO de CaixaBank. Aunque las entidades bancarias son continuamente atacadas, están altamente protegidas, sin embargo, a menudo las personas entregan sus credenciales bancarias de forma consciente o inconsciente. “Es mucho más fácil que, mediante un phishing, un delincuente pueda obtener las credenciales para entrar en nuestra cuenta que llegar a esta información rompiendo las medidas de seguridad de las entidades”, alertó.
Desde entidades como CaixaBank ya prevén este tipo de ataques y tienen mecanismos para proteger a sus clientes. “Si una persona hace operativas no frecuentes, lo podemos detectar”, añadió. Al ser uno de los sectores más atacados, tienen mucha concienciación. “Manejamos información muy crítica, la segunda más importante tras la salud. Por eso hacemos una inversión muy fuerte para proteger a los clientes”. Igual que los bancos, la mayoría de las empresas han tenido que implementar la ciberseguridad, a través de figuras como el CISO o de empresas externas de ciberseguridad, como Fortinet, SIA o EY.
“La transformación digital acelerada ha hecho que estemos más expuestos al cibercrimen -reiteró la sales manager de Fortinet-. Las empresas son cada vez más conscientes”. No ocurre lo mismo con la ciudadanía. “Proporcionamos información personal en internet porque no se valoran las consecuencias. A cambio de usar algo gratis, damos información sin problema. Si multiplicas eso por miles, tiene un valor muy importante”, alertó Rojo. Si esa información llega a los ciberdelincuentes, es más probable que seamos víctimas de un ataque. “Sus engaños funcionan porque usan información veraz de los afectados”.
Cuestión de identidad
“Hace nada unos chavales entregaban sus iris a través de un escaneo a cambio de unas criptomonedas, una información muy valiosa -alertó el especialista de SIA-. La identidad puede verse comprometida, y es nuestro activo más importante a proteger”. A través de la información que regalamos y la que nos pueden robar, la suplantación de identidad es cada vez más fácil. Noticias relacionadas
En Indra consideran que la buena ciberseguridad se basa en tres puntos: lo que recordamos, como contraseñas; lo que tenemos, como pendrives, smartphones o dispositivos con contraseñas que permiten identificarnos, y lo que somos, como nuestra huella digital. Un elemento clave es la creación de buenas contraseñas. “Las fáciles -el cumpleaños de tu hijo, el nombre de tu mascota- son las primeras que permiten el acceso a ciberdelincuentes”, recalcó el CISO de CaixaBank. “Es mejor usar contraseñas complejas, incluso las que te proporciona el propio navegador, y gestionarlas con gestores de contraseñas”.
“Hay que conseguir que los ciudadanos europeos estén más concienciados”, insistió Malo. Tras la pandemia, la transición digital se ha acelerado, así como también ha crecido la preocupación por la ciberseguridad y el interés por parte de gobiernos como el de España y la UE. “Cuando en una empresa se pregunta quién trabaja en el ámbito de la ciberseguridad, la respuesta correcta debería ser todos. Todos tenemos que ser responsables tanto en el trabajo como en la vida privada”, añadió. “Igual que enseñas a tu hijo a moverse por la ciudad, hay que enseñar a navegar por internet”, concluyó.
