«En ciberseguridad, no hacer nada tiene un coste» Iratxe Martín - Basque Cybersecurity Centre Hoy se celebra en el Euskalduna el Basque Cybersecurity Day. Hay 1.000 inscritos. La experta Iratxe Martín aclara las principales dudas IRATXE BERNAL Lunes, 5 noviembre 2018, 00:36

El año pasado, los fallos de seguridad informática costaron a las empresas vascas alrededor de 840 millones de euros, una cifra que merece una reflexión que muchas compañías ya están dispuestas a hacer. De hecho, el 85% de las empresas industriales vascas sabe que debe ampliar el presupuesto dedicado a protegerse de los peligros que esconde la red, aunque de momento tan sólo el 12% cuenta ya con un protocolo para afrontar estos ataques. Son datos del Basque Cybersecurity Centre (BCSC), que hoy celebra en el Palacio Euskalduna el primer Basque Cybersecurity Day, un encuentro en el que expertos internacionales explicarán a gerentes de firmas vascas que ninguna de ellas, ni grandes ni pequeñas, está libre de la amenaza. «La gran mayoría de los ciberataques se realizan de manera masiva. No tienen en cuenta el tamaño de la empresa, por lo que todas son víctimas potenciales de un ataque que puede tener consecuencias catastróficas… No hacer nada tiene un coste», subraya Iratxe Martín, responsable de infraestructura TIC del centro.

- ¿Se sabe cuánto cuestan a las empresas vascas los errores de seguridad informática o cuántas han sido víctimas de problemas de seguridad?

- Se estima en alrededor de 840 millones el perjuicio económico de los ciberataques a empresas en Euskadi durante el ejercicio 2017. En el caso de los incidentes reportados al BCSC, un 75% corresponden a fraude, otro 9% a intentos de intrusión y un 4% a contenido malicioso. Si nos fijamos en los datos de la Ertzaintza, en el 2017 se registraron 9.217 ciberdelitos en la comunidad autónoma (un 18,5% más que el año anterior), de los cuales el 90% fueron estafas. En los seis primeros meses de este año llevaban registrados ya 6.000 ciberdelitos, lo que hace prever un incremento incluso superior al del año anterior.

- ¿Están las empresas concienciadas con la ciberseguridad? ¿Cuántas han acudido ya a ustedes para solicitar ayudas a la implantación de medidas de seguridad?

- Hemos agotado el presupuesto inicial del programa de ayudas a la ciberseguridad industrial (con una partida de 600.000 euros) a falta de un mes para finalizar el plazo. Hemos aprobado 60 solicitudes y el volumen de las inscripciones para el Basque Cybersecurity Day, que es otro indicador de la preocupación por el tema, ha desbordado completamente las previsiones con 1.000 inscripciones.

- ¿Qué hay que decir a las pymes para que terminen de concienciarse?

- Las pequeñas y medianas empresas suelen tener menos medios y además no se ven como un objetivo de ciberataques precisamente por ser pequeñas o poco visibles. Estos dos factores sin duda no facilitan la implantación de medidas de seguridad, pero es importante tener en cuenta que la gran mayoría de los ciberataques se realizan de manera masiva, indiscriminada. No tienen en cuenta el tamaño de la empresa, por lo que todas las empresas como todos los usuarios somos víctimas potenciales. Además, muchas de estas pequeñas empresas forman parte de la cadena de suministro de otras más grandes o que trabajan en sectores con alta regulación. Las grandes empresas juegan con la ventaja de que tienen más medios para protegerse, pero al mismo tiempo sus riesgos también se ven incrementados porque tienen una infraestructura más compleja, tienen una mayor superficie de contacto con internet y suelen permitir un alto grado de interacción con agentes externos. Por eso, un atacante podría utilizar a una pyme para hacer daño a alguno de sus clientes. Por tanto, las empresas pequeñas tienen que estar preparadas para que en los próximos años se produzca un incremento muy significativo en los requisitos de ciberseguridad que sus clientes les van a exigir para seguir trabajando con ellos.

- ¿Qué medidas de seguridad son ineludibles?

- Está claro que, aunque no garanticen la seguridad total, hay ciertas medidas básicas que son necesarias: proteger las conexiones a internet y los equipos, utilizar contraseñas robustas, mantener los equipos actualizados, cambiar las configuraciones por defecto, segmentar las redes… En cualquier caso, cada organización debería realizar un análisis de su estado que refleje sus fortalezas y debilidades y, a partir de ahí, aplicar medidas específicas y, sobre todo, elaborar un plan para afrontar un posible incidente de seguridad.

- No hay que bajar nunca la guardia, ¿pero cómo puedo saber si las precauciones que he tomado son suficientes o están actualizadas? ¿No es el miedo a que la tecnología de seguridad se quede obsoleta muy pronto un freno, precisamente, para invertir en seguridad?

- Es importante no olvidar que la prevención es el primer paso y que la realización de evaluaciones de riesgo periódicas evitarán vulnerabilidades y reducirán el riesgo de sufrir un ciberataque. Respecto a la evolución de la tecnología de seguridad, es cierto que evoluciona a un ritmo trepidante, pero es una necesidad. Cada día se publican nuevas vulnerabilidades y amenazas, y los fabricantes de tecnología deben adaptarse a este ritmo de evolución, de lo contrario se quedarían fuera del mercado por no aportar soluciones a los problemas actuales. Desde el punto de vista del consumidor esto supone realizar inversiones periódicas, pero creo que es importante entenderlo como inversión y no como gasto. Las consecuencias que puede tener un ciberataque en una organización pueden ser catastróficas a nivel reputacional, económico… No hacer nada tiene un coste.

- Tendemos a pensar que con contar con un antivirus ya estamos protegidos o que sólo corren peligro nuestros datos bancarios. ¿Cuáles son los riesgos a los que están expuestas las empresas día a día?

- La protección total no existe y más allá de las medidas de seguridad que podamos aplicar en nuestros sistemas, la concienciación en materia de ciberseguridad es imprescindible. Las amenazas evolucionan y los conceptos clásicos (antivirus, cortafuegos), que venían basados en firmas estáticas para repeler ataques conocidos, están dando paso a una nueva generación de medidas de defensa adaptativas basadas en la detección de comportamientos anómalos donde la inteligencia artificial juega un papel crucial. A título individual, tanto en el entorno empresarial como en el doméstico, debemos ser prudentes, desconfiar de correos con orígenes desconocidos, no abrir sus archivos adjuntos o enlaces, etc. En términos generales se trata de aplicar el sentido común, desarrollar un instinto de protección digital que ya tenemos desarrollado en otros ámbitos. ¿Quién entraría en un callejón oscuro de una ciudad desconocida?

- ¿Cómo hay que responder cuando somos víctima de uno de estos ataques?

- Si el ciberataque tiene trazas de ser un delito, se deberán recopilar todas las evidencias posibles y denunciarlo a la Ertzaintza. Si el incidente no está relacionado con ciberdelincuencia o simplemente no se tiene claro, lo más adecuado es avisarnos al BCSC para que lo estudiemos, proporcionemos información básica de actuación y, si fuera necesario, lo derivemos a otro organismo para su tratamiento. Por ejemplo, si se alerta de un ataque de suplantación de identidad (phishing), además de informar a la comunidad afectada, lo reportaríamos de manera responsable a los agentes con capacidad de actuación: al registrador del dominio donde se originó para que lo cancele, al proveedor del hosting para que elimine el contenido, a Phistank solicitando la inclusión de la URL fraudulenta en su base de datos, y a los proveedores de motores de búsqueda más usados…

- ¿Es ya la seguridad informática un nicho de empleo en el País Vasco?

- Sin duda, pero es un mensaje que necesita ser potenciado. Actualmente muchas empresas nos transmiten que tienen dificultades para contratar perfiles especializados. Hemos de ser capaces de transmitir a las nuevas generaciones que es una especialización profesional y dar visibilidad de su impacto social. Si tenemos éxito en ello despertaremos vocaciones y seremos capaces de detectar talento en edades tempranas cuyo resultado se verá en las próximas décadas.