«Las pequeñas y medianas empresas no están exentas de sufrir un ciberataque»

La digitalización y el fomento de la Industria 4.0 son indisociables de la competitividad. Sin embargo, llevan aparejados los consecuentes riesgos. Jesús Romero es el responsable en España de la Unidad de Soluciones de Seguridad de Negocio de PwC, que en los próximos meses doblará a sesenta los expertos de su centro de Bilbao, ubicado en la Torre Iberdrola, ante la creciente demanda del tejido productivo. El experto evidencia que el disfrute de los beneficios de las nuevas tecnologías «que han llegado para quedarse» -nube, 'big data' o internet de las cosas- exige una estrategia de seguridad. Según datos del Ejecutivo autonómico, las firmas vascas se vieron afectadas el pasado año por más de 9.000 ciberdelitos, con un impacto de 840 millones.

- La ciberseguridad no es solo cosa de grandes compañías.

- En absoluto. Como muestra la gran demanda que recibimos del tejido industrial vasco, esencialmente compuesto por pequeñas y medianas empresas, la preocupación por la ciberseguridad se extiende a todas las entidades que avanzan en digitalización, incluida la Administración pública de la comunidad.

- No solo estamos hablando de ciberataques.

- Efectivamente. A medida que las compañías incrementan su apuesta tecnológica las distintas partes de la empresa se interconectan y un fallo tiene mayor impacto en la productividad, con las consecuentes pérdidas económicas y el perjuicio para la reputación.

- ¿A qué peligros se puede ver expuesta una pyme?

- La casuística es amplísima. Si hablamos de ataques, puede ser una agresión a su sistema o el robo de datos para tráfico o extorsión. A veces basta con un falso correo de una entidad bancaria para que la empresa facilite una contraseña y dispare su exposición.

- No hay que olvidar el espionaje industrial.

- Según una encuesta de nuestra firma, los ataques en compañías españolas perpetrados por competidores representan el 28% de los de origen externo, tres puntos más que los protagonizados por bandas. Cuando una empresa se presenta a una importante licitación, se pone en el mapa y aumenta el riesgo. La posibilidad de sustraer información sobre I+D es tentadora para compañías sin criterios éticos.

- ¿Qué vías de acceso usan los ciberdelincuentes?

- Puede ser desde un correo que al abrirlo activa un 'malware' -programa dañino- hasta un empleado que se lleva información. La clave para las organizaciones criminales es encontrar fallas que les sirvan de acceso, y los vectores de ataque son múltiples. Ya no se trata del hacker que entra a una web para dejar su sello, incluso por activismo. Hablamos de bandas muy bien preparadas.

- Según una encuesta de PwC, cuatro de cada diez empresas no logran identificar a los autores.

- En ocasiones, el ciberdelincuente simplemente accede al sistema, copia los datos y lo abandona. Otras, puede permanecer mucho tiempo sin ser detectado.

- Casi la mitad de los ataques internos en firmas españolas los perpetran trabajadores.

- Trabajadores o exempleados que, por ejemplo, roban información. Además, cuatro de cada diez los cometen proveedores, según el mismo informe.

- ¿La legislación es efectiva contra el ciberdelito?

- Pese a avances como la ley española de infraestructuras críticas o el nuevo Reglamento General de Protección de Datos de la Unión Europea, la normativa aún no es suficientemente disuasoria. Al delincuente no le sale proporcionalmente caro el ataque.

- ¿Qué sectores se encuentran más expuestos?

- El financiero, por la información que maneja, aunque es a su vez el más protegido. Los delitos, no obstante, se extienden a otros sectores a medida que se digitalizan. El sanitario es un buen ejemplo.

- Euskadi aspira a ser referente en ciberseguridad.

- Ahí está el Basque Cybersecurity Centre, enfocado en ciberseguridad industrial, y en cuyo diseño y despliegue colaboramos. La apuesta del Gobierno vasco fomenta la sensibilidad hacia el asunto del tejido productivo.