«Hasta que no te dan una torta no te acabas de tomar en serio la ciberseguridad»

Responsables de diferentes empresas conversan sobre ciberseguridad en Bilbao./E. C.
Responsables de diferentes empresas conversan sobre ciberseguridad en Bilbao. / E. C.

Las empresas vascas van tomando conciencia de la necesidad de protegerse frente a ciberataques, aunque son incapaces de detectar un alto porcentaje de amenazas

JORGE MURCIA

Dicen que la letra con sangre entra, o que algunos sólo aprenden a base de tortas. Expresiones que bien pueden aplicarse a la lucha de las empresas contra los ciberataques, una amenaza difusa que suele concretarse en ese email o página web falsa ideados para sustraer información sensible o incluso paralizar la actividad de una compañía. Porque si bien poco a poco las empresas van tomando conciencia de la necesidad de protegerse frente a los ciberdelincuentes, también es cierto que les queda mucho camino por recorrer: aún son demasiadas las que no son capaces de detectar un alto porcentaje de las amenazas que llegan a través de la red; en España, más de la mitad (un 56%).

La jornada 'La alta dirección frente al reto de la ciberseguridad', organizada por la Asociación para el Progreso de la Dirección (APD) y S21SEC, puso ayer martes sobre el tapete los problemas que se encuentran muchas compañías a la hora de protegerse de una amenaza cada vez más presente en su día a día. El pasado año la Ertzaintza gestionó casi 13.000 delitos de este tipo, lo que supone un incremento interanual del 38%, según expuso Mikel Madariaga, director de la Zona Norte de APD. Y el Incibe (Instituto Nacional de Ciberseguridad) detectó en la comunidad autónoma vasca una media diaria de entre 2.500 y 3.000 problemas de ciberseguridad.

A EITB le vino «bien» el bofetón de realidad que hace año y medio supuso WannaCry, un programa de 'malware' que representó el ataque informático a escala mundial más importante de la última década. «Desde entonces nos lo tomamos más en serio, porque para eso no hay nada como una buena torta», admite Iñaki Regidor, CIO (Chief Information Officer) de la radiotelevisión pública vasca. «Es algo que te puede fastidiar el día, la semana o incluso el mes. Pero nos vino muy bien para darnos cuenta de que había mucha gente ahí fuera que quería dañar nuestro negocio».

Las empresas deben ser conscientes de que «el responsable de su seguridad debe sentarse en la mesa de dirección», sostiene Juantxu Mateos, VP Sales de S21SEC, empresa proveedora de servicios de seguridad cibernética. A su juicio, las empresas deben ser conscientes de «las vulnerabilidades de sus activos», así como «valorar la posibilidad de una amenaza». Una información que ha de provenir de «datos fidedignos, como la recogida de alertas de equipos que intervienen en procesos, los incidentes, lo que sucede en las empresas del entorno...». Se trata, en última instancia, de promover «un mantenimiento preventivo. Poner en marcha un sistema de gestión de información, y de reparación en caso de que ocurra un ciberataque».

El correo electrónico se está revelando como una de las principales vías de ataque por parte de los ciberdelincuentes. «El email es lo que hoy día escala la amenaza, porque los atacantes al fin y al cabo tratan de hacer el mínimo esfuerzo, con el mínimo coste, pero la máxima rentabilidad», dice Antonio Cañada, account manager de FireEye, multinacional proveedorea de servicios de análisis y prevención de vulnerabilidades.

El ataque llega desde los proveedores

Tal es así, que en Siemens Gamesa aseguran bloquear «hasta 9.000 intentos de 'phishing' (suplantación) de correo a la semana». El responsable de Información y Ciberseguridad de la compañía vasca, Iñigo García, cree que las grandes empresas deben «concienciar» a sus clientes y proveedores sobre la necesidad de no bajar la guardia ante estas amenazas. Y no sólo eso, «también apoyarlos con soluciones técnicas». Porque buena parte de los ataques llegan a través de proveedores: otra táctica para acceder a más potenciales víctimas. «Resulta más sencillo, porque muchas veces estos proveedores son más pequeños, e invierten menos en seguridad», dice Paulo Glórias, Regional Sales Director de Bitsight, compañía especializada a la calificación ('rating') en ciberseguridad de las empresas. Glórias puso el ejemplo de un ataque perpetrado a través de una empresa de software de contabilidad ucraniana que acabó infectando a empresas tan potentes como Maersk, líder mundial en el transporte marítimo de contenedores.

«Cada vez pedimos más certificaciones a nuestros proveedores. El problema es que muchos de ellos son de los llamados 'kilómetro cero': cercanos, pequeños, a los que no podemos exigir lo mismo que a otros más grandes», reconoce Iñaki Regidor, de EITB. «El riesgo muchas veces viene por ahí, y nosotros recurrimos cada vez más a proveedores externos», añade Idoia Uriarte, CISO de Euskaltel, compañía que se encuentra en pleno proceso de transformación digital e integración operativa de sus tres marcas: Euskaltel, R y Telecable. «Hace años que tomamos medidas para protegernos contra ciberataques, pero vemos que es necesario dedicar recursos adicionales», admite.