Las pymes españolas no invierten lo suficiente en ciberseguridad y se convierten así en objetivo fácil de los delincuentes informáticos, que a través de ellas -como empresas proveedoras- pueden acceder y atacar a las grandes compañías, según explican a Efe diversos expertos en la materia.
El consejero de ciberseguridad Román Ramírez, que trabaja como independiente con empresas como Ferrovial y CaixaBank, y el profesor de estudios de Informática Multimedia y Comunicación de la UOC Jordi Serra sostienen que las pequeñas y medianas empresas deben ser más conscientes de los peligros de las ciberamenazas.
Según Ramírez, se deben distinguir dos tipos de cibercrimen: el primero, un acto delictivo en el que la tecnología es una herramienta, como por ejemplo la difusión de imágenes privadas, calumnias e injurias en internet.
La segunda tiene la tecnología como objetivo, con acciones como dañar los sistemas digitales de una empresa, inhabilitar ordenadores y funciones, o la guerra híbrida -que combina acciones terroristas con campañas propagandísticas a través de las nuevas tecnologías para influenciar a la población-.
En este segundo caso, los ciberdelincuentes seleccionan a sus objetivos -personas físicas o empresas- según su patrimonio y facturación a partir de datos encontrados en internet y elaboran un mapa de rentabilidad.
Con esta información hay distintos caminos que pueden seguir: los más comunes son suplantar la identidad de un trabajador, empresa o proveedor a través de un correo electrónico falso que contiene archivos o enlaces a internet con un virus, que se instala en el ordenador y les da el control, o también opciones como infiltrar o sobornar a un trabajador.
"Una vez pagas, ellos mismos te ayudan a borrar el virus", asegura Ramírez, que añade que es "muy difícil" perseguir a estos grupos y recuperar los daños a sistemas y ordenadores afectados si no hay una transacción "normalmente millonaria" de por medio.
Actualmente, los ataques de "ransomware" -que impide a los usuarios acceder a su sistema- y de DDoS -que satura y bloquea el servidor- son la principal amenaza de la continuidad de un negocio, según la Agencia de Ciberseguridad de Cataluña.
De hecho, en el tercer trimestre de 2020 los ataques de "ransomware" crecieron un 160 % en toda España, según el mismo organismo, que apunta que los DDoS aumentaron un 151 % durante la primera mitad de 2020 en comparación al año anterior.
El problema, según Ramírez, es que aún se invierte poco en ciberseguridad, un tema que "no se debe ver como algo técnico, sino estratégico", y remarca que su importancia es tal que el responsable en la materia debería estar en el consejo de dirección de las empresas para tomar decisiones como el enfoque de crisis, los controles necesarios o proporcionar consejos sobre las mafias atacantes.
Las grandes empresas sí que están protegidas, explica, mientras que "la administración pública y las pymes no invierten tanto en ciberseguridad y por lo tanto son más inseguras", añade Ramírez, que colabora con la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum.
En este sentido, asegura que las empresas deberían invertir de un 14 a un 20 % de su facturación en ciberseguridad, una cifra que "no es tan elevada" si se compara con la que hay que pagar si hay un ataque: "La sanción de la protección de datos más la cantidad solicitada por las mafias, que ronda el 10 % de la facturación".
En opinión del profesor de la UOC Jordi Serra, las empresas deberían seguir distintos pasos para minimizar los ataques y conseguir resolverlos en caso de que ocurran.
Primero, concienciar a sus empleados con cursos o campañas de los riesgos de los ciberataques y dar herramientas para detectar correos fraudulentos, hacer copias de seguridad de todos los ordenadores -actualizadas y comprobadas periódicamente-, y tener la red de ordenadores segmentada: "Hay que trabajar como si ya estuvieras infectado", sostiene.
Aún así, reconoce que la empresa debe saber que con esto "no es suficiente" y que para minimizar ataques la mejor opción es invertir en ciberseguridad, para "ponerse en la piel del otro y saber por dónde te atacarán".
Aunque no considera que el ciberexperto tenga que estar en el consejo de dirección de las empresas, sí que opina que no debe colgar del departamento de informática, sino que tienen que estar al mismo nivel en la toma de decisiones.
Este rol del ciberexperto crecerá, según la Agencia de Ciberseguridad de Cataluña, que señala que el 79 % de las organizaciones espera aumentar el presupuesto en seguridad informática en los próximos tres años, ya que tres de cada cuatro espera un aumento de los ataques informáticos.
Una opinión compartida por Jordi Serra, que también prevé un "gran aumento" de las aseguradoras especializadas en seguridad informática, que cubrirán los ataques, las multas de protección de datos y los rescates, entre otros daños colaterales.
