“La vía más fácil para atacar a una empresa está en las personas”

Teniente coronel en excedencia, experto en ingeniería informática, sistemas, criptología y seguridad corporativa, Miguel Rego es desde noviembre de 2013 director del Instituto Nacional de Ciberseguridad, un organismo dependiente del Ministerio de Industria. Una de sus obsesiones es extender entre los empresarios la reflexión sobre lo que pueden llegar a perder si no ponen barreras que protejan su negocio en la Red.

Pregunta: ¿Están las empresas españolas preparadas frente a la ciberdelincuencia?

Respuesta: El nivel de preparación en relación con las ciberamenazas varía mucho en función de la estructura y el tamaño de las empresas. Las grandes han ido desarrollado capacidades para la detención, prevención y respuesta en los últimos años. Cada vez lo tienen más interiorizado. Una cosa diferente son las pymes, que representan el 99% de las empresas y que tienen menos de 250 empleados. Aquí depende mucho del modelo de negocio y de su dependencia tecnológica. Aquellas que tienen una alta dependencia se encuentran con un mayor nivel de madurez, han ido invirtiendo, de tal manera que comprenden que la seguridad puede llegar a ser una ventaja, como resulta en el caso de las que utilizan Internet, Business to Business o Business to Consumer y distribuyen o forman redes con sus clientes. En servicios financieros, transporte de viajeros y mercancías, o franquicias de redes comerciales, el nivel de riesgo es alto y el impacto para sus negocios ante un posible ataque también lo es. Se debería hacer un esfuerzo mayor, porque muchas de ellas no han desarrollado aún este tipo de soluciones. Deberían alcanzar un determinado nivel de seguridad.

P. ¿Qué medidas deberían adoptar?

R. Principalmente, sistemas para la detección automática de ataques y modos de responder a ellos. Es importante que sean capaces de monitorizar qué es lo que está pasando en sus redes internas. Para ello es necesario tener personal dedicado de forma completa a esta actividad. Y todas estas medidas deberían agruparse en un plan revisable.

P. ¿No son costes inabordables por las pymes?

R. Hay que empezar de una manera progresiva. En algunos casos, una inversión de unos pocos miles de euros al año puede ser suficiente, dependiendo del negocio. También está la posibilidad de que se apoyen en empresas externas. Recomendamos que realicen un análisis de riesgos que determine el impacto económico y reputacional de un incidente que conlleve una pérdida masiva de información o un bloqueo de su sistema de comercio electrónico. Así va a ser más sencillo justificar una inversión.

P. ¿Quién está más expuesto?

R. En el momento en que uno realiza transacciones a través de Internet cualquiera puede ser objeto de ataque por los ciberdelincuentes.

P. ¿Cuántas alertas reciben en el instituto?

R. En 2014 hemos gestionado 18.000 incidentes de seguridad. Estos incidentes pueden derivar en un ataque. Son incidentes reales, detectados y gestionados. La tendencia es creciente: hace cinco años contabilizábamos menos de la mitad. Pero para no caer en la paranoia hay que decir que Internet es cada vez un campo con más ciberdelincuentes, pero las empresas y los organismos públicos desarrollan cada vez más capacidades para responder a ellos.

P. ¿No van los defraudadores un paso por delante?

R. Es cierto que se han profesionalizado, ya no son estudiantes que quieren demostrar sus habilidades como hackers. Hay modelos perfectamente organizados y las organizaciones criminales tradicionales han contratado expertos para desarrollar herramientas que les faciliten robos en Internet. Invierten mucho dinero para ser indetectables. Se observa que los ataques van muy dirigidos a empresas concretas. A diferencia que lo que ocurría hace años, cuando se atacaba a la empresa más débil, ahora son más selectivos. Eligen una empresa u organización y dedican tiempo a conocer a sus empleados, analizan vías de acceso hasta encontrar una brecha en su seguridad.

P. ¿Quién está detrás?

R. Son mafias criminales como las del mundo real, pero también nos encontramos con robos de carácter industrial entre Gobiernos de distintos países. Intentan robar desarrollos en I+D+ i para obtener ventajas competitivas. Durante mucho tiempo se ha identificado al gobierno chino detrás de estos ataques, pero suceden entre países del mismo entorno. Los Gobiernos utilizan el ciberespacio para obtener información y defender sus intereses.

P. ¿Cuál es el punto más vulnerable en una empresa?

R. Las personas. Estamos hablando de ataques complejos, que se construyen en varias fases y que suelen iniciarse con la infección del ordenador de un empleado. Ese primer ataque da paso a que se abran conexiones hacia el exterior. Utilizan lo que llamamos correos “arpón” o “gancho”. Los recibimos frecuentemente en el ordenador, parecen inofensivos, nos ofrecen servicios comerciales e incluyen un enlace que tras pincharlo facilita la infección de un virus. Esto no es fácil de detectar, a veces los correos se construyen de una manera tan precisa que tienen la apariencia de un mail de nuestra propia empresa.

P. ¿Qué pueden hacer las pymes para protegerse?

R. Muchas pymes son indiferentes. No invierten, ni toman ninguna medida. Pero tienen que entender que la información es un activo vital para ellas. Tienen que preguntarse qué pasaría si la pierden. Deberían adoptar ciertas medidas, como copias de seguridad y mecanismos para que toda la información no sea accesible por todos los empleados, proteger los datos críticos.