Este pasado jueves AOTEC, asociación nacional que aglutina a operadores de telecomunicaciones y servicios de Internet de tamaño medio, celebró su I Foro Aotec de las Telecomunicaciones, que en esta edición inicial ha tenido como eje temático la ciberseguridad. En el evento han congregado tanto representantes institucionales como empresas privadas y de compañías asociadas.
El foro se abrió con la intervención de Luis Hidalgo, responsable de Relaciones Institucionales del INCIBE (Instituto Nacional de Ciberseguridad), quien expuso todas las iniciativas y actividades que lleva a cabo la entidad en pro de los ciudadanos y las empresas de nuestro país.
Le siguió una ponencia de José Luis Piñar, quien en su día fue director de la Agencia Española de Protección de Datos. En un tono directo y sin pelos en la lengua el también asesor de la fundación Instituto Internacional de Tecnología y Derecho Digital dio una serie de recomendaciones que deberían cumplir las organizaciones y más de un tirón de orejas.
"Si las empresas tienen que proteger los datos personales no solo es por temor a una mullta, sino porque estamos jugando y manejando información vital para las personas. El legislador tiene que reaccionar y hacerlo imponiendo obligaciones a quien maneja datos de carácter personal", ha defendido.
No obstante, Piñar reconoce la dificultad de que la legislación le siga el ritmo a la innovación o al menos no vaya demasiado retrasada en relación a esta. Asi, ha incidido en que se están dando avances impresionantes en esta materia, citando ejemplos como las polémicas imágenes de contenido sexual creadas por IA de las menores de Badajoz o el que ya se está hablando de 'neuroderechos', porque ya hay innovaciones como Neuralink que nos pueden leer la mente.
El ex director de la AEPD defendió que "todas las empresas que contratan con administraciones públicas deberían tener sistemas de protección de datos, medidas de seguridad alineadas con lo que dicta el Esquema Nacional de Seguridad". Asimismo, asegura que “todo aquel que vaya a tratar datos tiene que hacer una evaluación de impacto, evaluar el riesgo y tomar medidas de seguridad para rebajar y mitigar este riesgo esperado”.
Para finalizar su intervención Piñar afirmó que la protección de datos está cambiando muchas conductas y “todavía hay muchas que tienen que cambiar”.
Para muchas pymes una multa por violar el RGPD puede suponer su ruina y su fin, al no poder asumir el pago de la misma. A ello se suma también el daño reputacional ya que, según recuerda el responsable, los nombres de las compañías sancionadas se hacen públicos en la web de la AEPD y “muchos clientes valoran esto a la hora de contratar o no”.
La primera mitad de la tarde la cerró el veterano periodista Fernando Ónega, colaborador del medio "65ymás", quien criticó que haya 5 millones de personas en España a las que se está dejando fuera de las nuevas tecnologías y desconectadas por ser mayores. También ensalzó como “los mayores son digitales. Son los que han hecho una adaptación más rápida y meritoria”. Para finalizar, el comunicador aseguró que “la ciberseguridad es un derecho fundamental y empieza a ser reconocido como tal”.
Protegiendo a los que llevan Internet a las empresas
Tras el break para el café se celebró una mesa redonda para abordar la situación y los retos de la ciberseguridad en España, en la que intervinieron Eva Álvarez del Manzano, ex-jefe de seguridad en las Estaciones espaciales, INSA_NASA; Ramiro López, CEO de la empresa de servicios médicos Mundimed, y Eduvigis Ortiz, líder del capítulo español de la Fundación Women4Cyber.
Álvarez del Manzano dejó caer varios mensajes potentes, como que “cuanto más te ven más te atacan. Es como cuando destacas por ser muy guapo o por ser muy feo. En España somos una potencia mundial en ciber y por eso somos diana”. Además, también trató de mostrar la ciberseguridad desde una perspectiva psicológica, afirmando que resultan muy importantes tanto la gestión de los egos como la gestión emocional para no caer en errores.
López recordó que hay que tener mucha precaución con los datos que se comparten y, sobre todo cuando son médicos o de salud, porque no se sabe en qué manos pueden acabar. Además, Ortiz dio un dato curioso: muchos fallos de ciberseguridad se dan el viernes por la tarde. “Ese día y en ese horario la gente la lía más, porque tiene más prisa, va con menos cuidado porque quiere irse a casa tras el trabajo y empezar el finde. Educarnos nosotros mismos y concienciarnos es esencial para ser la primera línea de defensa”, defendió.
La segunda mitad de la tarde también se centró en algunas charlas de contenido más práctico y técnico orientadas sobre todo para. La primera de ellas, titulada Ciberseguridad orientada a operadores. Impacto en el ancho de banda y cómo solventarlo, tocó muchas de las ciberamenazas actuales. Salieron a la palestra el phising, el ransomware, el siegeware o secuestro de edificios, la criptominería y técnicas algo menos conocidas como el juice jacking, que permite obtener los datos de un dispositivo con la excusa de ofrecer un cargador público para móviles.
El ponente, Jaime Pardines, especialista en redes de la empresa de software de ciberseguridad ESET, afirmó que “están atacando, sobre todo, a operadores pequeños. Nos sobrecargan con ataques DDos. El 15 o 20 por ciento de ancho de banda es consumido por este tipo de ataques”.
Pere Tunset, profesor de la Universitat Oberta de Catalunya y experto en el diseño, desarrollo y evaluación de redes y protocolos, impartió una ponencia muy detallada sobre Internet de las Cosas y cómo protegerse.
Para finalizar la jornada algunos operadores de telecomunicaciones y servicios de internet expusieron en un formato de mesa redonda sus principales inquietudes respecto a la nueva oleada de ciberamenazas. Uno de los mensajes clave fue que cada vez se dan más ataques volumétricos.
Los participantes de esta última franja también criticaron que muchas compañías no se hacen preguntas que deberían ser casi obligadas como “¿Tienes el inventario de activos? ¿Me pasas el plan de activos? ¿Tienes el plan de contigencia?”. El problema sería que “implementan soluciones, pero no miden ni los riesgos ni el impacto”.