Cada 7 de febrero se celebra el Día Internacional de Internet Segura. En 2023 se cumplen 20 años del inicio de esta campaña, que bajo el eslogan “Juntos por una Internet mejor”, es un evento significativo en casi 180 países y territorios en todo el mundo.
Esta consigna está orientada a promover conductas seguras tanto entre los ciudadanos como en las organizaciones y empresas. Y en este marco, hay llamativas cifras que no podemos pasar por alto. En España, los delitos informáticos han aumentado 455 puntos porcentuales en los últimos seis años: sólo en 2022 se cometieron cerca de 255.000. Además, el 94% de las empresas españolas sufrió un incidente grave en ciberseguridad, aseguran desde la Universidad Europea.
Al mismo tiempo y considerando la importancia de esta vulnerabilidad, según un estudio elaborado por MCPRO, el 39,7% de las empresas españolas incrementará su inversión en digitalización de cara a 2023, al mismo tiempo que más del 63% de los responsables de transformación digital consideran que invertir en ciberseguridad es su principal prioridad para este año.
Estos datos hablan de una creciente toma de conciencia, pero también es necesario saber desde donde se parte. “La pandemia ha sido un catalizador de la transformación digital por la propia necesidad que han tenido las empresas de adaptarse a lo que ha venido, al teletrabajo, al mayor consumo de los productos vía online y demás, y por supuesto eso ha conllevado una transformación sobre todo para pequeñas y medianas empresas que hasta ahora no venían operando en el mundo online”, explica Enrique Puertas, profesor de la Universidad Europea de Madrid, especializado en Big Data, Minería de Datos e Inteligencia Artificial.
“A su vez -continúa este experto-, las grandes empresas están viendo que es el camino a seguir, y que hay que llevar el enfoque a lo que se llama Data Science, basado en el análisis de datos e inteligencia artificial, y que tienen que incorporarlo a los procesos para no quedarse atrás. Pero, por otro lado, lo que he podido apreciar es que esta digitalización está haciendo que haya una mayor exposición desde el punto de vista de riesgos en ciberseguridad y que ahí no se está avanzando tanto porque no hay todavía esa noción de los riesgos que puede suponer esa inmersión en este mundo digital”, advierte Puertas en diálogo con Escudo Digital.
Si bien es importante diferenciar entre cada tipo de empresa, porque no sucede lo mismo entre los grandes y los pequeños y medianos negocios, Puertas calcula que “más de la mitad de las empresas están expuestas a problemas de seguridad, teniendo en cuenta que prácticamente ninguna compañía está libre de ser atacada y de tener agujeros de seguridad”, por más actualizados que tenga sus sistemas y que haya colocado todos los parches de seguridad disponibles.
Esto se debe a varias causas. “Existen los ‘Zero-day’, que son los problemas de seguridad que todavía no tienen una solución por parte del fabricante o la empresa que tiene que parchear el asunto. Y luego están los problemas de seguridad que aún no son conocidos, es decir, son vulnerabilidades que pueden encontrar grupos de delincuentes y que por supuesto no han comunicado ni han publicado, con lo cual no existe ni una solución, al punto de que las empresas ni siquiera son conscientes de ese problema. Eso es lo más peligroso”, continúa el profesor de la Universidad Europea.
La pandemia ha sido un catalizador de la transformación digital, pero esta digitalización está haciendo que haya una mayor exposición desde el punto de vista de riesgos en ciberseguridad y ahí no se está avanzando tanto.
Primer paso: la formación
Frente a una exposición prácticamente inevitable, entonces, el consejo número uno de los especialistas es la formación. ¿Por qué? “El mayor problema de seguridad que tienen las empresas no es tanto técnico sino humano, es decir, la mayor vulnerabilidad son los trabajadores. Ataques como el phishing, que son estos mensajes que se hacen pasar por páginas de bancos, o por webs de proveedores, o por la página de nuestro partner, que lo que buscan es que determinado personal de la empresa introduzca sus credenciales, su usuario y contraseña, para dar acceso a los delincuentes a los sistemas de información, es ahora mismo el mayor riesgo. Es verdad que hay correos o mensajes que muchas veces están hasta mal redactados y son más o menos fáciles de detectar, pero luego los hay mucho más elaborados, como en el caso del phishing dirigido, en los que los atacantes recopilan información concreta de la empresa y por ejemplo se pueden hacer pasar por un proveedor, en el correo colocan el logotipo de esa compañía proveedora y al final lo que se busca es que la empresa atacada, para una factura o lo que sea, acabe metiendo sus datos, y claro, los está metiendo en una página falsa y está dando acceso a los delincuentes a los sistemas de información de la empresa. Entonces ahora mismo si yo tuviera que decir cuál es el mayor problema, son las personas, son los trabajadores, y la solución es formación. Todas las empresas deberían tener campañas de formación para sus trabajadores todos los años y recordatorios para concienciar”, asegura Puertas.
Nos encontramos, así, frente a una cultura de la ciberseguridad que no sigue el ritmo creciente del proceso de digitalización, por lo que muchas compañías quedan expuestas al oportunismo de la ciberdelincuencia. Enrique Puertas aconseja, entonces, trabajar primero en el factor humano: “Está claro que hay que invertir mucho en formación, hacer sobre todo las medianas y pequeñas empresas adquieran estos conocimientos, esta cultura de la ciberseguridad, y de la importancia que tiene esto. A ninguna compañía se le ocurriría dejar sus negocios sin vigilar, sin tener todas las entradas y salidas bien cerradas y aseguradas cuando no están operando, y sin embargo en la parte digital todavía no hay esa cultura, y eso la forma de corregirlo es mediante acciones sobre todo formativas y hacer actividades para concienciar. Yo creo que el camino a seguir es precisamente intentar sacar una serie de acciones para que la gente sea consiente primero de los riesgos a los que se exponen, y luego, por supuesto, cómo pueden solucionar esos riesgos y cómo pueden incorporar esta ciberseguridad a sus negocios”.