Las empresas españolas viven bajo la falsa ilusión de que están protegidas contra los ciberataques
Las empresas españolas parecen estar viviendo bajo la ilusión de una falsa seguridad frente a los ciberataques, una amenaza que crecen cada año.

Las empresas españolas viven bajo la falsa ilusión de que están protegidas contra los ciberataques

|
07/8/2022 01:00
|
Actualizado: 06/8/2022 21:30
|

¿Viven las empresas españolas una falsa ilusión sobre su seguridad en la red? Seis de cada diez directivos consultados por la firma de servicios profesionales Mazars consideran que las ciberamenazas han aumentado con respecto a hace un año.

Y un 35 % afirma que es probable que se pueda producir un ataque significativo en los próximos doce meses –en línea con su homólogos del resto del mundo–, según se recoge en el informe «Cyber security. Is your safety net strong enough? » (Ciberseguridad: ¿es su red de seguridad lo suficientemente fuerte?), elaborado por Mazars, que, recién, lo ha publicado.

En palabras de Manuel Vaca de Osma, socio responsable de Consultoría de Mazars en España, “Es un hecho que las ciberamenazas nos rodean. Cada día, se producen nuevas intrusiones a sistemas de información, nuevas filtraciones de datos, nuevas situaciones de riesgo que pueden incrementar los costes tanto financieros como en muchos casos reputacionales”.

LA PARADOJA

Francisco Pérez Bes, socio de Derecho digital en Ecix Group y antiguo secretario general del Instituto Nacional de Ciberseguridad de España (INCIBE), sin embargo, apunta a la paradoja: “muchos de los directivos de empresas que han sufrido un gran ciberataque, habían manifestado previamente su confianza en que la información de su compañía estaba ‘completamente protegida'».

Pero no lo estaban. Y no parecen estarlo.

«La realidad no parece ser esa, tal y como demuestran las estadísticas de ciberataques publicadas por INCIBE-CERT y por el CCN-CERT, que muestran una tendencia al alta. O las comunicaciones de brechas de seguridad a la Agencia Española de Protección de Datos, que pasaron de las 1.370 del año 2020 a las 1.647 de 2021. Un aumento de un 20,2 %. Los datos de los cómputos de estos primeros seis meses de 2022 indican que se van a mantener en cifras similares durante este ejercicio”, señala Pérez Bes.

Este experto recuerda que las sanciones por no cumplir las obligaciones que establece el artículo 32 del Reglamento General de Protección de Datos (RGPD) también arrojan un dato muy destacable.

Según la herramienta de análisis de sanciones eRadar, de Ecix, las multas impuestas por autoridades de control europeas desde la aplicación del RGPD el 25 de mayo de 2018, superan los 114 millones de Euros.

Francisco Pérez BEs 1200 sRGB
Francisco Pérez Bes es socio de Derecho digital en Ecix Group y antiguo secretario general del Instituto Nacional de Ciberseguridad de España (INCIBE).

DE DÓNDE PROCEDEN LAS AMENAZAS Y QUÉ MOTIVACIONES TIENEN

La amenazas están ahí y son latentes: «Ramsonware», programas que secuestran las bases de datos tanto de empresas como organismos del Estado –como le ocurrió al Servicio Público de Empleo Estatal (SEPE) con el Ryuk–, de espionaje, macrovirus, virus polimórficos, virus furtivos, bombas lógicas, «physing», «drive by download», ataques DDos, suplantación de IP, el «Cross-site scripting», por el que el «hacker» inserta un JavaScript malicioso en la base de datos de la web de la empresa, escuchas clandestinas, o los ataques de cumpleaños.

El 71 % de los ataques cibernéticos tienen una motivación económica, seguidos por el robo de propiedad intelectual y el espionaje, según Verizon.

El 85 % de la Comunidad de Liderazgo en Seguridad Cibernética del Foro Económico Mundial ha llamado la atención, de forma específica, sobre el «ransomware», porque está creciendo peligrosamente; solo en 2020, los ataques de «ransomware» crecieron un 435 % y están superando la capacidad de las sociedad para prevernirlos o responder a ellos de manera eficaz.

El 71 % de los ataques cibernéticos tienen una motivación económica, seguidos por el robo de propiedad intelectual y el espionaje

El costo global anual de la ciberdelincuencia en 2021 fue de 6.000 millones de dólares. Dentro de tres años, en 2025, será de 10.500 millones de dolares, según la Revista Cybersecurity Ventures.

La mayoría de los ejecutivos consultados por Mazars expresan su confianza en la capacidad de sus empresas para protegerse en caso de un ciberataque.

Y más de dos tercios de los líderes empresariales (el 68 %) aseguran que los datos de su organización están “completamente protegidos”.

La confianza es mayor en Estados Unidos, donde el 80 % de los encuestados se siente completamente protegido, así como en España, donde el porcentaje asciende al 88 %.

DESCONOCIMIENTO DE LAS PYMES SOBRE LAS AMENAZAS A LA CIBERSEGURIDAD

Para Francisco Pérez Bes, de ECIX, “una de las principales cuestiones es el desconocimiento que, en muchas ocasiones, tienen los directivos de las pequeñas y medianas empresas en esta disciplina de la ciberseguridad, cuando la realidad es que tales organizaciones son cada vez más dependientes de la tecnología”.

“En el caso de la gran empresa, este extremo no es tan evidente por el hecho de que el riesgo de ciberataque es uno de los principales riesgos de negocio y, en consecuencia, es una materia más conocida por los órganos de administración y por sus capas directivas”, subraya.

«Las multas impuestas por autoridades de control europeas desde la aplicación del RGPD el 25 de mayo de 2018, superan los 114 millones de Euros», según Pérez Bes

La tendencia del regulador europeo es, precisamente, la de exigir a los operadores esenciales a que cuenten con consejeros o asesores externos expertos en asuntos relacionados con la seguridad de la información, «para que puedan incorporar al debate de la gestión empresarial aquellos aspectos de la ciberseguridad que mayor impacto pueden causar en la continuidad del negocio y en la reputación de la compañía en el mercado”.

Por eso, «las empresas deben entender que están siendo permanentemente atacadas y que van a tener que estar preparados para enfrentarse a numerosos incidentes de seguridad que no necesariamente tienen porque tener un origen externo o técnico”.

IMAGEN EQUIVOCADA

Este jurista cree que “esta imagen equivocada de la ciberseguridad es uno de los principales problemas de las empresas. Porque parecen estar esperando un sofisticado ciberataque desde un país desconocido».

La realidad debería pasar por tener clara una estrategia de gestión integral de la ciberseguridad, «con planes formativos ambiciosos y constantes para toda su plantilla, con inversiones en nueva tecnología, con alianzas para el intercambio de información y colaboración proactiva con los CSIRT, control de la cadena de suministro, y con una implementación real de protocolos y procedimientos, preferiblemente certificables, que permitan abordar la gestión de la seguridad de la información de una manera eficaz”.

Pérez Bes advierte que “cuando sufran un ciberataque, a estos directivos no se les juzgará por haber resuelto técnicamente el incidente sino, en particular el mercado y el regulador, se valorará todo lo que pudieron acreditar que hicieron para prevenirlo y, una vez producido, para gestionarlo y mitigar su impacto, siempre dentro de los niveles de diligencia exigibles por el legislador», concluye.

LA IDEA DE LA CIBERSEGURIDAD NO ESTÁ ASIMILADA

Por su parte, Raúl Rubio, socio de nuevas tecnologías de Deloitte Legal, opina que el  discurso de la ciberseguridad no está plenamente integrado “en el modelo de gestión de las empresas. Y de ahí el desencuentro antes citado. Hay un enfoque maduro de cómo afrontar los ciberataques por parte de las grandes organizaciones, Sin embargo, desde una perspectiva regulatoria jurídica falta aún encajar las piezas. Las empresas cuentan con armas limitadas para defenderse de los ciberataques pese a las inversiones tan cuantiosas que realizan”.

En este contexto Rubio aclara que “la posición de los estados, reguladores y fuerzas y cuerpos de seguridad del Estado muchas veces no es tan útil que podría ser para tratar de mitigar el impacto de estos ciberataques. El riesgo es tan alto y tan intenso que la policía por muchos recursos que tenga se ve muy limitada a la hora de poder proteger adecuadamente a sus empresas”.

Rubio opina que “se prioriza la defensa de los derechos de los particulares pero muchas veces se da por hecho que las empresas tienen recursos suficientes para pode defenderse cuando no es solo un problema de capacidad económica, sino también problema de marco jurídico que ofrezca a las empresas la posibilidad de defenderse con determinadas medidas”.

Raúl Rubio, socio de nuevas tecnologías de Deloitte Legal.

¿PERMITIR A LAS EMPRESAS TENER AGENTES DIGITALES ENCUBIERTOS?

A nivel práctico indica que “protegerse de un ciberdelincuente no siempre es suficiente Cuando una organización de ‘crackers’ decide atacar una gran compañía, muchas veces esa organización debería contar con herramientas similares con las que puede contar la política, como son los agentes digitales encubiertos. En ese sentido la ultima reforma que se hizo sobre la Ley de Enjuiciamiento Criminal [en 2015] dotó a los Cuerpos y Fuerzas de Seguridad útiles para perseguir ciberdelitos, herramientas que no están a disposición de las empresas”.

Desde su punto de vista “habría que desarrollar mecanismos que facilitasen la cooperación entre las Fuerzas de Seguridad y organizaciones privadas, serian claves. Junto a ello un marco legal que dote de mayor seguridad jurídica a las empresas a la hora de llevar a cabo sus propias investigaciones Y por último la asignación de más recursos, en la parte más publica que ayude a mitigar estos riesgos”.

«El riesgo es tan alto y tan intenso que la policía por muchos recursos que tenga se ve muy limitada a la hora de poder proteger adecuadamente a sus empresas”, opina Raúl Rubio

Por lo que respecta a los ataques, Rubio afirma que las empresas hacen frente a un triple riesgo.

«Por un lado, el riesgo evidente asociado a los daños que puede generar en la organización por el ciberatacante; segundo, el perjuicio reputacional y económico que se puede producir como consecuencia de los clientes y usuarios como consecuencia de la pérdida de negocio; el que son las sanciones que imponen los reguladores que se convierten en amenazas para las organizaciones”.

Rubio avanza que hay un paquete de medidas a nivel europeo “que ya están en camino y ya están muy diseñadas. La estrategia de la Unión Europea frente a la ciberdelincuencia es bastante cara y va en la línea de reforzar las obligaciones para las empresas y no, necesariamente, de dotarlas de los medios que necesitan. Habrá que ver como el Reglamento de Resiliencia Operativa Digital [conocido por el nombre de DORA o Digital Operational Resilience Act] puede generar marcos y obligaciones a nivel financiero».

«También se aprobará la Directiva NIS 2 sobre ciberseguridad [sustituirá a la Directiva actual sobre la seguridad de las redes y sistemas de información y sentará las bases para las medidas de gestión de riesgos de ciberseguridad y la obligación de notificación en los sectores de energía, transporte, sanidad e infraestructura digital]. Todo ello va reforzar las exigencias regulatorias para determinado tipo de empresas”, concluye Rubio.

Noticias Relacionadas:
Lo último en Política