Las compañías españolas sufrieron en 2023 el mayor número de ciberataques de su historia, y en la primera mitad de 2024 la tendencia sigue mostrando un aumento. Con las amenazas a gigantes como Santander, Telefónica o Iberdrola, ninguna compañía española parece estar segura.
Para conocer un poco mejor la situación, y saber de primera mano las medidas más eficientes para fortalecer su seguridad, contamos con dos voces expertas. Primero, el profesional en derecho penal económico Roberto San José, de Oliver & Abogados, nos hablará de la importancia de la regulación como contramedida ante estos ciberataques en las compañías. Además, Diego García, director de Sistemas y Ciberseguridad en Hadoqmedia, nos explicará la formación para empleados.
Una legislación «insuficientemente específica»
Roberto San José explica que la legislación actual «no es suficientemente específica» para abordar los desafíos que plantea el dinámico entorno digital. Además, denuncia que el Reglamento General de Protección de Datos «no cubre todos los aspectos críticos de la ciberseguridad empresarial». Es por esto que desde el despacho consideran que «es imperativo incrementar la regulación en materia de ciberseguridad corporativa en España».
Para él, varios factores son causantes de la escasez de prevención en ciberseguridad por las empresas: desconocimiento para identificar y mitigar riesgos cibernéticos, costos perceptivos «la percepción por las compañías de que estas medidas serían demasiado costosas, desincentivando las inversiones necesarias», y la cultura reactiva, que predispone a actuar cuando ocurren los incidentes, en vez de prevenirlos.
Si bien la prevención gracias al desarrollo normativo es crucial, no debemos olvidar la concienciación de los trabajadores de las compañías. «Son aspectos fundamentales, y se complementan entre sí para crear una cultura de seguridad sólida», asegura Diego García. Y hablando de la ‘despreocupación’ de muchas compañías, el experto concuerda con San José: «tal vez por nuestra cultura somos más reactivos, más de resolver el problema una vez ha ocurrido». Añade que «esta filosofía se ha trasladado a las empresas y se nota, pues cuesta mucho vender servicios de seguridad. Como tal no se entiende la utilidad ni la necesidad, se ve como un gasto innecesario…» Pero admite que el aumento del número de ciberataques ha hecho que las compañías «se empiecen a tomar en serio este asunto».
La peculiaridad de las pymes
Los ciberdelincuentes suelen centrar sus acciones contra los empleados, tanto de pymes como de grandes empresas, debido a varias razones. El experto en ciberseguridad las califica de «errores humanos»: mayor exposición a ataques de ingeniería social, falta de formación y de concienciación en seguridad IT, y uso de dispositivos personales para el trabajo.
Ahora, dentro del mundo empresarial se pueden encontrar escenarios muy divergentes. Más concretamente, las pymes son un objetivo curioso para los ‘hackers’, debido a sus propias características orgánicas. «Si bien es cierto que suele haber menos objetivos para atacar, dada su reducida infraestructura, también están más expuestas, pues poseen menos recursos para defenderse», detalla Diego García. Por tanto, estos negocios serían más vulnerables al cibercrimen, aunque por su tamaño presentarían un ‘botín’ menos suculento para los hackers.
Los empleados de cualquier compañía deben contar con una serie de conocimientos clave en seguridad IT. Para Diego García, se trata simplemente de algo «de sentido común»: tener contraseñas complejas y no compartir los accesos, usar gestores de contraseñas, reportar cada incidencia y anomalía, aprender a reconocer comunicaciones sospechosas, o instalar y utilizar solo software oficial y autorizado.
Hacia dónde debemos mirar
Volviendo a San José, al preguntarle sobre países o empresas en los que haya que fijarse para implementar medidas de prevención y concienciación, este tiene claro que «Estonia y Estados Unidos son ejemplos a seguir por su normativa avanzada y prácticas en ciberseguridad». El primero, por su programa e-Estonia, ha creado una infraestructura digital segura, la cual «incluye medidas robustas de ciberseguridad y fomenta la formación continua en todos los niveles», explica el abogado.
Sobre las compañías incide en casos como Google y Microsoft, que para él «lideran el camino en ciberseguridad». Concretamente, Google Cybersecurity Action Team implementa medidas de seguridad avanzadas e invierte significativamente en la formación y concienciación del empleado. San José asevera que «este enfoque integral ha demostrado ser efectivo para proteger los datos y sistemas de la compañía» ante ciberataques.
