EN un escenario donde los ciberataques son cada vez más frecuentes y más sofisticados, la ciberseguridad se revela como una ventaja competitiva para las empresas, que deben invertir en protección para evitar riesgos innecesarios. Así lo dejaron patente en el Encuentro DEIA sobre Ciberseguridad expertos como Asier Martínez, Head of CSIRT Services del Basque Cybersecurity Centre (BCSC); Javier Aparicio, director de Sistemas y Ciberseguridad de i68 Grupo Zucchetti; Aiert Azueta, CEO de BeClever; Jesús García, director Territorial Norte de MGS Seguros; y Mikel Iturbe, docente investigador de Mondragon Unibertsitatea.

La evolución de la seguridad en Internet va ligada al desarrollo de las amenazas y ataques. Así, con el paso de los años, el nivel de profesionalización de quienes se dedican a cometer ciberdelitos ha mejorado significativamente. Ahora están muy organizados, actúan como empresas que se dedican a identificar fallos en los sistemas, a desarrollar herramientas para comprometerlos, etc. A la par, las herramientas para la protección de esos sistemas han cambiado totalmente. Al principio bastaba con un antivirus para estar protegido, pero actualmente el tipo de herramientas que han surgido para protección de la información son de muy diversa índole, buscan caracterizar las amenazas, encontrar puntos comunes para bloquearlas, analizar comportamientos concretos..., en definitiva, proteger a los usuarios de manera global.

La mayor parte de los ataques se realiza de manera masiva indiscriminada y los ciberdelincuentes pretenden obtener el mayor beneficio económico con el menor riesgo, es decir, el mayor retorno de inversión. En este sentido, Aiert Azueta coincide con Asier Martínez en que antes el riesgo era en momentos puntuales y hoy los ciberdelincuentes intentan pasar desapercibidos el mayor tiempo posible para obtener el máximo de información y muy diversa con objeto de venderla a terceros.

En este contexto, Javier Aparicio habla de “un antes y un después” que se produce “cuando el objetivo del ataque empieza a ser un negocio. Al final, el atacante está continuamente buscando nuevas fórmulas para poder llegar a su objetivo, que mayormente suele ser económico, secuestrando los datos y la información, y las empresas desarrolladoras de soluciones de seguridad deben estar en esa carrera luchando, investigando y sacando músculo para poder afrontar estas nuevas amenazas”.

Mikel Iturbe puntualiza que en el terreno de las amenazas, el salto es tanto cuantitativo como cualitativo. “Cuantitativamente, vamos avanzando hacia una interconectividad total y eso nos da más exposición. Ello da pie también al salto cualitativo, son modelos de negocio muy sofisticados y muy rentables, se trata ya de mafias”.

El perfil de riesgo ha cambiado. Desde MGS Seguros, Jesús García alerta de que un ciberataque para una empresa puede ser tan devastador como un incendio y necesita una solución aseguradora. “Las grandes empresas lo sobrellevan mejor, pero la pequeña tiene tensiones de tesorería y muchas no salen a flote por mucho que cumples las coberturas de la póliza”, apunta.

Problemática real y frecuente Estadísticas del Instituto Nacional de Ciberseguridad indican que un 60% de las pymes que sufren un ciberataque cesa su actividad en seis meses, lo cual lleva a hablar de “una problemática real y frecuente”. Ello advirtiendo que “las empresas, cuando hay que anteponer inversiones en desarrollo tecnológico priorizan la orientación al cliente o que los procesos sean más ágiles? y al final las inversiones en ciberseguridad quedan en un segundo o tercer plano, lo que va a multiplicar el efecto y los problemas en los próximos años”.

Para dar idea de la magnitud del problema, desde el Basque Cybersecurity Centre avanzan que para 2020 se estiman entre 20.000 y 30.000 millones los dispositivos conectados a Internet, y todos ellos pensados desde un punto de vista de usabilidad y precio, sin contemplar la ciberseguridad. Ante tal panorama, la organización designada por el Gobierno vasco para promover la ciberseguridad en Euskadi cree urgente “plantear los desarrollos desde una seguridad por diseño, para evitar este tipo de incidentes”.

En ello concuerda con el CEO de BeClever, para quien “cada vez nos encontramos con más ataques a empresas, por lo que es preciso poner soluciones y medidas”. Una percepción que comparte también el director de Sistemas y Ciberseguridad de i68 Grupo Zucchetti. “Esto es una carrera o como algunos dicen, una guerra. Se habla incluso de cibercrimen. Hemos pasado de unos años en los que el hacker buscaba notoriedad, a perseguir un objetivo casi siempre económico y en este momento, los ciberdelincuentes son organizaciones criminales que funcionan como una empresa. El problema es cómo perseguirlos y encontrarlos“.

En este punto, Aiert Azueta destaca que “al final es responsabilidad plena de las propias empresas el poner los medios necesarios para, primero intentar evitar ser atacado y si lo eres, informar a las autoridades competentes, intentar proteger la información lo máximo posible, etc.”.

El cibercrimen es muy complejo de gestionar. La Ertzaintza gestionó el pasado año en Euskadi un total de 12.785 ciberdelitos, un 38% más que el año anterior, lo que demuestra que el incremento en los últimos años ha sido exponencial, tal y como deduce el representante del Basque Cybersecurity Centre. “Ello se agrava, además, teniendo en cuenta que son organizaciones descentralizadas, trabajan en distintos países pero de manera conjunta y coordinada para conseguir sus objetivos, lo que complica su persecución y detención por parte de las fuerzas y cuerpos de seguridad a nivel internacional”, afirma Asier Martínez.

Concienciación En definitiva, todos estamos en riesgo y nos podemos ver comprometidos en cualquier momento, según se desprende de las opiniones vertidas en la mesa. En esta línea se percibe una evolución en cuanto a concienciación en torno a la ciberseguridad en los últimos años. “Al principio, ni sonaba ni preocupaba pero desde el caso WannaCry empezó a sonar, promovido incluso por las grandes empresas que cada vez exigen más a su cadena de suministro”, se congratula el responsable de CSIRT Services del BCSC.

En 2018, el Centro Vasco de Ciberseguridad creó el primer plan de ciberseguridad industrial. “Teníamos un presupuesto inicial de 600.000 euros y hubo tal demanda de proyectos que al final aprobamos 102, con una inversión de 1.000.000 de euros. Es decir, destinamos 1.000.000 de euros en ayudas para que las empresas de entornos industriales pudieran desarrollar proyectos de ciberseguridad para estar más protegidas”.

Al hilo de lo anterior, Asier Martínez adelanta que “en las próximas semanas vamos a publicar la nueva edición de ese programa con un presupuesto también inicial de 600.000 euros”. Con estas ayudas, las empresas industriales contratan a los proveedores de servicios de cara a estar más protegidas.

De hecho, en la búsqueda de la mejor solución, las empresas recurren cada vez más a contratar servicios externos de ciberseguridad, sobre todo “cuando su departamento de IT no puede asumir ya nuevas funciones”, declara Javier Aparicio, al tiempo que observa que “en un futuro serán más autosuficientes”.

Por su parte, Mondragon Unibertsitatea, con una trayectoria de más de 10 años trabajando en materia de ciberseguridad industrial, ya antes incluso del famoso virus o gusano informático Stuxnet, -un malware considerado como primer arma de la ciberguerra-, subraya que “si bien al principio fue muy duro porque las empresas industriales no veían esa necesidad, afortunadamente ya se va viendo por parte de las medianas y grandes compañías para asegurar no solo sus sistemas de información sino también los de producción”, en palabras de Mikel Iturbe.

A la par que la concienciación, el tipo de ataque ha ido evolucionando en los últimos tiempos, como detalla el director de Sistemas y Ciberseguridad de i68: “Así como WannaCry fue un ataque mundial indiscriminado, cada vez estamos viviendo ataques más dirigidos. Estudian la empresa, el organigrama, los procesos?. Por ejemplo, el ataque del CEO, que se ha cobrado en Euskadi en los últimos meses 2.000.000 de pérdidas”. Este ataque tan simple ha provocado grandes pérdidas, por lo que, a su modo de ver, el consejo es “concienciar no solo al departamento IT (Tecnología de la Información) y a la alta dirección -que me consta que ya está empezando a estar concienciada gracias a iniciativas como el BCSC, Ziur en Gipuzkoa, etc.- , ya que todavía hay muchos empleados de las organizaciones que piensan que no es cosa suya lo que publicamos en redes sociales”. En segundo lugar, Javier Aparicio recomienda “tener cuidado con lo que se publica en redes sociales, porque hay cierta información de la empresa que no debería ser pública”. Y por último, propone “implementar soluciones de ciberseguridad para minimizar el espectro en caso de ataque, como las soluciones PAM (Privileged Access Management), que gestionan y controlan el ciclo de vida de los accesos privilegiados”.

Con todo, en cuanto a la concienciación, el CEO de BeClever aboga por “hacer del propio usuario, que estaba considerado el eslabón más débil, el eslabón más fuerte, siendo consciente de los riesgos, haciendo simulaciones de ataques y cómo responder a ellos, para que vaya aprendiendo”.

Un aspecto clave, el de la concienciación, que debe trabajarse “no solo a nivel de trabajadores y empresas sino a nivel de competencias digitales transversales en el sistema educativo”, argumentan desde el BCSC. “Hay que generar una sociedad que en el futuro tenga asimiladas las prácticas de ciberseguridad de cara a que las pongan en práctica en su vida personal y también en sus propias empresas, siendo conscientes de que ellos forman parte también de la seguridad de las empresas”. Desde el citado centro, el año pasado llevaron a cabo cerca de 70 jornadas de concienciación a docentes, concreta Asier Martínez. Iniciativas que no solo van ligadas al ámbito de empresas sino al de “crear una sociedad digital más protegida”. A ello contribuye, por ejemplo, el programa Ikanos del Gobierno vasco.

Por unanimidad, los expertos conciben la ciberseguridad como un elemento transversal a la sociedad y al sistema educativo, no específico solo de las áreas de sistemas e informática sino de colaboración de todo el personal conjunto. “El problema de la ciberseguridad compete a todos los usuarios”, asegura Jesús García.

Soluciones En un panorama que sitúa a España como el tercer país del mundo con más ataques informáticos, las pymes y los despachos profesionales son hoy los grandes afectados.

Hasta el año pasado, las compañías de seguros optaron por soluciones exclusivamente indemnizatorias para víctimas de ciberataques. “Eran soluciones aseguradoras muy caras y de escasa contratación, encaminadas a las grandes empresas, que pueden pagar esas primas y soportar la transición hasta que se restaura la situación”, aportan desde MGS Seguros. Pero detectando las situaciones que se dan en pequeñas empresas, despachos de abogados, consultas médicas? que manejan información muy sensible, ofrecen “MGS Ciberseguridad, un producto específico de protección de riesgos cibernéticos muy encaminado a la prevención, más asequible y más orientado a la prestación del servicio que a la indemnización posterior”, especifica su director Territorial Norte.

No obstante, el directivo de i68 apostilla que no hay una solución o producto que sirva para todas las empresas. “La casuística de cada empresa obliga a tener una solución específica que le proteja”.

Responsabilidad Con todo, Javier Aparicio reivindica que la responsabilidad de la ciberseguridad debe llegar a los niveles intermedios de las organizaciones y no recaer sobre los departamentos IT. “A los nuevos trabajadores se les debe inculcar el germen de la ciberseguridad desde etapas anteriores a las laborales para que asuman que forma parte de su área laboral y su forma de trabajar”.

En similares términos se expresa Aiert Azueta, quien corrobora que “la importancia de la ciberseguridad ya ha calado en la empresa”. “Todo proceso de transformación digital implica un cambio de cultura de la compañía, que tiene que enraizar en todos los empleados y todos tenemos que ser responsables de la seguridad en la parte que nos atañe. Lo que ocurre es que a su vez, los ciberdelincuentes también van evolucionando y hay que seguir lidiando con la situación”.

BeClever apuesta por limitar los permisos que cada empleado debe tener para hacer su labor, minimizando privilegios para evitar riesgos. Este es uno de los principales retos de las compañías, en su opinión, “intentar autoconcienciarse de cuáles son los privilegios que debe tener cada persona y traspasar a negocio la responsabilidad sobre esos permisos. Es decir, poner medidas tecnológicas para la correcta gestión de los permisos de los empleados”, lo que conlleva un cambio total en la mentalidad de la empresa.

Personal cualificado Para formar en la materia a personal cualificado, Mondragon Unibertsitatea dispone de un máster propio en Ciberseguridad que se imparte en Donostia y estudia hacer una edición también en Bilbao el año que viene. Si bien enfatiza que “hoy en día, la demanda por parte de las empresas es infinitamente mayor que la oferta que damos las universidades de profesionales formados en el tema. No obstante, para el año que viene están diseñando un máster oficial en temas de ciberseguridad, análisis de datos, cloud computing? con gran demanda de las empresas, y pensando en los profesionales en activo para que adopten buenas prácticas. “Desde el punto de vista de la formación, nuestra opción es ampliar esa oferta, porque se demandan perfiles cada vez más específicos”.

El número de alumnos interesados en formarse en ciberseguridad en universidades y centros de FP va creciendo en paralelo a la concienciación pero “de ningún modo lo está haciendo al ritmo de la demanda de las empresas”, como aprecian desde Mondragon Unibertsitatea. Un desequilibrio que los expertos achacan a que “no estamos siendo capaces de trasladar la ciberseguridad como una vía de desarrollo profesional”.

En este punto, el director de Sistemas y Ciberseguridad de i68 Grupo Zucchetti introduce un matiz respecto a que “las empresas son reticentes a acoger a alumnos en prácticas”. La cercanía de las empresas es un criterio exigido por los centros formativos que complica la cuestión, si bien Asier Martínez rebate este argumento precisando que el BCSC tiene catalogadas más de 109 organizaciones en el ámbito de la ciberseguridad en Euskadi, en el Libro Blanco, lo que muestra que hay la suficiente oferta de empresas de ciberseguridad para poder incorporarse al mercado laboral”.

Así las cosas, Asier Martínez exhorta a encontrar el equilibrio entre oferta y demanda y atraer al alumnado hacia esta profesión con numerosas vías de desarrollo. “Hay que vender a las nuevas generaciones una idea ajustada de lo que son estos profesionales, lejos del icono de un encapuchado con el que se les relaciona, para atraerles a un mercado tan interesante y que es vocacional”. Precisamente, esa imagen errónea del hacker con la que se publicita en muchas ocasiones esta profesión y estos estudios, “frena a muchos hombres pero sobre todo, a las mujeres, que no se identifican con ello”, revelan los expertos. De ahí que sea notoria la escasez de mujeres en los estudios relacionados con la ciberseguridad.

Con todo, el BCSC urge a romper barreras e ir trasladando la ciberseguridad desde muy diversas vertientes puesto que “hay tantas especialidades como en Medicina”.

Por último, en el área de la investigación y sus aplicaciones, ante la continua evolución de las ciberamenazas es necesario el desarrollo de nuevos productos de ciberseguriad que puedan hacerles frente. “Esto no es un sprint, sino una maratón y hay un largo camino por recorrer. En un mundo que avanza hacia una interconectividad total es necesario tomarse en serio la investigación y la transferencia de conocimiento en ciberseguridad, como una apuesta de futuro si queremos que Euskadi siga siendo referente mundial en la materia”.