ALICANTE. El 96% de las pymes de menos de 200 empleados no cumplen la normativa básica sobre ciberseguridad (regulada en algunos aspectos en la ley de protección de datos, cuyo incumplimiento prevé duras sanciones). Tampoco la cumplen alrededor de una de cada tres grandes empresas (Air Europa puede dar fe, tras el ataque sufrido esta misma semana). Pero lo peor es que un 8% del sector bancario está en las mismas. "Las empresas se dividen en dos categorías, las que han sido atacadas y las que lo serán".

Estas son algunas de las cifras que puso este miércoles sobre la mesa el experto en ciberseguridad Fernando Cocho, durante el desayuno CirculoTEC dedicado a ciberseguridad, organizado por el Círculo Directivos de Alicante y Alicantec, patrocinado por el Banco Sabadell con la colaboración de ESIC y Alicante Plaza. Cocho, experto en ciberseguridad con larga trayectoria en la administración, expuso algunos de los principales errores que cometen las empresas y cómo evitarlos ante un selecto grupo de socios del Círculo.

Para el experto, la clave son las personas, dado que el 90% del malware accede a la empresa atacada por un error o imprudencia humana. En este sentido, mientras la normativa española convierte en "recomendaciones" y no en obligaciones las principales medidas de seguridad (excepto las expresamente recogidas y sancionadas en la ley de protección de datos desde 2018), y la mayoría de empresas consideran que "a mi no me va a pasar", las autoridades chinas "alientan a sus expatriados a atacar empresas". 

Cocho ha puesto como ejemplo la existencia de un manual editado por una prestigiosa universidad china, que "solo existe en versión física, no digital", que explica a sus lectores cómo realizar ataques informáticos específicamente contra empresas españolas. El volumen, editado en 2010 y escrito obviamente en chino (aunque tiene ISBN español, lo que significa que circula de forma legal en nuestro país), busca ayudar a sus ciudadanos a "espiar" las innovaciones españolas como estrategia empresarial.

"Invertir en ciberseguridad es como invertir en limpieza, hay que hacerlo", ha sentenciado el experto. El principal freno a esta inversión es precisamente el rechazo a asumir un coste adicional a los de estructura, o directamente la falta de concienciación del empresario. "El CEO de una gran multinacional rechazó actualizar sus equipos a Windows 11 por el coste; poco después lo despidieron porque activó un ataque de robo de datos desde su móvil". En este sentido, Cocho alertó del coste de oportunidad: "Sale mucho más caro no protegerse y ser víctima de un ataque: en pérdidas económicas, en posibles indemnizaciones, en una reputación y confianza que nunca recuperarás del todo..."

Japón y el fax

El experto en ciberseguridad repasó las múltiples imprudencias que se cometen en el día a día en una empresa: desde imprimir archivos descargados en casa ("el BOE también tiene virus"), usar USB reciclados (el 40% de los que se venden en bazares chinos) como los que nos entregan en eventos comerciales, descargar archivos Powerpoint (el PDF es cuatro veces más seguro porque no admite macros) o abrir correos habitualmente comerciales de remitentes sospechosos (el 40% de los ataques llegan por esta vía). Hay otros menos obvios: no pagar la licencia del sistema operativo, no actualizar el software de protección, usar una conexión VPN gratuita o no cambiar la contraseña con la frecuencia recomendada que, ojo, son 15 días.