ALICANTE. El 96% de las pymes de menos de 200 empleados no cumplen la normativa básica sobre ciberseguridad (regulada en algunos aspectos en la ley de protección de datos, cuyo incumplimiento prevé duras sanciones). Tampoco la cumplen alrededor de una de cada tres grandes empresas (Air Europa puede dar fe, tras el ataque sufrido esta misma semana). Pero lo peor es que un 8% del sector bancario está en las mismas. "Las empresas se dividen en dos categorías, las que han sido atacadas y las que lo serán".
Estas son algunas de las cifras que puso este miércoles sobre la mesa el experto en ciberseguridad Fernando Cocho, durante el desayuno CirculoTEC dedicado a ciberseguridad, organizado por el Círculo Directivos de Alicante y Alicantec, patrocinado por el Banco Sabadell con la colaboración de ESIC y Alicante Plaza. Cocho, experto en ciberseguridad con larga trayectoria en la administración, expuso algunos de los principales errores que cometen las empresas y cómo evitarlos ante un selecto grupo de socios del Círculo.
Para el experto, la clave son las personas, dado que el 90% del malware accede a la empresa atacada por un error o imprudencia humana. En este sentido, mientras la normativa española convierte en "recomendaciones" y no en obligaciones las principales medidas de seguridad (excepto las expresamente recogidas y sancionadas en la ley de protección de datos desde 2018), y la mayoría de empresas consideran que "a mi no me va a pasar", las autoridades chinas "alientan a sus expatriados a atacar empresas".
Cocho ha puesto como ejemplo la existencia de un manual editado por una prestigiosa universidad china, que "solo existe en versión física, no digital", que explica a sus lectores cómo realizar ataques informáticos específicamente contra empresas españolas. El volumen, editado en 2010 y escrito obviamente en chino (aunque tiene ISBN español, lo que significa que circula de forma legal en nuestro país), busca ayudar a sus ciudadanos a "espiar" las innovaciones españolas como estrategia empresarial.
"Invertir en ciberseguridad es como invertir en limpieza, hay que hacerlo", ha sentenciado el experto. El principal freno a esta inversión es precisamente el rechazo a asumir un coste adicional a los de estructura, o directamente la falta de concienciación del empresario. "El CEO de una gran multinacional rechazó actualizar sus equipos a Windows 11 por el coste; poco después lo despidieron porque activó un ataque de robo de datos desde su móvil". En este sentido, Cocho alertó del coste de oportunidad: "Sale mucho más caro no protegerse y ser víctima de un ataque: en pérdidas económicas, en posibles indemnizaciones, en una reputación y confianza que nunca recuperarás del todo..."
El experto en ciberseguridad repasó las múltiples imprudencias que se cometen en el día a día en una empresa: desde imprimir archivos descargados en casa ("el BOE también tiene virus"), usar USB reciclados (el 40% de los que se venden en bazares chinos) como los que nos entregan en eventos comerciales, descargar archivos Powerpoint (el PDF es cuatro veces más seguro porque no admite macros) o abrir correos habitualmente comerciales de remitentes sospechosos (el 40% de los ataques llegan por esta vía). Hay otros menos obvios: no pagar la licencia del sistema operativo, no actualizar el software de protección, usar una conexión VPN gratuita o no cambiar la contraseña con la frecuencia recomendada que, ojo, son 15 días.
Pero es que "hasta haciendo fotocopias nos pueden robar la información", especialmente si para ello usamos una impresora conectada a la red. Por eso, sorprendentemente, en Japón se sigue usando el fax como medio de transmisión seguro para información sensible. "El fax es uno de los medios de transmisión de datos más seguros que existen, porque tu puedes detectar que se está transmitiendo, pero no puedes acceder al contenido".
España, según Cocho, es el cuarto país del mundo por volumen de ataques, y el teletrabajo ha disparado las oportunidades de los hackers porque no tenemos la costumbre de crear una partición del disco duro, una para el trabajo y otra personal. Aunque solo el 5% de los ataques tienen éxito, cuando lo consiguen en una gran empresa (o una gran administración) el efecto reputacional suele ser duradero: Air Europa, el Ayuntamiento de Sevilla... "Sabían desde meses antes que tenían una vulnerabilidad y lo ignoraron". El coste del ataque, por desgracia, es mucho mayor.
Curiosamente, la excusa de la falta de recursos ya no vale. "El CNI presta asesoramiento gratuito a las empresas para protegerse, al ser una cuestión de seguridad nacional, con formación, herramientas... Solo hay que pedirlo". Las amenazas siempre van "por delante" y "nos van a piratear, hay que estar preparado", asegura. Por ejemplo, "el 60% de las farmacias pierde datos de sus clientes, pero no lo comunican". En resumen: "Vamos a ser espiados, solo podemos elegir por quién". La clave para prevenirlo o, al menos, reaccionar, no está en la tecnología, sino en las personas.