Las pymes, objetivo de los 'hackers': la ciberseguridad ha dejado de ser opcional

ALICANTE. La ciberseguridad ha dejado de ser una 'commodity' y debe formar parte intrínseca de la actividad diaria de cualquier empresa, sea cual sea su tamaño o el sector en el que opera. Porque los ciberdelincuentes no hacen distinción, y tan expuestas están una gran multinacional como una pyme alicantina. Con el agravante de que, para una pyme, sufrir un ataque informático que robe sus datos puede suponer el cierre. Así lo trasladó a un selecto grupo de empresarios de la provincia Estela Ribagorda, miembro de la Unidad de Riesgos y Seguridad de la Información del Banco de España, en el foro "En la era del metaverso, como preparar mi negocio ante el nuevo lado perverso", organizado por ESIC Business and Marketing School y Alicante Plaza. 

En el encuentro, que consistió en una ponencia de Ribagorda y un turno de intervenciones posterior, participaron Gonzalo Belenguer, director general de la Red de Institutos Tecnológicos de la Comunitat Valenciana (Redit) y profesor de ESIC; Dolores Mejía, directora general de Mercalicante; Leandro Ramello, CTO en Mindden Soft Tech; Javier Mira, presidente de Facephi Biometría; Maite Antón, gerente de Grupo Antón; Teresa Sempere, CIO de Unisa; David Ivorra, CEO de Lynxview; Mángeles Sánchez, directora de Marketing de Frigoríficos Marbamar; Francisco Torreblanca, CEO en Sinaia; y Pepe Monfort, responsable de Desarrollo de Negocio de ESIC Comunidad Valenciana. Asimismo, tomaron parte en el coloquio, moderado por el director de Alicante Plaza, Miquel González, el director general de Ediciones Plaza, Miguel Miró, y el gerente y director comercial de Alicante Plaza, Miguel Llobell.

En su ponencia inicial, la responsable del Banco de España indicó que el Foro de Davos ha establecido una relación directa entre el riesgo del cibercrimen y el resto de riesgos que afrontan las empresas en su funcionamiento diario, por lo que es altamente recomendable hacer un seguimiento de este riesgo y aplicar políticas de prevención. "La ciberseguridad ya no es una commodity, debe ser intrínseca a la empresa". En este sentido, aunque se ha alcanzado una relativa "madurez global" en el sector de la ciberseguridad, sobre todo desde 2020, esta mejora es "asimétrica". Está bien definida en las áreas iniciales de la metodología NIST pero "empieza a fallar en la detección, y las áreas de respuesta y recuperación tienen un nivel de madurez inferior".

Concretamente, hablando de pymes, la madurez de la ciberseguridad "aumenta pero de forma más lenta, porque existe una brecha en la percepción de este riesgo entre la alta dirección y los estamentos técnicos". En este sentido, un 17% de las pymes dicen haber sido atacadas, aunque "pensamos que son más pero no lo saben". ¿Por qué? Porque "no se consideran objetivos, e invierten poco en ciberseguridad". Se centran sobre todo en la identificación de activos y la adopción de medidas de seguridad (antivirus, firewall...), las dos primeras áreas de la metodología NIST, pero no tanto en la detección, respuesta y recuperación. Y cabe tener en cuenta que "no hay un sector económico más atacado que otros, todos son objetivos", según Ribagorda.

El cibercrimen, además, se refina y se diversifica. Y al margen de los ataques directos que suelen buscar el robo de datos para pedir un 'rescate' o venderlos a un tercero, como ha sucedido con el Ayuntamiento de Sevilla, otras dos grandes amenazas identificadas recientemente son las campañas organizadas de desinformación y el mal uso (y abuso) de la Inteligencia Artificial, según la Enisa (la Agencia Europea de Ciberseguridad). Ante este escenario, la responsable del Banco de España recomienda "la colaboración; es fundamental porque los delincuentes y activistas también colaboran". 

La respuesta a la ciberdelincuencia, así, "exige colaboración público-privada, nacional e internacional, porque los ataques no tienen fronteras y es importante saber qué están haciendo los demás, usar un lenguaje común", defiende la experta. Además de las recomendaciones de la Enisa y la metodología NIST, un buen comienzo puede ser la certificación ISO 27001. "Recomendamos una auditoría y una autoevaluación para saber cómo estamos", explica Ribagorda. "Cada empresa debe definir su postura de ciberseguridad: dónde invierto, qué activos protejo, hasta dónde llego... y es importante implicar a la alta dirección". Con una reevaluación permanente, por supuesto.

La experiencia de las empresas

En el coloquio posterior, Leandro Ramello (Mindden Soft Tech) señaló que "motivamos a las empresas a tener actualizadas las librerías, que son una puerta de entrada", y lamentó que "los puestos más elevados de una compañía muchas veces no lo tienen en cuenta". Javier Mira (Facephi) pidió "pedagogía, porque los sistemas están pero no los usamos, y los filtros son importantes porque el eslabón más débil suele ser el cliente final". Maite Antón (Grupo Antón), por su parte, recordó que "el 99,7% de nuestras empresas son pymes y micropymes, eso te saca un poco del contexto".

David Ivorra (Lynxview) puso sobre la mesa que, según los estudios, "un 60% de las empresas que sufre un ataque no logra recuperarse", y consideró necesario "concienciarnos de que hay posibilidades de mejorar nuestra seguridad, pero es necesario un esfuerzo conjunto" entre empresas y administración. Gonzalo Belenguer (Redit) añadió que "por la tipología de empresas de la Comunitat Valenciana, necesitan ayuda pública, tanto en formación como en financiación". Dolores Mejía (Mercalicante) se comprometió, "como empresa pública, a ser agente de transformación, concienciar y colaborar". 

Mángeles Sánchez (Frigoríficos Marbamar) expuso su caso particular, pues sufrieron un ataque. "Nuestros partners nos proponen soluciones tecnológicas para que cada día sea más seguro trabajar, pero la clave está en cómo trasladar mi seguridad al cliente, garantizarle que es seguro introducir sus datos en mi aplicación". Francisco Torreblanca (Sinaia) ve necesaria "más concienciación, porque hay mucha indolencia, es necesario pasar de la conversación a liderar la toma de acción". Y Teresa Sempere (Unisa) explicó que "sufrimos un ataque por abrir un excel, hubo que apagar los servidores y por suerte teníamos una copia de seguridad de media hora antes porque fue a las 8:30". Por ello, pidió "contar al menos con una protección básica y formar mínimamente al usuario para que no pique". 

Pepe Monfort compartió el importante peso de la parte digital en los másteres que ESIC impartirá de forma presencial en la provincia de Alicante, más concretamente en las nuevas instalaciones de Aitex en Alcoy, y que comenzarán este mes: Master en Digital Business (MDB) ; Master en Dirección de Marketing y Gestión Comercial (GESCO); y Master en Dirección de Empresas de Moda Sostenible (MDMS), exclusivo en Alcoy. Monfort señaló la importancia de "una estrategia de ciberseguridad de Estado, que los países estén protegidos". En cuanto a las publicaciones, los datos "dependen de la subjetividad sobre cómo reporta cada país, los hay más o menos seguros, pero los informes son sesgados". Es decir, hay muchos ataques que no se admiten. "Los ciudadanos europeos tenemos un marco de protección común, y eso es un elemento de competitividad".