Riesgo a nivel global

El estallido de la guerra de Ucrania ha provocado que la agresividad de los ciberataques se esté disparando. «Las fuentes oficiales están advirtiendo de una peligrosidad inusitada, con impactos potencialmente gravísimos en órganos e instituciones clave que van desde la Seguridad Social hasta el Banco Central Europeo, pasando tanto por el sector público como por las empresas estratégicas del sector privado», advierte Pablo García Bringas, vicedecano de la Facultad de Ingeniería de la Universidad de Deusto.

Eso sí, «atribuir un origen concreto a un ataque informático es lo más difícil que hay, de hecho es prácticamente imposible», apostilla. Los ciberataques geoestratégicos no son algo nuevo, se han venido sucediendo y creciendo durante al menos la última década. En plena crisis de la covid, la ONU registró un ataque informático grave en el mundo cada 39 segundos. Estos ataques, según García Bringas, se clasifican en «ataques de denegación de servicio, ataques dirigidos al robo de activos e información sensible, ataques dirigidos al robo de propiedad intelectual y ataques de secuestro de activos y extorsión. Y, a menudo, se combinan varias de estas características».

Los tentáculos de la guerra entre Ucrania y Rusia son muy extensos. Distintos observatorios apuntan a que el crecimiento del número de incidentes (graves) de ciberseguridad no se están limitando a los dos países, sino que se está extendiendo al menos a la totalidad de Europa, «incluyendo especialmente a todas las naciones de primera línea, como Alemania, Reino Unido, Francia, Suiza… y, por supuesto, Estados Unidos», explica el experto. En el sector de la seguridad «tenemos un cierto acervo cultural que dice que existen dos tipos de organizaciones: las que han sido hackeadas y las que lo van a ser. Ya en 2019 se estimaba que al menos la mitad de las grandes empresas europeas habrían sufrido un incidente grave de ciberseguridad. Y es que nadie está a salvo», añade.

«No hay riesgo cero»

El año pasado, según datos de Deloitte, el 94% de las compañías nacionales sufrieron algún incidente grave. La media anual de ciberataques aumentó un 26%. Carme Artigas, secretaria de Estado de Digitalización e Inteligencia del Gobierno de España aseguró en el foro ‘Ciberseguridad: el gran desafío’ organizado por el grupo Vocento que «a pesar de los riesgos, la progresiva digitalización representa una gran oportunidad para la economía española. Para ello, debemos crear un entorno de confianza que ayude a afianzar la transformación tecnológica. La transición será positiva. No existe el riesgo cero, pero tenemos que seguir apostando por una sociedad más digital».

Los recientes ataques sufridos por el SEPE, el Ministerio de Trabajo o Iberdrola dejan bien a las claras la realidad de los ciberataques. Las dos primeras padecieron el incidente que más daño puede hacer al correcto funcionamiento de una compañía: el ransomware, capaz de paralizar los equipos y robar información interna y que genera cada año pérdidas de miles de millones de euros. Raquel Hernández, directora Regional España y Portugal de Zscaler, puso cifras y señaló que «los ataques de ransomware costaron 20.000 millones de dólares el año pasado. Un incidente promedio de 3,6 millones y casi ocho meses de recuperación».

Las pérdidas económicas que puede acarrear un ciberataque pueden ser monumentales. Por lo tanto, hay que poner medios. «Las organizaciones tienen que tomar conciencia del problema, atender a las ciertas regulaciones que existen, y habilitar una partida presupuestaria para atender a este frente de inestabilidad en los procesos, en los negocios y en la actividad operativa, que son los impactos fundamentales», recuerda García Bringas. «Un único ciberataque de cierta profundidad es perfectamente capaz de hacer quebrar una compañía o de paralizar un servicio público esencial. Pensemos en el ciberataque que sufrió el SEPE el pasado mes de febrero, y que imposibilitó el pago puntual de las nóminas a más de tres millones de parados y trabajadores en ERTE en todo el país», apostilla.

«El mal es creativo»

Una buena formación y concienciación son fundamentales para combatir los ciberataques y frenar a los ciberdelincuentes. «Estos siempre van por delante. El mal es creativo por naturaleza; busca los recovecos de la tranquilidad para introducirse; el mal está en los detalles. La cuestión está en que la distancia de ventaja no sea demasiado grande, minimizar el ‘gap’, y para ello es imprescindible la consciencia y la colaboración de todos los agentes: la seguridad es una cadena, depende del eslabón más débil», puntualiza.

Concienciación y formación para cada grupo de interés. Lógicamente no necesita la misma concienciación y formación un grupo de estudiantes y padres de un colegio, que el servicio de tecnología de una multinacional, que el equipo operativo de una fábrica. Pero «todos somos parte de la misma cadena, por lo que la robustez del conjunto depende de la estabilidad y fortaleza del eslabón más débil: si mi hijo se instala juegos descargados ‘on line’ sin mayor control en mi teléfono móvil corporativo, desde el que efectúo transacciones relevantes en mi organización, todos pasamos a tener un problema», advierte. El caso de las pequeñas y medianas empresas es otro reto diferente. «El día a día pesa mucho más, y ya se sabe que a menudo lo urgente se antepone a lo importante. Los recursos disponibles tampoco son los mismos que en las grandes, y a veces el peligro se matiza demasiado. Sin embargo, hay una buena noticia en el hecho de que alrededor del 85% de los riesgos se pueden evitar con una estrategia convencional de securización de la compañía, con unos presupuestos muy razonables. Desde luego, en términos generales, los últimos años están mostrando objetivamente que las organizaciones están haciendo razonablemente los deberes», concluye García Bringas.