No estamos seguros. El mundo virtual entraña peligros que aprovechan los grupos mafiosos especializados en ciberdelincuencia para enriquecerse. Frente a “los malos”, hay que confiar en el “ecosistema” de protección que crean los expertos en este tipo de delitos. Sobre ello se debatió ayer en la sesión en vivo Evitando ciberataques ransomware, ¿técnica o gestión?, organizada por Afundación Obra Social Abanca. El moderador fue el experto en ciberseguridad Antonio Fernandes (“tecnólogo renacentista”, según se define en LinkedIn), corresponsable junto a David González del Programa de Gestión de la Ciberseguridad de Instituto de Educación Superior Intercontinental de la Empresa de Afundación.

¿Están preparadas las empresas para los riesgos de un ciberataque?

Lamentablemente no están preparadas. Cada semana vemos que empresas u organismos públicos, como le paso al SEPE o al Ayuntamiento de Castellón, sufren este tipo de incidentes, de ataques. Francamente, creo que aún se considera que un ciberataque es algo del ámbito puramente tecnológico, pero perder los datos repercute al final del año en la cuenta de resultados. Protegerse no es solo una toma de decisión de los técnicos, tiene que venir de las altas esferas de las empresas.

¿Son los riesgos de la transformación digital?

Se habla mucho de la transformación digital, de automatización de datos. Los datos, tanto los que están delante como detrás, sea cual sea tu negocio, son los que hacen competitiva tu empresa. Si pierdes los datos, no hay negocio. Y no creo que podamos volver a notas de papel y faxes.

¿Qué tipo de ciberataques hay?

El espionaje industrial, el sabotaje y el ransomware o extorsión: te cifran los datos, los hacen legibles y mandan una nota de rescate, y tú tienes que lidiar con ellos. Detrás de estos ataques no está la típica figura del hacker, el chaval con capucha en el garaje de sus padres que lo hace para reírse, eso ha desaparecido; detrás están los ciberdelincuentes. El hacker tiene curiosidad por conocer cosas, como ciberseguridad; quienes están detrás de estos ataques son mafias.

¿Cómo es un ciberdelincuente?

El cibercrimen es una pata de un grupo mafioso, como las armas, las drogas o la trata de blancas. Su magnitud es grande: ha superado en facturación al tráfico de drogas. Eso es preocupante. Tienen hasta call centers a los que envías un correo o llamas para dar un código de cliente para gestionar el pago por un rescate de datos robados.

¿Una empresa que paga queda liberada y ya no vuelve a sufrir un ciberataque?

Un porcentaje muy elevado de los que sufren un ciberincidente sufren otro al año siguiente. No tiene que ser por parte de la misma mafia, igual es otra. Eso pasa porque uno no aprende del primer ciberataque sufrido, no adopta las medidas adecuadas.

¿Es habitual plantearse el dilema de pagar o no pagar?

Es un tema muy peliagudo. Si tú pagas, fomentas que las mafias sigan actuando y si no pagas y cierras la empresa, ¿qué haces con tus empleados, los mandas a casa? Ocurre que dudas: ¿el que me ataca me está diciendo la verdad o no? Es un negocio: igual te dicen la verdad pero tienen más planes para atacarte de los que tú piensas.

¿Cuáles son las peores consecuencias de un ciberataque?

Más allá de la extorsión, por competitividad te piden un rescate pero en realidad están proporcionando tus datos confidenciales a otra empresa, a la competencia.

Usted ayuda a prevenir ataques. ¿Tiene que pensar como si fuera un ciberdelincuente?

Los malos son más, tienen un presupuesto infinito y son muy buenos en lo que hacen. Estamos en una franca desventaja siempre frente a ellos. La única manera de enfrentarse a su mentalidad es unirnos estando al día e intercambiando IOC, que son como las firmas de los ataques. Para entender lo que hacen y para que no se lo hagan al siguiente hay que tener un ecosistema de protección fuerte.

Pero leemos que aumentan los ciberataques y que se persiguen más estos delitos. Da la sensación de que es muy fácil delinquir.

No es que sea más fácil, es que las mafias son muy buenas en lo suyo. Mejoran y mejoran.

¿Y los demás no sabemos protegernos?

Hay que tener en cuenta una cosa: cuando defiendes algo hay que cubrir todos y cada uno de los agujeros por donde alguien pueda entrar, porque con que encuentren uno pequeño, lo abren y entran. Yo busco agujeros de seguridad en las empresas con su permiso y veo que empresas muy potentes tienen agujeros. De hecho, cuanto más grande sea tu exposición, más agujeros hay que tapar.

¿Empresas, administraciones y fuerzas de seguridad no están lo bastante bien provistos de recursos con los que combatir la ciberdelincuencia?

Todos necesitamos más recursos. Es muy loable el trabajo de investigación que hacen los cuerpos y fuerzas de seguridad del Estado, pero no tienen todas las herramientas necesarias para hacer lo que les gustaría poder hacer. Igual es que se concibe la ciberseguridad como un gasto, cuando en realidad es una inversión. Lo que gastas hoy evita que mañana tengas un problema bastante más grande.

¿La mayor dependencia tecnológica de hoy en día convierte el mundo en un lugar más inseguro?

Te voy a decir que sí, seamos sinceros. Pero, hay siempre un pero: cuando tú vas por la calle siempre te das cuenta de cuando alguien se acerca con mala pinta o te apartas de un callejón oscuro, en cambio en internet no hay esa cultura de ‘cuidado, es peligroso’. Está el mundo real y el mundo virtual, que también es real, y más peligroso porque tienes menos predisposición a protegerte y porque no sabes hasta dónde puede llegar el peligro, y los ciberdelincuentes llegan muy lejos. Un ejemplo: Jeff Bezos, el fundador de Amazon, se divorció hace poco porque le hackearon el móvil y sacaron las conversaciones con su amante, lo que ha provocado el divorcio más millonario de la historia. ¡Qué tendrá ese señor detrás para poder estar protegido y aun así ha sido víctima de un ataque!

¿Y nosotros, la gente corriente, no somos conscientes de los riesgos del mundo virtual?

Tenemos el móvil en la mano, lo vemos como un juguete muchas veces, pero todos y cada uno de nosotros tenemos algo en ellos que no nos gustaría que saliera a la luz pública. Creemos que el móvil es algo seguro per se, y no lo es.

No nos deja muy tranquilos.

Para eso estamos los del ecosistema, para intentar protegernos.