"La guerra se hace ahora en internet, hay gobiernos que lanzan ataques comerciales"

¿Son conscientes las empresas de los peligros que acarrea internet y de cómo defenderse ante eventuales ataques?

Yo creo que depende de la empresa de la que se trate. Las grandes compañías sí son conscientes. Y no me voy a las del Ibex 35 solamente, también las que tienen un perfil más bajo. Sabemos que son conscientes porque todas tienen designado a un responsable de seguridad que se encarga de estas cosas. Si bajamos a las medianas empresas ya es cuando empezamos con el caos. Falta mucha concienciación de lo relevante que es hoy en día la seguridad online. De las pequeñas empresas y del usuario de a pie casi ni hablamos, porque no están concienciados para nada.

¿La situación mejora?

Poco a poco vamos siendo más conscientes de los fraudes porque mucha gente tiene algún conocido que los ha sufrido. Las empresas se enfrentan a peligros más serios, como robos de propiedad intelectual o similares, prácticas de competencia desleal para conocer las ofertas antes de que salgan al mercado? En las medianas y pequeñas empresas tratamos más fraudes financieros, secuestros de datos. Al final acabaremos concienciándonos, pero aunque haya esa conciencia no tomamos las medidas necesarias.

¿Qué tipo de amenazas hay? Están los típicos

Sí, hay dos grandes bloques. Lo tradicional son los ciberdelincuentes, que buscan un beneficio económico. Son los delincuentes de toda la vida que se han digitalizado y cometen fraude buscando un beneficio económico puro. Después hay organizaciones gubernamentales que tienen la inteligencia online como un dominio más dentro de sus capacidades de espionaje. Los países tienen ejércitos de tierra, mar y aire y ahora tienen expertos en ciberespacio. Se despliegan para ver qué hacen otros gobiernos y para proteger sus intereses nacionales. Hay casos concretos donde es sabido que unos gobiernos han atacado a otros gobiernos para buscar beneficio.

Organizaciones gubernamentales, ejércitos? ¿La próxima guerra se librará en internet?

Yo creo que esto es algo que ya está ocurriendo. Ya es una realidad, ya hay una guerra en internet. Pero hay países no concienciados con esto. Los gobiernos ya están haciendo ataques y los hay con unos fines claramente comerciales. Hay gobiernos que espían a otros gobiernos para conocer al detalle sus capacidades y para saber sobre qué están investigando. Un ejemplo son los ataques a compañías que están investigando sobre el Covid. Se intenta entrar en sus sistemas para robar la propiedad intelectual. Ya se conocen ataques a farmacéuticas con el único propósito de conocer sus avances.

¿De qué depende que un ataque tenga éxito?

La seguridad digital es muy frágil, no es binaria en el aspecto de si algo es seguro o no. La seguridad digital se basa en la protección por capas. Es como si pensamos en un castillo. Primero está el foso, luego el muro, luego los soldados? había que saltar distintas protecciones para llegar a la población. En el mundo digital es lo mismo. Lo que sucede es que si una de estas capas falla el resto deja de tener sentido. El atacante solo necesita tener éxito una vez y el que defiende necesita garantizar que todas las capas protegen y son efectivas. Es un tema muy complejo. Intentando resumir la estrategia de protección de las empresas, lo que trata la función del responsable de seguridad es de identificar los riesgos, proteger a las empresas, detectar las amenazas en el caso de que se produzcan y, en el caso de que haya un ataque, responder.

¿Cuáles son las infraestructuras críticas sobre las que la seguridad debe ser incrementada?

En el caso concreto de España existe el Centro Nacional de Infraestructuras Críticas, que tiene un catálogo de compañías estratégicas que no es público. Hay empresas reguladas por esta ley de infraestructuras críticas, que tienen la obligación de contar con un plan estratégico de seguridad y notificar al Gobierno en caso de que haya problemas. No sabemos qué empresas son pero sí los sectores. Hay energéticas, empresas del agua, ligadas a los servicios, a la banca. El Covid obligará a actualizar este registro porque lo que considerábamos servicios básicos antes de la crisis y lo que consideramos ahora ha cambiado. Ahora se ha demostrado que una empresa de distribución de alimentos puede ser una infraestructura crítica. Creemos que esa relación de empresas va a ser revisada teniendo en cuenta las nuevas amenazas.

Bajando al nivel de las medianas y pequeñas empresas. ¿Cómo pueden mejorar su seguridad online

El principal reto es que las empresas tomen conciencia de las amenazas. Respondemos muchos problemas de medianas empresas y el vector de ataque siempre es el mismo. Muchas empresas todavía son engañadas con correos electrónicos, ataques de libro que se llevan produciendo mucho tiempo, van mejorando con el paso del tiempo y en los que una persona experimentada podría llegar a picar. Luego es importante actualizar todos los equipamientos, ordenadores y móviles, cuando lo pide el sistema operativo. Lo mismo con las aplicaciones que instalamos. Cuando nos pide actualizar, siempre hay que dar al sí.

Si esto es tan importante, ¿no deberían ser las actualizaciones automáticas? ¿Por qué se deja en manos del usuario un asunto de seguridad?

Cada vez son más automáticas, pero es cierto. Delegar toda la responsabilidad en el usuario es un error. Lo que sucede es que las empresas de software también cometen fallos, y si son ellas las que instalan una actualización que da problemas? ¿Quién asume luego la culpa? Hay miedo de provocar problemas en los negocios por este tipo de cosas. En mi opinión, el fabricante debería asumir todas las consecuencias. Debería ser él el que actualice sin delegar la responsabilidad en el usuario final.

Ha quedado claro que las grandes empresas y los gobiernos cuidan mucho de su seguridad online

Poco a poco lo va siendo más, hay un cambio generacional. Las nuevas generaciones son mucho más conscientes de los riesgos que existen. No son tan cuidadosos con su privacidad, pero tienen una mentalidad distinta y ya asumen que es normal que una web te pida un número de teléfono para que te llegue un mensaje de texto a la hora de conectarte. Los niños ya conocen los peligros de jugar online y no tienen peligro a la hora de enfrentarse a las nuevas tecnologías. Si vamos a gente más mayor vemos que la identidad online causa más problemas, creen que es un engorro y pican en fraudes menos elaborados. Yo creo que es cuestión de tiempo que los ciudadanos sean conscientes de los peligros reales y tomen medidas.

Por lo que cuenta, parece que es más una cuestión de tiempo, que haya un cambio generacional, que una cuestión sobre la que haya que tomar medidas.

Yo pienso que hay necesidad de regulación, que a las empresas se les exijan unos protocolos más estrictos en materia de seguridad que los que se están desplegando a día de hoy. Hoy en día la seguridad exigible es muy laxa. Puedes meter en casa una nevera que está conectada a internet pero no tiene ninguna certificación para estar online.

Pero asume que el cambio de mentalidad vendrá de forma natural.

Eso es un hecho. Los gobiernos y las compañías nos gastamos mucho dinero en campañas de seguridad que nunca terminan de ser efectivas. Debería haber formación para personas más mayores, un poco más alejadas de este mundo y que tienen que mejorar su seguridad online.

¿Saben los padres a qué se enfrentan sus hijos en la web?

Poco a poco vamos siendo más conscientes. En mi experiencia personal, y por lo que conozco de otros padres, hay un mayor control que hace unos años y eso es bueno. Cuando estos niños sean padres ya no habrá que enseñarles nada, lo sabrán porque lo han vivido. Los chavales ya saben, por norma general, que no deben hablar con nadie que no conozcan. En los colegios también se les da formación, aunque yo creo que debería ser más y mejor. Debería haber una asignatura que hable de estos temas. Pero a grandes rasgos los niños conocen las principales amenazas de internet.