Las empresas no hacen casi nada para protegerse frente al cibercrimen

Alberto Hernández, director del Instituto Nacional de Ciberseguridad (Incibe), aconseja invertir en ciberseguridad. El ingeniero de Telecomunicaciones Alberto Hernández es probablemente uno de los mayores expertos en ciberseguridad de España. Como directivo de la empresa pública Isdefe, formó parte del equipo responsable del diseño y puesta en marcha del Mando Conjunto de Ciberdefensa de las Fuerzas Armadas españolas.

 

Además, ha participado en misiones de la Organización de Estados Americanos (OEA) para el desarrollo de las estrategias nacionales de ciberseguridad de algunos países latinoamericanos. Desde 2006 es director del Instituto Nacional de Ciberseguridad, dependiente del Ministerio de Energía, Turismo y Agenda Digital, que trabaja muy estrechamente con el Ministerio de Interior en la gestión de los incidentes de ciberseguridad en España y en la lucha contra el cibercrimen y el ciberdelito.

Alberto Hernández, ingeniero de Telecomunicaciones y director general del Instituto Nacional de Ciberseguridad (Incibe)

-¿Por qué están creciendo de forma exponencial los incidentes de ciberseguridad en España?

-En 2016 gestionamos 115.00 incidentes de ciberseguridad en España frente a los 49.000 de 2015 y los 18.000 de 2014. Pero realmente cada día identificamos una media de 100.000 sistemas comprometidos o infectados, llegando algunos días a los 400.000. No es lo mismo un ataque que un incidente de ciberseguridad. El ataque suele estar dirigido y busca un objetivo, mientras que dentro de los incidentes pueden haber ciberataques de forma indiscriminada, problemas de seguridad causado por un empleado o por problemas de software. ¿Por qué están creciendo tanto los incidentes de ciberseguridad? Se debe a varias razones, una de ellas a que hemos invertido muchos recursos públicos en la capacidad de dirección del centro de respuesta a incidentes de ciberseguridad e industria (Certsi), que opera el Instituto Nacional de Ciberseguridad (Incibe) bajo la coordinación conjunta del Centro Nacional de Protección de Infraestructuras Críticas.

Alberto Hernández, en la reunión que tuvo en Sevilla con altos directivos de empresas de Andalucía
Alberto Hernández, en la reunión que tuvo en Sevilla con altos directivos de empresas de Andalucía– JUAN FLORES

-¿Puede el Instituto Nacional de Ciberseguridad conocer casi en tiempo real ataques informáticos que las víctimas no conocen?

-Claro que sí. Desde el centro de respuesta a incidentes de seguridad e industria podemos detectar redes y ordenadores infectados en España. Tenemos la capacidad de detectarlo y comunicarlo al afectado. Los ataques son cada vez sofisticados y más dirigidos, como ocurre con el ransonware, que tiene como objetivo descifrar ficheros y pedir un rescate por ellos. Los cibercriminales que están detrás de esos virus están dirigiendo más sus ataques a empresas que a ciudadanos porque un particular puede plantearse pagar o no porque lo único que va a perder son en general las fotos de su familia. Sin embargo, el ransonware puede paralizar a una empresa.

-Puede haber empresas que adopten medidas de ciberseguridad pero sus directivos tienen abiertas puertas en todos los aparatos personales que tienen conectados a internet?

-Claro, todos los dispositivos que puedan estar conectados a la red son susceptibles de ser atacados y no estoy hablando sólo de móviles y ordenadores. Cuidado porque puedes tener protegida tu empresa pero no tu teléfono y cuando entra un malware en tu teléfono entra en todos sitios. El «internet de las cosas» introduce un problema porque cada vez hay un mayor número de dispositivos conectados y no todos cumplen con las mismas medidas de seguridad que las redes corporativas tradicionales. Nos hemos centrado mucho, por ejemplo, en desarrollar antivirus para las redes pero ¿qué pasará con las neveras y microondas inteligentes? En primer lugar es un problema de fabricantes pero también del propio usuario, que debe hacer algo al respecto. El aumento de la conectividad por redes inalámbricas (bluetooth, wifi…) es el mismo problema. Por ejemplo, en un teléfono móvil tenemos la conexión 4G, la 5 G en el futuro, bluetooh y wifi. ¿Qué tenemos que hacer? Deshabilitar el wifi y el bluetooth si no vamos a utilizarlo. Por tanto, la responsabilidad última también recae en el usuario.

-Hay empresa que exigen a sus empleados usar iPhone por entender que el sistema Android es más vulnerable.

-En primer lugar, iPhone tiene menos despliegue y por ello es menos interesante para los cibercriminales. Es verdad que la arquitectura del iPhone es más robusta pero  todo dispositivo tecnológico es potencialmente vulnerable. Telefónica, que es un referente en materia de ciberseguridad, fue atacado por el virus WannaCry. Así que tenemos que ser conscientes de que nos van a pasar cosas y hay que estar preparados para poder recuperar los datos que nos encriptan. ¿Qué puedo hacer para que no impacte en los negocios. Hay que ser consciente de que nos van a pasar cosas pero tenemos que poner barreras para que nos pasen las menos posibles y cuando nos pasen tener planes de contingencia y medidas de seguridad que nos permitan recuperar. Eso es lo que se llama resiliencia.

-Parece que no hemos aprendido mucho de los últimos ciberataques, ya que muchas empresas no han corregido sus vulnerabilidades después de que el virus WannaCry atacara en mayo a Telefónica y miles de empresas en España y el mundo.

-Es que miles de empresas están sin parchear desde 2007, es decir, que no han actualizado sus programas informáticos. WannaCry explotaba una vulnerabilidad que estaba corregida con una actualización de Windows desde marzo de 2017, dos meses antes. El daño en reputación es enorme y, sin embargo, en muchos casos no hacemos prácticamente nada por protegernos.

El director general de Incibe aconseja a las empresas invertir para protegerse frente a los incidentes de ciberseguridad– JUAN FLORES

-¿Qué recomienda hacer a las empresas y personas para protegerse frente a incidentes y ataques de ciberseguridad?

-La tecnología puede ser un medio para cometer el delito o ser el propio objetivo. Hay que abordar el tema desde un punto de vista amplio. Sólo hay que dejar información a quien sea estrictamente necesario, dejar sólo abierto aquello que realmente se necesita, hay que poner muchas barreras, pero no sólo de antivirus, cifrado de los datos o protección de perímetros, sino también a la hora de la información que se cuelga en las redes sociales. Ha ocurrido que empleados de una determinada empresa han puesto en LinkedIn que son expertos en un determinado tipo de software y con ello están dando la pista de que su empresa tiene ese software. Es por eso que hay que tener una perspectiva holística del problema y para ello lo primero que hay que hacer es entender tus riesgos, las amenazas a las que estás sometido y las vulnerabilidades de tu organización.

-¿Hay empresas que se resisten a invertir en ciberseguridad?

-Pues estamos ante un problema mayúsculo porque las personas y empresas no son conscientes de los riesgos que corren. Todos los días nos llaman dos o tres empresas diciéndonos que están paralizadas porque un virus les ha encriptado sus datos. A veces esas empresas pagan y pueden descifrar sus ficheros, otras veces ni pagando pueden descifrar sus archivos, por lo que es traumático para las empresas y las personas. Hay que tener en cuenta también que los ciberdelincuentes pueden usar la ingeniería social para elaborar mejor el ciberataque y que éste sea efectivo.

-¿Habría que comunicar a los trabajadores la información que pueden y la que no pueden dar de la empresa?

-Eso es fundamental. Un plan de concienciación es importante para que sepan cómo hacer un uso seguro de los dispositivos, cómo proteger la información… Debemos tener a todos los empleados siempre presentes en las políticas, normativas y procedimientos de seguridad establecidas en la compañía.

Fuente: http://sevilla.abc.es