La digitalización alcanza ya a todos los ámbitos de nuestra vida y es un hecho al que nos enfrentamos todos los días en todas nuestras actividades. Si hablamos desde una perspectiva empresarial, una de las grandes ventajas es que permite a las pymes ajustar sus modelos de negocio a las necesidades del mercado. Sin embargo, aunque esta transformación ofrece múltiples beneficios, también incrementa la vulnerabilidad de las empresas ante posibles ciberataques. En este contexto, la ciberseguridad se posiciona como un factor clave para garantizar la protección de estas empresas.

Para hablar de este último aspecto, la ciberseguridad, La Opinión de Málaga y BBVA organizaron un desayuno con expertos en la materia. Acudieron a la llamada de nuestro periódico Antonio Palacios, Corporate Security. Information Protection & Security Culture en BBVA; Francisco Bonilla, Territory SE Manager de la empresa Fortinet; Enrique Rando, Consejero Técnico de la Agencia Digital de Andalucía de la Junta de Andalucía y Fernando Guerrero, Inspector jefe del Grupo II de la Sección de Ciberdelincuencia de la Comisaría Provincial de Málaga.

La charla se estructuró en dos bloques bien diferenciados. En el primero de ellos se analizaron las principales amenazas de seguridad para pymes y empresas, mientras que en la segunda mitad del encuentro se debatió sobre la importancia de la protección y el papel de los agentes en la concienciación de la sociedad.

Los retos de las empresas y pymes en materia de ciberseguridad pasan en una primera fase por fomentar una cultura, una concienciación y una formación y dotarlas de las herramientas necesarias para que sean capaces de llegar a distinguir una posible ciberamenaza.

Para Francisco Bonilla, de Fortinet, los ataques que sufren la mayoría de las empresas españolas (con menos de 50 empleados) «vienen sobre todo a través del correo electrónico y las suplantaciones de identidad», Bonilla señaló que cada vez se detectan más en pymes ataques a través de exploits (una pieza de software o código que se compra en la darknet y que se aprovecha de una vulnerabilidad del sistema para acceder a datos sensibles o ejecutar códigos maliciosos). «Lo que necesitamos es dotar a las empresas de las herramientas adecuadas, no solo para detectarlas, sino en caso de que haya un eventual ataque, responder en tiempo y forma y minimizar ese riesgo al que están expuestas, además de trabajar la seguridad perimetral, es decir, los activos principales que al menos estén protegidos», señaló.

La ciberdelincuencia se ha convertido ya en un motor económico para muchos países y mueve más dinero que otras actividades ilícitas como el tráfico de drogas o de personas. Además, es un mercado que ya se ha ido especializando y no se puede pensar en delincuentes que son aficionados.

Para Enrique Rando, de la ADA, «ahora mismo, las pymes en particular están sometidas a un entorno muy hostil en todos los ámbitos». La normativa en materia de ciberseguridad está creciendo a un ritmo vertiginoso ya que Europa, España y las comunidades autónomas están legislando esta materia y esta invasión normativa está «provocando un mar de dudas en las empresas, sobre todo en las pequeñas, que tienen que transformarse desde dentro para hacer frente a estas amenazas y ser capaces de instalar una cultura corporativa de la ciberseguridad».

100.000 incidentes en 2024

Los datos hablan por sí solos: en 2024 hubo más de 100.000 incidentes de ciberseguridad registrados en pequeñas empresas, lo que supone un 15% de aumento respecto al 2023, según datos de INCIBE, y lo que es más grave, muchas de estas empresas no consiguen levantar cabeza después de un ciberataque y se ven obligadas a cerrar y suspender actividad.

Para Fernando Guerrero, Inspector jefe del Grupo II de la Sección de Ciberdelincuencia de la Comisaría Provincial de Málaga, «los ciberataques más comunes son el ransomware (secuestro de datos por lo que piden un rescate); el ataque llamado Man in the middle u «Hombre en el Medio», en el que un atacante se interpone entre dos partes que se están comunicando, con el objetivo de espiar o manipular la información que se intercambian; y el phising, que busca engañar para que se revele información confidencial como contraseñas, números de tarjetas de crédito o datos bancarios.

Guerrero alertó de la necesidad de denunciar todos los ciberataques «porque ayuda en primer lugar a la Policía a que conozca nuevas amenazas y delitos con los que poder alertar a la ciudadanía a través de campañas divulgativas». Por último, el representante policial señaló que en los últimos tiempos, el perfil del ciberdelincuente es «una persona joven que está en su casa con el ordenador y que, en muchos casos, no tiene conciencia de la repercusión tan negativa de los problemas que pueden tener, incluso de prisión. Cometen delitos porque es muy fácil darle a un ratón en tu casa e ir cobrando dinero», comentó.

Antonio Palacios, de BBVA, habló de los consejos que dan desde su banco a las empresas para que se protejan de estos ataques. Desde la entidad bancaria creen que no hace falta hacer grandes desembolsos ni invertir excesivos recursos. «Puedes empezar directamente por poner una protección activa en todos los dispositivos, equipos, ordenadores, teléfonos móviles, etc. a través de contraseñas seguras, antivirus, etc., lo que llamamos un «basic» pero que muchas veces las empresas se olvidan. También es importante la actualización de los programas, del sistema operativo y de las aplicaciones que se usan en la empresa; tener un segundo factor de verificación y reducir o borrar la huella digital».

Palacios apeló a hacer algo tan sencillo como las copias de seguridad y hacerlas de manera periódica y continua. «Nosotros hablamos siempre de la regla del 3-2-1, es decir, tener tres copias de seguridad en dos soportes diferentes y al menos una de ellas que esté fuera de tu organización por si tienes algún problema relativamente grave para que puedas recuperarlo».

Suscribir un ciberseguro

Finalmente el representante de la entidad financiera habló de las bonanzas de los ciberseguros. «Básicamente es una póliza específica que te blinda ante problemas económicos cuando ya has tenido un incidente. Es decir, te ayuda a recuperar el negocio, a restaurar los datos y te da también cobertura en costes legales. Nos parece muy interesante», remarcó.

El segundo bloque de intervenciones dibujó el mapa de la protección ante el ciberataque.

«Hay dos tipos de empresas, aquella que ha sido atacada y aquella que no se enteró de que la atacaron», con esta frase tan contundente, Enrique Rando quiso señalar la dificultad de librarse de ciberataques, y señaló que «las empresas deben trabajar para saber recuperarse del ataque y tenerlo todo dispuesto para que, cuando llegue otro ciberataque, sean capaces de estar funcionando en el mínimo tiempo posible».

Administraciones públicas y empresas sanitarias y financieras lideran las estadísticas de ataques sufridos. Para el experto de la ADA, hay un aspecto que las empresas deben tener siempre en cuenta: «Para garantizar mi seguridad tengo que tener garantizada la seguridad de aquellas empresas con las que trabajo, tanto proveedores como aquellas de las que yo soy proveedor, porque también me pueden colocar en medio de los ataques que puedan recibir unos y otros», dijo.

Fernando Guerrero, de la Policía Nacional, cree que no hace falta hacer grandes inversiones en las pymes en ciberseguridad. «Lo que recomendamos es que conciencien y formen a los trabajadores, pero no hace falta un gran curso de expertos en ciberseguridad». Incidiendo en lo ya mencionado por Antonio Palacios, de BBVA, el Inspector jefe destacó que el 99% de los ataques se producen por «un error humano» e insistió en instalar contraseñas robustas, claves difíciles de autentificación de doble factor, transacciones con doble factor y mantener los sistemas actualizados» para no facilitar el trabajo a los ciberdelincuentes.

Francisco Bonilla cree que todavía queda mucho trabajo por hacer por una razón: «Hay muchas empresas que ni siquiera han hecho una evaluación previa de seguridad, es decir, no se han preguntado cuáles son sus activos principales, qué tienen expuesto en internet y qué vulnerabilidades tienen».

El representante de Fortinet cree que muchas veces la concienciación no es suficiente y que se se necesitan herramientas tecnológicas para luchar contra los ciberataques», y ofreció el dato de que solo en 2024 se publicaron más de 1.700 millones de registros de credenciales comprometidas, muchas de ellas de pymes. «Para ayudar a las empresas es importante que siempre haya una comunicación y un trabajo conjunto de entidades públicas y privadas porque esto no para y las amenazas de hoy no son las de mañana», destacó.

Acompañamiento a las pymes

A continuación, Antonio Palacios relató cómo acompañan desde BBVA a las pymes en materia de ciberseguridad. «Hay un mensaje clave: no podemos tenerle miedo a la tecnología ni a los retos digitales». Palacios significó que el eslabón más débil de la cadena es el ser humano, por este motivo apuestan descaradamente: «Al final, puedes tener mucha tecnología, puedes tener mucha inversión en ciberseguridad, pero si la persona, el trabajador de esa pyme no tiene la adecuada formación, el adecuado conocimiento en las amenazas, en cómo combatirlas, ahí tenemos un problema. Entonces, en BBVA apostamos decididamente por crear una cultura de seguridad», señaló.

«Es decir, hacer que la seguridad sea parte de todo. La formación adecuada, continua, actualizada y segmentada es fundamental porque no le puedes dar la misma formación a un técnico que a un administrativo o que a un comercial. Cada trabajador está sometido a unos riesgos distintos».

Para Palacios, también es fundamental comunicar políticas claras de seguridad, «no hace falta que sean grandilocuentes, no hace falta que sean grandes aspectos o normativas muy complejas. Crear lo que llamamos una responsabilidad compartida de seguridad, es decir, que al final todos los trabajadores se vean como parte activa dentro de la organización para prevenir, para corregir y para actuar en caso de ciberataques».

La formación es tan importante en BBVA que llevan formadas de manera presencial en el tema de ciberseguridad a más de mil pymes. Y sus cursos de formación online acumulan más de 700.000 visitas. «Es fundamental comunicarlo de una manera clara, que eso llegue de una manera muy sencilla en todos los trabajadores. Hay que ver la ciberseguridad no como un obstáculo sino como acelerador de tu negocio, como un acelerador de tu transformación digital y ahí nos gusta mucho en nuestra entidad transmitir a las pymes que las acompañamos en ese proceso», concluyó.

