Los piratas informáticos ya no abordan multinacionales. Ahora, apuntan su catalejo a pequeñas y medianas empresas. “En las grandes empresas ya está todo muy protocolizado, ahora las pymes son más fáciles de entrar”, advierte el experto en ciberseguridad Juan Rodrigo. Este ingeniero posee una habilitación personal de seguridad de la OTAN y aterriza en Málaga para colaborar con el despacho Martínez-Echeverría. Desde sus oficinas en calle Bolsa, atiende a Vida Económica.
¿Por qué se alía con un bufete de abogados?
Cuando trabajaba con las empresas del IBEX 35 vimos una necesidad. El ámbito legal y el técnico en materia de ciberseguridad deben estar completamente unidos. Las multinacionales tienen plantas enteras de matemáticos, físicos, ingenieros… y abogados. Al final, cuando a una empresa le pasa algo de este tipo a lo primero que recurren es a sus abogados. Por eso, queremos ofrecer una cobertura legal, pero también multidisciplinar.
¿Por qué se fijan en las pymes?
Los hackers han dejado de buscar a las multinacionales porque ya en ellas se hace un buen trabajo. La mayor masa de empresas del país es las pymes y todas estas ahora mismo no están gestionadas en cuanto a ciberseguridad, pero tienen que hacerlo si quieren seguir sobreviviendo. Ten en cuenta que el 60% de las empresas que sufren un ciberataque cesan su actividad en menos de un año.
¿Cómo lo hacéis?
Desde ISMET, realizamos un análisis de riesgo con una herramienta que hemos mejorado a través de nuestra experiencia en otras empresas. Hemos trabajado en la obra del Bernabéu, con empresas de juego o con las pasarelas de pago de entidades bancarias como Bankinter. Europa está en esa línea, ya las multinacionales han integrado estos preceptos, pero ahora hay que transformar digitalmente a todo el tejido empresarial europeo con los fondos NextGen.
¿Supone la pandemia un punto de inflexión?
Realmente el cambio de paradigma fue en 2017 con el ataque famoso de Wannacry en Madrid y a nivel mundial. Entonces, atacó, por ejemplo, a todos los sistemas de Telefónica, secuestró datos, pidió recompensas… Todo cambió en ese momento porque nunca habíamos actuado seriamente hasta que vimos el impacto. En Europa, sí que se estaban haciendo cosas, pero de una forma paupérrima.
El 81% de los ciberataques en España consiguen su objetivo y solo México es menos seguro
¿Cuáles son los objetivos de estos ciberataques?
Normalmente el hacker busca cumplir su ego. Hay chavales por ahí sacando dinero de cualquier bobada. Simplemente interceptan un mail para pagar una factura y se lo envían a la secretaria como si fueran su CEO. Ha pasado muchísimas veces. Eso va directamente a la cuenta de un chaval en Corea del Sur, Georgia o donde sea.
¿Y cuál es su coste?
Depende. Como le decía, más de la mitad de las que lo sufren pueden llevarlas al cierre. Es que pierdes la reputación porque tus clientes ya no van a confiar en ti. Cuando hacen un ataque a una empresa conocida el coste va a ser más reputacional, contra una pyme atacan para sacar dinero. De todas formas, son cosas que pueden paliarse con un cambio en los hábitos de las empresas. El 80% de los ataques se eliminaría con formación a los empleados. Son cuestiones básicas como qué tienes que hacer, qué no tienes que hacer o ejemplos que han sucedido en otras empresas.
Yo no cierro mi cuenta de correo…
Claro, claro. Son hábitos que no tienen nada que ver con cuestiones muy técnicas, igual que aprendemos a gestionar las finanzas, debemos aprender a gestionar la información, que es lo más valioso de las empresas en esta era digital. No puede ser que tengas escritas las contraseñas en un post-it en la pantalla, que no las cambies con frecuencia o que vayas a una cafetería a ver el plano del último coche que está fabricando tu empresa y te conectes a una red pública.
¿No estábamos tan preparados para la digitalización?
Es una realidad. Meses antes de la pandemia quise implantar en mi empresa un plan de continuidad de negocio y teletrabajo y no me hicieron ni caso. Todo el mundo estaba en ganar dinero y no entendían que igual se podría cortar el grifo porque no teníamos las herramientas habilitadas para que la gente pudiese seguir trabajando.
«El 80% de los ataques se eliminaría con formación a los empleados»
¿La tecnología blockchain ayudará a la seguridad?
(Suspiro). Es la tecnología más importante para el ser humano después de internet. Es la madre del cordero, la descentralización total. Ahora mismo, somos analfabetos de blockchain, pero la curva de la revolución industrial o francesa no se parece en nada a lo que va a suceder ahora. Ahora, lo que está pasando es que hay muchas estafas porque no hay una regulación. De hecho el 95% de las criptomonedas lo son, pero es una realidad que el mundo será más seguro.
Se refería como “chavales” a estos hackers, ¿luego maduran como Chema Alonso?
Es que realmente tienes que pensar mal para defenderte. Es típico contratar a malos y convertirlos en buenos porque son los mejores.
¿Usted también ha sido malo?
(Ríe). A mí nunca me han reclutado porque desde el principio he tenido una habilitación personal de la OTAN. Empecé ya siendo bueno.
Juan Rodrigo nació en Valladolid y desde temprana edad se interesó por las cuestiones informáticas. Ingeniero de formación y máster en Sistema de Gestión Integrados ha trabajado para ATOS Francia, la multinacional de telecomunicaciones del país galo (homóloga de Telefónica en España), en materias de ciberseguridad y defensa. Allí, adquiere la habilitación personal de la OTAN. «En el ámbito OTAN aprendí la gestión de protocolos, accesos, activos… cuando hablas de ciberseguridad la gente se va a un firmware o a una persona con capucha, pero esa es la parte técnica. También hay una capa por encima que es la de gestión». Más tarde, vuelve a España para asesorar a las empresa del IBEX 35 en materia de ciberseguridad, cuyo aprendizaje pretende implementar en la pequeña y mediana empresa de la mano de Martínez-Echeverría.