Este capítulo se enmarca dentro de un gran reportaje de portada del número 90 de la edición en papel de Vida Económica. Versa sobre la ciberseguridad y los ciberataques en general, y en el ámbito empresarial y pymes en particular.
Los ciberataques han aumentado en porcentajes importantes durante el último año. El Ministerio del Interior cifra en más de 10.000 los ciberincidentes sobre servicios esenciales que neutralizó en 2021.
No obstante, los atacantes no solo se están dirigiendo a grandes objetivos: también a cualquier empresa. “No podemos pensar que por ser poco importantes estamos a salvo”. Es la conclusión de un experto en ciberseguridad.
Concretamente, se trata de José Miguel Ruiz-Padilla, responsable de este ámbito en Ingenia, adquirida hace un año por Grupo Babel.
La tendencia es pensar que invertir en ciberseguridad es algo que solo deben tener en cuenta las multinacionales, los gobiernos y las administraciones públicas. Pero nada más lejos de la realidad.
“Los ciberataques se están dirigiendo a todo tipo de organizaciones: grandes, pequeñas, públicas y privadas. Y también a personas físicas”
Ejemplo de esto es el caso Pegasus. El Centro Criptológico Nacional descubrió el pasado abril que los móviles de Pedro Sánchez y Margarita Robles fueron espiados a través del sistema informático Pegasus.
Sin embargo, no fueron los únicos miembros del Gobierno español al que se dirigió este ciberataque. El teléfono de Grande-Marlaska también fue infectado con este software espía (o spyware), y hubo un intento fallido de acceder al de Luis Planas, embajador de España en Marruecos en aquel momento.
Aunque este caso concreto afecta a grandes personalidades de la política española, está claro que el punto de mira de los ciberdelincuentes se ha ampliado. Y con él, el número de ataques.
“Posiblemente no haya semana en que no recibas un intento de lo que se denomina smishing: un SMS fraudulento que intenta que pinches para actualizar tus datos bancarios”
Según el Instituto Nacional de Ciberseguridad (INCIBE), durante el año pasado se gestionaron más de 100.000 ciberataques desde su Centro de Respuesta a Incidentes de Seguridad. De este total, más de 90.000 afectaron a ciudadanos y empresas.
Un estudio elaborado por la consultora Deloitte señala que el porcentaje de compañías en España que han sufrido, al menos, un incidente grave de ciberseguridad a lo largo de 2021 ha aumentado un 7% con respecto a 2020. Es más, según la misma fuente, la media anual de ciberataques sufridos se incrementó un 26% en 2021.
“Ciberataques recibimos todas las empresas, lo que pasa es que la mayoría se paran. Algunos entran, pero el impacto es mínimo”, explica el experto de Babel. ¿Y para qué? La gran mayoría de los ciberincidentes se ejecutan por intereses económicos.
El coste se ha duplicado
Según el Informe de Ciberpreparación 2022 elaborado por la aseguradora Hiscox, el coste de los ciberataques para las empresas españolas se ha duplicado durante el último año.
“El coste medio de la suma de los ciberataques que ha sufrido de media cada empresa española en 2021 asciende a 105.655 euros, frente a los 54.388 euros en 2020”, afirman desde Hiscox.
Así, se refleja que las compañías españolas pierden más dinero debido a ciberincidentes que la media mundial, que se sitúa en 78.409 euros.
Pero no siempre ha sido así. “Antes el esquema de fraude era o bien hackearte para robarte información o por competencia”, recuerda Fernando Ramírez, CEO de la malagueña Hispasec.
Se trata de la empresa pionera en España en ofrecer servicios de ciberseguridad. “Ahora, entran a los sistemas, instalan un ransomware y piden un rescate”, enumera.
De hecho, tiene muy claro hacia qué compañías se suelen dirigir los ciberdelincuentes: donde esté el dinero. “Van a entrar, van a sacar la facturación de la empresa y, en función a eso, te van a decir ‘me tienes que dar tanto”, explica Ramírez.
Aunque no solo tienen en cuenta el beneficio monetario; también la certeza de que vayan a cobrar. El CEO pone el ejemplo de una clínica de fertilidad: “Si la hackean y hacen públicos sus datos, se la cargan. Saben que ese empresario les va a pagar”.
Lo que todo empleado debería saber
Se trata de medidas de ciberseguridad tan sencillas como no dejar las contraseñas anotadas en un post-it pegado a la pantalla del ordenador. O cambiarlas cada cierto tiempo y no usar la misma para distintos sitios web. Cerrar las sesiones abiertas y bloquear el ordenador, no compartir en casa los dispositivos electrónicos que pertenezcan al trabajo, o no conectarse a redes wifis inseguras o de lugares públicos son más ejemplos de buenas prácticas para estar ciberprotegidos. Juan Rodrigo, experto en ciberseguridad, añade que no se debe operar con datos sensibles en un lugar público, como números de facturación o de cuentas bancarias. Y, por supuesto, no pinchar en enlaces extraños. Este tipo de ciberataque, conocido como phishing, es uno de los que más ha crecido. Consiste, precisamente, en enviar por correo algún enlace o archivo fraudulento donde la víctima clica.