Este experto en ciberseguridad y colaborardor de Hiscox estuvo el jueves en la Cámara de Comercio de Zaragoza con una charla en la que mostró a las pymes la realidad y los riesgos a los que se enfrentan en el entorno digital.

—¿Suelen estar las pymes en el punto de mira de los ciberataques?

—En España, que suponen más del 90% del tejido empresarial, sí, es donde más lo vivimos. Son objetivos, quizás no de los grandes ciberataques, que buscan las grandes compañías, pero en las pequeñas se ven víctimas de ese malware más genérico, que se distribuye libremente y a ver qué se pesca. Y se puede pescar mucho de pequeñas empresas. No es el jackpot de los casinos, no te llevas los 13 millones, pero igual te llevas mil de una, 10.000 de otra y viendo cómo es el tejido empresarial español, mil de una 10.000 de otra y subiendo, puede suponer mucho dinero para los ciberdelincuentes.

—Son un objetivo bastante atractivo, entonces…

—Desde luego, son un objetivo bastante atractivo porque no suelen disponer de los recursos para hacer frente a las amenazas, no suelen tener un departamento de ciberseguridad dedicado. Y tienen un problema: todos sabemos lo que es intentar ser empresario en este país, que tienes que contratar con cuentagotas y hacer auténticas cábalas para que tu negocio funcione y sea sostenible. Entonces, muchas veces hay agrupación de funciones en la misma persona, que está totalmente desbordada, mientras que en una empresa grande todo está segmentado, cada uno tiene sus tareas y roles… aquí es donde se pierde bastante.

—¿Qué tipo de circunstancias suelen dar pie a estos ataques?

—Lo vemos mucho con las contraseñas, por ejemplo. Que haya una misma contraseña para un usuario administrador que conocen todos los miembros del equipo de informática de esa pyme, o del departamento de márketing… son malos comportamientos en cuanto a la ciberseguridad pero son totalmente razonables viendo que, en realidad, a lo que tienen que hacer frente es a sobrevivir muchas veces.

—¿Y son conscientes las pymes de los riesgos que corren en la red?

—Creo que, en general, no lo son porque no llegan a entender que vayan a ser un objetivo tan dirigido. O piensan que tampoco les pueden hacer tantísimo daño. En las charlas que concienciación que doy vemos algunos de los impactos que pueden suponer y así es cuando entiendes las estadísticas: entre el 60 y el 70% de las pymes, si sufren un ciberataque, no pueden hacerle frente. Y no solo pymes, estamos viendo empresas grandes familiares en EEUU, con 400-500 empleados, que han tenido que cerrar recientemente por ataques de ramsonware. Es muy complicado que sean conscientes de la repercusión que puede tener que su negocio esté inactivo un mes, y es real, está ahí.

—¿Es un entorno seguro internet para emprender, entonces?

—Tenemos la suerte de que España es un país muy digital, la inmensa mayoría de los usuarios son nativos digitales o nos adaptamos muy rápidamente. Adquirimos muy rápido las tendencias digitales pero no cogemos tan rápido todas las tendencias de ciberseguridad y por eso damos pie a que los cibercriminales siempre vayan por delante. ¿Quiere decir eso que no deberíamos basarnos en modelos online? para nada, quiere decir que cada vez dedicamos más esfuerzos. El Instituto Nacional de Ciberseguridad (Incibe) así lo hace para dotar a las empresas de mecanismos para protegerse, como un número de ayuda en caso de ciberincidente. El mensaje que están intentando transmitir es que se puede emprender con un modelo basado en internet, pero hay que ser muy conscientes de cuáles son los riesgos y saber que tenemos herramientas para paliar los ataques.

—¿Qué tipo de ataques son los más comunes?

—Para las pymes, casi todos los ataques que son corportativos. No sufren tanto una denegación de servicio como tal, donde les intentan derribar la estructura, sino más bien ese phising, ese fraude al CEO, con el que se quieren hacer con sus credenciales de usuario. El robo de credenciales es muy común porque muchas veces se usan cuentas que no son corporativas como tal o se permite que el usuario use sus cuentas corporativas para acceder a otros servicios. También tienen sus pequeños problemas de malware porque usan antivirus muy tradicionales, no han querido, digamos, subirse al carro, también por el precio de la tecnología de la seguridad.

—¿Qué medidas básicas debería tomar cualquier empresario en la red?

—Fundamentalmente, entender cuál es el eslabón más débil, que van a ser sus trabajadores. No les podemos pedir que adquieran un equipo de ciberseguridad completo ni que sean conscientes de absolutamente todo lo que está pasando en su organización, pero sí que deberían transmitir esas preocupaciones a sus usuarios, porque van a ser su primera y única línea de defensa muchas veces. No podrían plantearse siquiera no dar formación a sus empleados, que al menos conozcan a lo que se están exponiendo y lo que puede suceder. Hecho esto, hay algunas cosas que son más básicas, como evitar los ataques que pueden suponer más perjuicio. Por ejemplo, se puede intentar mantener todos los sistemas parcheados. Y es muy fácil tener las copias de seguridad bien hechas cuando eres una pequeña empresa. Pueden hacer uso de todas esas tecnologías que, no es que les vayan a evitar la infección cuando pase, pero sí facilitar recuperarse más rápido o ser capaz de no tener que hacer frente a tantos costes. Hay muchos problemas que derivan de la falta de experiencia. No tanto que falte la tecnología, hay que valorar si lo que hay que proteger cuesta más que la tecnología en sí. Pero hay que sondear las tecnologías.

—¿Cada trabajador es un eslabón, pues?

—Efectivamente. Lo que no vemos es que puede haber ataques a las redes sociales, que son la cara visible de la empresa. Los ciberdelincuentes lo que van a intentar es hacer daño y pueden querer acceder a esas redes para hacerse con los sistemas. Todos tenemos nuestra pequeña función y la ciberseguridad no la vamos a conseguir si no compartimos esa responsabilidad. Igual que todos tenemos responsabilidad en una pyme a la hora de aportar nuestro granito de arena en la cadena de valor. Todos los departamentos trabajan con información y también va a depender de ellos, más si es una pequeña empresa que no tiene gente en el departamento técnico para hacer frente a eso

—Quizá, por ejemplo, una fábrica no sea tan consciente de lo que puede suponer un ciberataque que una empresa puramente digital...

—Desde luego. Hace poco salía en la prensa un taller que había decidido modernizarse, con sistemas que le controlaban la revisión del coche… uno de esos sistemas era bastante antiguo, creo que un Windows Xp, ya sin soporte de ningún tipo. Pero claro, es un taller de cuatro personas, son mecánicos y nadie les ha hablado de ciberseguridad. Les paralizaron el taller solo por la infección que tuvieron en ese ordenador, con la fortuna de que un taller es una industria relativamente manual, todavía no depende demasiado de la tecnología, pero ya les generó un perjuicio serio que se tradujo en paralizar ciertos pedidos. Imagina eso en las industrias que estamos automatizando. Yo no digo que no lo hagan, pero sí que sean conscientes de que cuanto más automaticemos y más deleguemos en la tecnología, más hay que protegerla y entenderla.