«La sociedad no está preparada para asumir la tecnología»

El desayuno informativo sobre ciberseguridad en la pyme se celebró en la Sala del Consejo del periódico IDEAL. /Ramón L. Pérez
El desayuno informativo sobre ciberseguridad en la pyme se celebró en la Sala del Consejo del periódico IDEAL. / Ramón L. Pérez

BBVA e IDEAL celebran un desayuno informativo sobre ciberseguridad en el que se alerta de los grandes riesgos a los que están expuestas las pymes

ANTONIO SÁNCHEZGRANADA

«La sociedad no está preparada para asumir la tecnología». Cuatro expertos relacionados con la ciberseguridad en las empresas concluyeron ayer en un nuevo desayuno informativo organizado por BBVA e IDEAL que las pequeñas y medianas empresas de Granada están expuestas a grandes riesgos a través de internet y coincidieron en que la interconexión de los dispositivos móviles está provocando que ese peligro se extienda al resto de la sociedad, que ve como avanza la tecnología, pero no es capaz de discernir qué es útil y qué no.

Carlos Guerrero, responsable del acuerdo entre BBVA España y Hiscox para la comercialización de seguros de ciberriesgo, explicó que la conexión 5G va a «abrir la puerta a la interconexión en tiempo real y va a facilitar que las peticiones de los dispositivos móviles sean inmediatas», pero recordó que no está entre las prioridades de las empresas que comercializan estos productos la seguridad de estos. «Actualmente tienes actores disruptores que van sacando productos al mercado, pero no se crea un marco de protección de estos», argumentó Guerrero, lo que genera un escenario actual de incertidumbre en el que tanto ciudadanos como empresas no están a salvo de ataques digitales. Jessica San Torcuato, suscriptora de ciberriesgo profesional y de empresa en Hiscox, puso un ejemplo visual para complementar la exposición de Guerrero y aseguró que las aspiradoras automáticas que se han puesto de moda en los últimos años cuentan con cámaras integradas en algunos casos, un dispositivo que se puede piratear y hacer fotos del domicilio en el que se encuentre. Pedro García, catedrático de Universidad de Granada adscrito al área de Ingeniería Telemática, añadió un nuevo ejemplo y contó el caso de un hotel de Islas Baleares al que un ciberataque le 'entró' en el sistema electrónico que regulaba la entrada y salida de las habitaciones y, en consecuencia, dejó atrapados a decenas de personas en interior de las mismas. José Manuel Vargas, gerente de del área de Consultoría de Riesgos de Deloitte, sintetizó el debate y destacó que las posibilidades para «reventar los sistemas son inmensas». Estos problemas, que hace una década eran menores por el desarrollo más limitado de internet, son mayores debido a la interconexión provocada por infinidad de dispositivos «en cuyo diseño y/o implementación no tuvieron en cuenta los parámetros de seguridad necesarios» , como por ejemplo alguna que otra bombilla 'inteligente'.

El entorno digital al que se dirige la sociedad, con una conexión permanente a la nube, abre incertidumbres y escenarios confusos para las personas, pero también para las empresas. Los expertos reunidos ayer en IDEAL consideraron que las grandes compañías de España sí tienen la mayoría de sus brechas de seguridad cubiertas, en parte por la gran cantidad de datos que se pondrían en riesgo si existiera una filtración, pero recordaron que en las pequeñas y medianas empresas no existe sensibilización con este asunto, a pesar de que cada vez existen mayores responsabilidades penales para autónomos y empresas por la filtración de datos de sus clientes.

Sin embargo, el principal problema al que se enfrentan las pymes en la actualidad es el desconocimiento. «Las propias empresas no saben cuáles son sus riesgos», argumentó Carlos Guerrero, quien detalló tres problemas fundamentales en el caso de que se consume un ciberataque. Por un lado, si la empresa tiene venta a través de internet se paraliza el negocio. «Es un riesgo importante porque vas a perder dinero y en el caso de una pequeña y mediana empresa puede provocar el cierre», explicó Guerrero, quien destacó que se puede dar el caso de que el ataque llegue a la cadena de producción de una empresa ajena a la venta online y se ejecute paralizando, por ejemplo, su cadena de envasado. Luego existe otro componente importante con las bases de datos. «Casi todo el mundo maneja datos, salvo que seas la tienda de la esquina y cobres todo en metálico. Pero la mayoría de empresas manejan datos y es importante protegerlos», expuso Guerrero, quien apuntó que el tercer elemento es el impacto reputacional, la mala imagen que da a cualquier compañía asumir que ha existido una brecha de seguridad en su entorno digital.

BBVA ofrece un ciberseguro para dar «una solución rápida» a pymes

BBVA ofrece, gracias a un acuerdo con la empresa Hiscox, un ciberseguro para la protección frente a ataques a través de la red digital. Este seguro está dirigido a pymes y autónomos y pensado para «dar una solución rápida» y «cubrir los daños producidos a consecuencia de un ataque informático o vulneración de datos personales o confidenciales». Para ello, BBVA cuenta con un equipo especializado (CyberSOC Deloitte) para dar cobertura de asistencia en caso de incidente por vulneración de datos, fallo de sistemas, fallo de seguridad por ciberataque o sospecha de ataque informático o amenaza de extorsión. La cobertura de daños propios incluye la pérdida de beneficios y también el acceso sin coste al programa de formación CyberAcademy para hasta diez empleados.

Entre los ataques que se persigue proteger está la recepción de correos con virus que bloqueen los equipos, paralicen el negocio y roben datos de los clientes; sufrir ciberataques que bloqueen la web o provoquen el robo de información confidencial; y el incumplimiento de la ley de protección de datos. Las empresas, para comunicar un incidente, solo deberán llamar a la plataforma CiberSOC Deloitte que prestará el servicio de respuesta inmediata a incidentes. A partir de ahí, se activarán las coberturas correspondientes y, en su caso, la tramitación por daños propios o responsabilidad civil (daños a terceros) cuyos importes haya que abonar al asegurado.

El requisito para las compañías es tener instalado y activo un antivirus como mínimo en el plazo de 30 días desde la fecha de efecto del contrato y realizar copias de seguridad al menos mensualmente. En paralelo, para cumplir con el contrato y no ver reducidas las coberturas de este ciberseguro, este ofrece gratuitamente una licencia Antivirus Norton.

Pedro García visualizó un ejemplo en el que no existe una pérdida económica directa, pero sí una importante merma de la reputación. «Imaginad que la página de Moncloa sufre un ataque y aparece mañana Pedro Sánchez con bigote. El desprestigio es muy importante», señaló. Jessica San Torcuato añadió otro caso real en el que se produjo una filtración de imágenes de una guardería a través sus cámaras de seguridad, con la consecuente exposición de los menores inscritos en la misma. «No sólo debe enfocarse al negocio online porque el ciberataque le puede ocurrir cualquier negocio», explicó San Torcuato. Al respecto, José Manuel Vargas bromeó que si existiera una patrona de la ciberseguridad esta sería Santa Bárbara porque las empresas solo se acuerdan de ella cuando truena. «La tecnología y su impacto han avanzado, pero no tanto como para conocer los riesgos, por lo que si no te pones en manos de un especialista da igual lo que hagas», alertó Vargas.

Una vez conocido el riesgo, las empresas tampoco son capaces de valorar el impacto que podría tener en su compañía a pesar de las alertas por parte de las sociedades especializadas en ciberseguridad. Las cifras que detalló ayer Hiscox muestran que el 70% de las pequeñas y medianas empresas que han sido atacadas a través de internet no actúan sobre su brecha de seguridad para solucionarla lo que implica que los atacantes las coloquen en una lista de sociedades en las que es sencillo penetrar a través de su entorno digital.

Los ponentes en el desayuno informativo de ayer fueron más allá y recordaron que para evitar los ciberataques es necesaria la implicación convencida de la dirección de las empresas. Carlos Guerrero detalló que tres de cada cuatro problemas de seguridad en las sociedades está provocado por los empleados, que activan los virus sin ser conscientes de que lo están haciendo. «Puede pasar de todo y si el empleado no es consciente de ello, apaga y vámonos. Debe haber entrenamiento en política de riesgos y ser conscientes de que el riesgo nunca desaparece al 100%», explicó. Teodoro García apuntó que las pequeñas y medianas empresas siempre piensan en rentabilizar o recuperar cualquier inversión que se hace y que mientras que no se sea «consciente» de las implicaciones que tiene no desarrollar un sistema digital seguro, «es tontería» que los empleados asuman que existen riesgos. «En el momento en el que les dices que el coste del sistema de seguridad es de unos mil euros te dicen que para qué sirve y no invierten», aseguró. Al respecto, José Manuel Vargas indicó que cuando la dirección conoce los riesgos de seguridad «su papel es completamente diferente». El ataque más habitual es el 'phishing', el clásico error de pinchar en un correo electrónico que ha sido enviado a través de una dirección de e mail fraudulenta que logra penetrar en la organización y, en algunos casos, bloquearla. Vargas destacó, en este sentido, que aunque gran parte del 'phishing' es indiscriminado, lo que permite que identificarlo con mayor facilidad, los ataques dirigidos son más difíciles de detectar, siendo cada vez más elaborados. Jessica San Torcuato destacó que las tres clave para evitar los ciberataques es la concienciación, la formación y la prevención. «A día de hoy la contraseña más utilizada es '1234' y casi todos tenemos los mismos parámetros en nuestros dispositivos por lo que esto nos hace más vulnerables, algo que ocurre también en las empresas», concluyó.