Un hogar en España sufre entre 100.000 y 500.000 intentos de ciberataques diarios; un gran porcentaje de amenazas no se llegan a convertir en un ataque real, pero ¿y el por ciento que si logran superar las barreras de seguridad? ¿ realmente somos conscientes de lo expuestos que estamos en la red?

Roberto Peña, director de ciberseguridad de MNEMO, nos facilita dichos datos y describe el mundo digital como un entorno sin control y sin ley en el que nos adentramos lo queramos o no. Prácticamente todos somos ciudadanos de esta realidad digital, pero pocos conocemos los riesgos de ciberseguridad a los que nos exponemos. Peña equipara la vida online con la vida real: ¿que ocurriría si no usáramos el cinturón de seguridad, o los vehículos no pasaran el control de la ITV? ¿cómo viviríamos si no contáramos con la protección de la policía, estaríamos tranquilos y seguros?

Al igual que en la vida real nos ofrecen protección y tomamos medidas para estar seguros, también deberíamos hacerlo en el mundo digital.  Peña indica que los datos de 1 de cada 3 personas están comprometidas en la red; así, hemos presenciado ciberataques masivos que se han hecho eco en los medios, como el ransomware que atacó a Telefónica junto a otras empresas, o la reciente brecha de seguridad de Equifax. No obstante, el problema es que estos datos no son casos aislados, se trata de una amenaza común que puede afectar a cualquier empresa e individuo y que sólo irá a más.

La mayor vulnerabilidad de las empresas e individuos en materia de ciberseguridad es el desconocimiento absoluto que hay acerca del peligro, y la falta de actuación gubernamental. Los ataques digitales duplican el número de usuarios digitales en España, pero aún así no se les está ofreciendo la protección necesaria. Frenar los ataques es responsabilidad tanto de las empresas y el usuario, pero debe estar respaldado por el gobierno. Pero, antes de nada, entendamos por qué motivos están expuestas las empresas a las ciberamenazas.

¿Por qué son tan vulnerables las empresas a los ciberataques?

Según MNEMO, el 85% de las empresas españolas no tienen articulados procesos técnicos sobre brechas de seguridad. La empresa especializada en seguridad explica que estas son las 10 mayores vulnerabilidades de las empresas:

1. Fugas de información a través de uso descuidado de pendrives, tablets y teléfonos.
2. Robo de información y fraudes.
3. Falta de formación y concienciación.
4. Inexistencia de planes de gestión de los incidentes de seguridad.
5. Muy baja inversión en ciberseguridad.
6. Falta de planificación de continuidad de negocio.
7. Contraseñas débiles y accesos a servicios compartidos sin permisos de usuario bien planificados o acceso poco controlado de externos a la empresa.
8. Incapacidad de detectar un ataque de forma rápida y autónoma.
9. Sistemas operativos caducados, como Windows XP y servidores con Windows server 2003.
10. Uso de software creado a medida sin suficientes garantías de seguridad.

¿Cómo pueden invertir las empresas para mejorar la ciberseguridad?

La falta de inversión en ciberseguridad implica que hay decenas de vulnerabilidades en la infraestructura, que antes incluso de desarrollarse ya tienen el defecto tecnológico inherente. Por ello, los cibercriminales están un paso por delante de las empresas que cuando quieren reaccionar ya es demasiado tarde.

Lo más importante no es concebir la inversión en ciberseguridad como un gasto aparte; no existe un coste fijo para proteger a una empresa de los delincuentes de la red. La inversión en seguridad debería ser inherente a la inversión en tecnología; por lo tanto, el gasto en ciberseguridadserá proporcional a la tecnología empleadaen la empresa.

Las empresas pueden invertir en ciberseguridad de dos formas: por un lado en la tecnología que tengan, y por otro lado en los servicios de seguridad gestionada. Los servicios deben ofrecer por un lado la auditoria de la empresa, y por otro la revisión.

La particularidad es que no estamos hablando de una auditoria puntual cada 3 o 6 meses, sino de un análisis constante y continuo que pueda detectar cualquier amenaza para la seguridad de la empresa al instante. Para ello, es recomendable contar con un grupo de expertos externos que estudien diariamente el estado del software, tecnología y tráfico, para asegurarse de que no hay ninguna amenaza, y erradicarla en caso de que la hubiera.

Se trata de una inversión necesaria, que además debería ser ineludible. Aquí es cuando entra en juego el rol del gobierno a la hora de proteger a los ciudadanos ante los ciberataques. Como decíamos antes, al igual que la ITV es un requisito indispensable para que un ciudadano pueda circular, y así no poner en riesgo al resto de los habitantes, también lo deberían ser las medidas de ciberseguridad en las empresas. Las medidas de fomento no deberían ser solo recomendar, sino también legislar y obligar; se aborda la temática con sanciones y procedimientos de comunicación, pero ¿y la prevención?

El entorno digital se ha convertido en una jungla, en la que nos vemos obligados a adentrarnos. ¿Hasta cuando seguiremos obviando los peligros que nos rodean? ¿Es necesario que nos ataquen para que empecemos a protegernos, o seguiremos limitándonos a defendernos en caso de que ocurra?