La amenaza nuclear fue a los años 50 y 60 lo que las ciberamenazas son al siglo XXI. Si entonces los gobiernos lanzaban políticas y directrices para preparar su territorio y a sus ciudadanos ante posibles ataques (la psicosis llegó a tal punto que los particulares construían búnkeres en sus casas) hoy, cada vez más, las instituciones son conscientes de los peligros que entraña no contar con un plan coordinado para hacer frente a hechos como la ciberdelincuencia o el ciberespionaje.
Luis Jiménez, subdirector general adjunto del Centro Criptológico Nacional, compara estos dos momentos históricos para ejemplificar los crecientes riesgos que subyacen en las ciberamenazas, pero marca las distancias respecto a la concienciación social: “los ciberataques se han vuelto complejos, pero existe falta de formación y concienciación frente a este tipo de amenazas”.
Las cifras que arrojan los estudios son reveladoras. Un informe de McAfee, publicado en junio de 2014, cifra los costes que provoca la ciberdelincuencia en más de 400.000 millones de dólares al año en la economía global y calcula que Europa podría perder hasta 150.000 puestos de trabajo por sus efectos. España no se queda corta. Según palabras de José Manuel García-Margallo, ministro de Asuntos Exteriores, España fue en 2014 el tercer país del mundo, tras Estados Unidos y Reino Unido, que más ciberincidentes sufrió (más de 70.000). Desde el Instituto Nacional de Ciberseguridad (Incibe) aseguran que detectan cada día alrededor de 3.000 direcciones IP con actividad maliciosa en España.
Las formas de delinquir no siempre son las mismas y pueden obedecer a múltiples motivaciones: desde el robo de información (ciberespionaje), pasando por la búsqueda del beneficio económico (ciberdelito), la provocación de daños (ciberterrorismo), las reivindicaciones sociales o políticas (hacktivismo) o la necesidad de demostrar superioridad en el ciberespacio (ciberdefensa). “Los tipos que más aumentarán serán el ciberespionaje, debido a que cada vez más países adquieren capacidades para realizarlo, el ciberdelito, que empieza a ser rentable para el crimen organizado, y el ciberterrorismo, ya que existe una tendencia, que va en aumento, de que los grupos terroristas cuenten con expertos atacantes entre sus filas”, asegura Luis Jiménez.
Las empresas, en el punto de mira
Los expertos coinciden en que las empresas son, en la actualidad, el principal objetivo de los ciberataques. “O bien la empresa tiene un activo interesante para el atacante, o bien puede ser un puente para alcanzar el verdadero objetivo. Siempre digo que hay dos tipos de empresas: las que saben que han sido atacadas y las que aún no lo saben”, comenta Marc Martínez, socio de IT Advisory de KPMG en España.
En una encuesta realizada el pasado año por el World Economic Forum a casi 900 líderes a nivel mundial, los ciberataques a gran escala aparecieron mencionados como uno de los principales riesgos, tanto en términos de impacto potencial como en probabilidad de que ocurrieran. “Esto es un relejo de la creciente sofisticación de los ciberataques y de la hiperconectividad, con un número que va en aumento de objetos conectados a Internet así como de la cantidad de datos sensibles y personales que las compañías almacenan en la nube”, asegura el organismo en su informe Global Risks 2015.
La amenaza que más preocupa es la pérdida de información valiosa. En una encuesta realizada a los más de 70 asistentes al evento organizado por KPMG ‘Ciberinteligencia: de la reacción a la prevención en ciberseguridad’ (directores de Auditoría Interna, CFO, responsables de Asesoría Jurídica, CIO y CISO de múltiples sectores), un 36% respondió que el aspecto que más les inquietaba era la pérdida de información estratégica para el negocio. Otro 36% señaló la información con impacto regulatorio.
Para Miguel Rego, director general del Instituto Nacional de Ciberseguridad (INCIBE), los efectos también se dejan sentir en el conjunto de la economía: “es importante reforzar la confianza online de los ciudadanos para que se produzca un verdadero desarrollo del negocio digital y del comercio electrónico”, recalca.
Inteligencia, la medicina para vencer al malicioso
A pesar de lo que muchos puedan pensar, los expertos coinciden en que la solución ante las amenazas cibernéticas no se encuentra en las herramientas que utilicemos: “La tecnología es solo un facilitador, pero necesitamos factores humanos. La ciberinteligencia (entendida como conocimiento especialmente preparado para las circunstancias de una organización) es cada vez más importante en el ámbito de la prevención y, para desarrollarla, son necesarios profesionales cualificados”, puntualiza Javier Santos, director en el área de ciberseguridad de KPMG en España.
La importancia de la concienciación es otro de los aspectos que generan consenso: “muchos ciberataques tienen éxito gracias a la ingeniería social que hay detrás. Siempre hay alguien que abre un enlace que no debía o descarga un adjunto infectado”, recalca Luis Jiménez. En los aspectos más técnicos, recomiendan aumentar la capacidad de detención para que, una vez se haya producido la infección, sea más fácil detenerla, así como poner barreras para impedir que el problema se extienda de una sola máquina al resto de la red corporativa.
Deja un comentario