Ciberataques que matan a las empresasLas alertas de seguridad informaacuteticas que ponen en jaque a las compantildeiacuteascomienzan a ser moneda habitual en un mundo hiperconectado

Madrid - 16 FEB 2020 - 0038 CET

Odian contarlo pero las empresas se estaacuten viendo obligadas a admitir lo que pasa en sus

sistemas informaacuteticos Y suelen ser historias espeluznantes Esta misma semana Quest

Diagnostics un laboratorio cliacutenico estadounidense que forma parte de las 500 mayores empresas

de ese paiacutes ha informado de que los datos de 119 millones de pacientes (incluidas tarjetas de

creacutedito y cuentas bancarias) estuvieron ocho meses expuestos por el error de seguridad de un

proveedor Hace unos diacuteas Travelex Holdings una empresa con sede en Londres suspendioacute sus

servicios en 30 paiacuteses por otro agujero en sus sistemas seguacuten Bloomberg En Espantildea se han

vivido casos muy llamativos en los uacuteltimos tiempos como el hackeo en Prosegur a finales de

noviembre o el que obligoacute a la suspensioacuten de la programacioacuten local en la cadena SER (del grupo

PRISA) ese mismo mes por un ataque de ransom ware un encriptador de archivos que tambieacuten

afectoacute a la consultora Everis o el que infectoacute al hospital universitario de Torrejoacuten de Ardoz el mes

MARIacuteA FERNAacuteNDEZ

Vista de una empresa del distrito financiero de Madrid VIacuteCTOR SAINZ

pasado e inutilizoacute sus ordenadores y las pantallas de las salas de espera (y obligoacute a sus empleados

a volver al laacutepiz y al papel)

Los datos que se suponiacutea que eran la nueva mina de oro con la digitalizacioacuten tambieacuten son

municioacuten para la ciberdelincuencia un negocio cada vez maacutes lucrativo y devastador Seguacuten las

cifras de la consultora Gartner el gasto en seguridad empresarial mundial alcanzoacute los 124000

millones de doacutelares en 2019 un 8 maacutes respecto a 2017 El Observatorio Espantildeol de Delitos

Informaacuteticos constata que los fraudes las falsificaciones los accesos iliacutecitos o las violaciones de

propiedad industrial tanto a particulares como a empresas se han disparado hasta los 110613

casos detectados en 2018 (uacuteltimas cifras disponibles) Cuatro antildeos antes no llegaban a los

50000 El Instituto Nacional de Ciberseguridad (Incibe) gestiona maacutes de 100000 incidentes al

antildeo de empresas y particulares de los que unos 700 corresponden a operadores estrateacutegicos

(desde eleacutectricas hasta empresas de telecomunicaciones puertoshellip) Casi 5000 personas han

sido detenidas o son investigadas por delitos relacionados con el cibercrimen en el paiacutes seguacuten

Statista

En suma miles de vulnerabilidades son descubiertas cada mes algo que va en aumento Pilar

Loacutepez presidenta de Microsoft Espantildea deciacutea hace un par de semanas en una charla en Esade que

la amenaza de la ciberdelincuencia ldquoes maacutes real que nuncardquo Y alertaba de que la mayoriacutea de las

empresas espantildeolas no estaacuten preparadas para responder a un ciberataque que pueda paralizarlas

por completo ldquoAfortunadamente estamos avanzando y cada vez se tarda menos en detectarlo

Las empresas tienen que aprender a protegerse y disentildear un plan global de seguridadrdquo Cierto es

que su compantildeiacutea vende productos para ello pero tambieacuten lo es que la alerta no solo proviene del

PUBLICIDAD

Ads by Teads

sector Ana Botiacuten presidenta del Banco Santander mencionoacute la ciberproteccioacuten como uno de ldquolos

mayores retos socialesrdquo el pasado verano durante la junta de accionistas de la plataforma

educativa Universia ldquoEs importante saber doacutende se ha cometido el robo pero tambieacuten quieacuten es el

responsablerdquo apuntoacute Porque los delincuentes estaacuten por todas partes a veces tienen el apoyo de

sus propios Estados y es difiacutecil sentarlos en el banquillo

En la firma de seguridad S21Sec tienen monitorizadas algunas bandas que han logrado ingresos

de maacutes de 50 millones de euros ldquoEs un negocio redondo hay estudios sobre la rentabilidad de las

organizaciones que hablan de retornos del 2000rdquo sentildeala Jorge Hurtado su vicepresidente de

Servicios Gestionados ldquoLo que hace 15 antildeos era una persona en un garaje hoy son equipos de

La ciberseguridad en el mundo

Coste medio de cada ataque completado

en millones de doacutelares

El coste del cibercrimen

2017 2018

18371655Banca

Ser puacuteblicos

Software

Automocioacuten

Seguros

Tecnologiacutea

Inversioacuten

Energiacutea

B de consumo

Salud

Distribucioacuten

Comunicacioacuten

Viajes

Sector puacuteblico

1511 1784

1446 1604

1070 1578

1293 1576

1290 1469

1056 1392

1321 1377

809 1191

1182 1286

904 1143

755 921

461 815

791658

5 10 15 200

Por paiacuteses

En 2018

Canadaacute

925R Unido

1146

Alemania

1312Japoacuten

1357Francia

972

Italia

801Espantildea

816EE UU

2237Singapur

932Brasil

724

Australia

679

Fuente Accenture

C AYUSO EL PAIacuteS

cientos de personas con herramientas propias y un montoacuten de recursos a su alcancerdquo En Internet

se anuncian sin impunidad supuestas ldquoempresasrdquo que ofrecen servicios completamente ilegales

ldquoMuchos clientes nos preguntan si es posible hackear un teleacutefono un whatsapp una red socialhellip a

lo que respondemos siempre que siacute todo sistema es vulnerable y con los conocimientos y

herramientas adecuados puede ser hackeadordquo anuncian en una de ellas

Joseacute Luis Narbona profesor asociado de criminaliacutestica en la Universidad de Alcalaacute y presidente de

la Asociacioacuten Nacional de Ciberseguridad no quiere sonar alarmista pero menciona que Espantildea

estaacute a antildeos luz de lo que necesita en inversioacuten y conciencia sobre este tema ldquoTodo parte de una

cuestioacuten econoacutemica y se ha convertido en una guerra global El incremento de ataques a

empresas espantildeolas es bastante alto e inversamente proporcional al gasto que realizan para

garantizar la confidencialidad de los datosrdquo Una inversioacuten que a menudo es pobre dispersa y casi

siempre tiene un sentido de urgencia que la hace inuacutetil para construir una verdadera estrategia de

negocio

Fraudes silenciosos

Lorenzo Martiacutenez fundador de Securizame y perito judicial en delitos informaacuteticos ha visto

solicitudes de rescate de datos provocadas por ransomware en pymes de 3000 10000 y hasta

12000 euros (en empresas mayores pueden pasar de los 100000) Tambieacuten ha visto coacutemo

muchos negocios medianos y pequentildeos se ven desarmados (sin acceso a todos sus sistemas) y

acceden al chantaje de los criminales cuando se dan cuenta de que estaacuten en un callejoacuten sin salida

Algunos incluso despueacutes de aguantar un mes buscando alternativas ldquoTambieacuten se dan estafas

como el llamado timo al CEO de cientos de miles de eurosrdquo Esto uacuteltimo es maacutes sofisticado

Imagine a un directivo que tiene que pagar una factura a un proveedor habitual y recibe un correo

LUIS TINOCO

cientos de personas con herramientas propias y un montoacuten de recursos a su alcancerdquo En Internet

se anuncian sin impunidad supuestas ldquoempresasrdquo que ofrecen servicios completamente ilegales

ldquoMuchos clientes nos preguntan si es posible hackear un teleacutefono un whatsapp una red socialhellip a

lo que respondemos siempre que siacute todo sistema es vulnerable y con los conocimientos y

herramientas adecuados puede ser hackeadordquo anuncian en una de ellas

Joseacute Luis Narbona profesor asociado de criminaliacutestica en la Universidad de Alcalaacute y presidente de

la Asociacioacuten Nacional de Ciberseguridad no quiere sonar alarmista pero menciona que Espantildea

estaacute a antildeos luz de lo que necesita en inversioacuten y conciencia sobre este tema ldquoTodo parte de una

cuestioacuten econoacutemica y se ha convertido en una guerra global El incremento de ataques a

empresas espantildeolas es bastante alto e inversamente proporcional al gasto que realizan para

garantizar la confidencialidad de los datosrdquo Una inversioacuten que a menudo es pobre dispersa y casi

siempre tiene un sentido de urgencia que la hace inuacutetil para construir una verdadera estrategia de

negocio

Fraudes silenciosos

Lorenzo Martiacutenez fundador de Securizame y perito judicial en delitos informaacuteticos ha visto

solicitudes de rescate de datos provocadas por ransomware en pymes de 3000 10000 y hasta

12000 euros (en empresas mayores pueden pasar de los 100000) Tambieacuten ha visto coacutemo

muchos negocios medianos y pequentildeos se ven desarmados (sin acceso a todos sus sistemas) y

acceden al chantaje de los criminales cuando se dan cuenta de que estaacuten en un callejoacuten sin salida

Algunos incluso despueacutes de aguantar un mes buscando alternativas ldquoTambieacuten se dan estafas

como el llamado timo al CEO de cientos de miles de eurosrdquo Esto uacuteltimo es maacutes sofisticado

Imagine a un directivo que tiene que pagar una factura a un proveedor habitual y recibe un correo

LUIS TINOCO

electroacutenico mdash aparentementemdash de ese proveedor que le pide que esta vez haga el ingreso en otra

cuenta bancaria Lo solicita en un correo electroacutenico cordial utilizando un lenguaje adecuado y

dirigieacutendose a eacutel por su nombre y apellidos El ejecutivo confiacutea cambia el destino del dinerohellip y lo

pierde Por verguumlenza muchas veces estas torpezas se ocultan y no se denuncian Grave error

Fernando Anaya director para Espantildea de Proofpoint avisa que el 93 de los ataques utilizan el

correo electroacutenico como puerta de entrada ldquode ahiacute la importancia de concienciar a los

empleadosrdquo

La ciberdelincuencia ataca a todos los sectores y estaacute en todos los niveles aunque algunos

negocios son maacutes vulnerables que otros La banca por descontado es el nuacutemero uno de la diana

Por tipo de ataque

En 2018

Software dantildeino (Malware)

Ataques a la web

Denegacioacuten de servicio

Filtraciones internas

Ingenieriacutea social

Coacutedigo dantildeino

Dispositivos robados

Ransomware

Ataques de Bots

26

23

17

16

14

14

1

06

04

00 05 10 15 20 25 30

Por consecuencias del ataque

En 2018

596

5

4

3

2

1

0

Informacioacuten

perdida50

37 Interrupcioacuten

del negocio

Beneficios

perdidos27

Equipos

dantildeados

2015 2016 2017 2018

Fuente Accenture

C AYUSO EL PAIacuteS

Tambieacuten la que maacutes invierte en proteccioacuten La Reserva Federal americana (Fed) lo puso de

manifiesto el pasado martes El ataque a uno de los mayores bancos de Estados Unidos podriacutea

afectar al 38 del sistema financiero de ese paiacutes seguacuten sus caacutelculos El personal de la Fed hizo el

ejercicio de queacute pasariacutea si una gran entidad fuese bloqueada y no pudiese realizar pagos y cobros

durante solo un diacutea el contagio seriacutea inmediato el resto de las entidades intentariacutean apalancar su

liquidez y 4 de cada 10 doacutelares del sistema quedariacutean bloqueados

No es ciencia-ficcioacuten Un informe de McKinsey cita que desde 2013 los llamados ldquoataques

Carbanakrdquo (robos basados en malware) han costado a la banca mundial 1000 millones de

doacutelares En ellos cometidos por al menos tres bandas criminales como despueacutes se acreditoacute los

ladrones demostraron tener un conocimiento sofisticado del entorno digital y entender los

procesos bancarios asiacute como las brechas de seguridad para llegar a cajeros automaacuteticos tarjetas

de creacutedito y transferencias Estas acciones que afectaron a un buen nuacutemero de bancos rusos

tambieacuten dejaron al descubierto la cada vez maacutes difusa relacioacuten entre ciberataques fraudes y

delitos financieros Joseacute Luis Martiacutenez Campuzano portavoz de la patronal bancaria espantildeola

(AEB) cree que ldquoa medida que los bancos fortalecen sus barreras de proteccioacuten los ciberataques

derivan hacia el eslaboacuten maacutes deacutebil de la cadena el cliente a traveacutes de phishing vishing smishingrdquo

Es el mal de este tiempo sociedades maacutes digitalizadas y a la vez maacutes desnudas ante el ciberdelito

Quizaacute por ello las encuestas muestran un derroche de voluntad Un estudio realizado por Willis

Towers Watson y ESI ThoughtLab presentado en Madrid esta semana cita que organizaciones de

todo el mundo quieren aumentar sus inversiones en ciberseguridad un 34 durante el proacuteximo

antildeo y cerca del 12 lo haraacuten en maacutes de un 50 Pero quien crea que el dinero arregla el

problema se equivoca Sin soluciones integrales en todos los niveles del negocio la respuesta

fallaraacute seguacuten los expertos

LA SALUD EL PUNTO DEacuteBIL

Ocurrioacute en un reciente congreso del sector Un responsable de seguridad de una empresa

estadounidense contoacute a un profesional espantildeol la enorme preocupacioacuten que hay en su paiacutes por los

ataques a centros sanitarios Y no como se podriacutea pensar por el simple secuestro o robo de datos

ldquoHablaba de que temen por ejemplo que una manipulacioacuten de los historiales pueda cambiar el grupo

sanguiacuteneo de los pacientes Solo eso podriacutea tener consecuencias catastroacuteficasrdquo relata el receptor de

la confidencia Una serie de ataques registrados a mediados de 2017 en el sector de fabricantes de

medicamentos ya puso en guardia a las farmaceacuteuticas aunque eso no ha evitado que se sigan dando

casos Bayer reconocioacute hace dos semanas que un malware llamado Winnti se infiltroacute en sus

ordenadores el antildeo pasado Su unidad de defensa limpioacute los sistemas afectados y no encontroacute

pruebas de la fuga de datos pero Costin Raiu director de su equipo de seguridad reconocioacute que ldquosoacutelo

porque una empresa haya evitado con eacutexito un episodio no significa que el grupo de criminales que

esteacuten detraacutes de Winnti no lo vuelva a intentarrdquo

iquestCoacutemo debe afrontar el sector sanitario estos problemas Xabier Mitxelena de Accenture cree que

ldquoes un objetivo faacutecil porque tiene muchas puertas de entradardquo La consultora hace simulaciones

perioacutedicas en hospitales y sentildeala que como sector criacutetico las empresas ldquotienen que tomarse maacutes en

serio los riesgos de la tecnologiacuteardquo En especial habla de la ldquosensibilizacioacuten de los meacutedicosrdquo y de la

importancia de establecer comunicaciones seguras Marco Merino responsable de tecnologiacutea de la

empresa genoacutemica Veritas Intercontinental observa dos derivadas del problema La primera se refiere

a los datos personales sobre salud ldquoSu exposicioacuten es muy grave y puede ser utilizada con malicia con

una finalidad de chantaje o como herramienta de presioacuten sobre ciertos colectivos Esto genera

millones de peacuterdidas anuales como se puede comprobar en los informes del sectorrdquo En segundo lugar

estaacute la informacioacuten cliacutenica que las empresas utilizan para la investigacioacuten y desarrollo de nuevos

faacutermacos ldquoEstamos por tanto en una situacioacuten de espionaje industrial Por fortuna ya existen

modelos muy evolucionados de proteccioacutenrdquo

Los servicios puacuteblicos

En el sector puacuteblico la cuestioacuten es parecida La informacioacuten de varios Ayuntamientos en Estados

Unidos (desde Baltimore hasta Atlanta o Nueva Jersey pero tambieacuten ciudades pequentildeas como Riviera

Beach y Lake City) ya ha sido saqueada por ciberdelincuentes y algunas de estas ciudades han optado

por pagar un rescate para poder atender a sus ciudadanos En Espantildea se empiezan a dar casos como

el que afectoacute en octubre al Ayuntamiento de Jerez a traveacutes de un correo electroacutenico y bloqueoacute todos

los ordenadores Un mes antes otros consistorios espantildeoles como el de Bilbao habiacutean sido asaltados

por el mismo virus sin tanto eacutexito Los vecinos de la ciudad andaluza tuvieron que soportar durante

varios diacuteas el bloqueo de multitud de traacutemites como el padroacuten o cambios de domicilio La alcaldesa

Mamen Saacutenchez se negoacute a pagar rescate alguno

Para Jesuacutes Romero socio de consultoriacutea en ciberseguridad de PWC ldquoel riesgo tecnoloacutegico cada

vez tiene maacutes peso y hay un punto clave ademaacutes de prepararse para proteger sus activos ahora

la empresa tiene que estar preparada para responder Es importante que sea resiliente a un

ataque que sepa actuar y remediarlo cuanto antes porque el tiempo es fundamentalrdquo Como

otros consultados insiste en que la seguridad absoluta ldquono existerdquo ldquoCada compantildeiacutea debe saber el

riesgo residual con el que puede convivir para garantizar la continuidad de las operaciones la

proteccioacuten de su marca y la informacioacuten de sus clientesrdquo

Xabier Mitxelena responsable de Accenture Security en Espantildea pone un ejemplo muy graacutefico ldquoSi

entras en el metro con tu hijo y ves algo parecido a un bocadillo envuelto en papel lo primero que

le dices es que no lo coja Pero cuando vamos a cualquier sitio lo primero que hacemos es buscar

la wifi sin saber si es segurardquo

Suerte que en este caso la regulacioacuten tira del desarrollo de la seguridad informaacutetica La decena

larga de expertos consultados citan el Reglamento Europeo de Ciberseguridad el Reglamento

General de Proteccioacuten de Datos o la Ley de Seguridad Privada junto a un puntildeado de reales

decretos reglamentos e instrucciones teacutecnicas que han cambiado la visioacuten del problema desde

los consejos de administracioacuten ldquoCuando empeceacute en esto intentaba hacer ver que la seguridad no

es un concepto tecnoloacutegico que si haces bien las cosas tienes una ventaja de calidad Hasta

La ciberdelincuencia ataca a todos los sectores y estaacute en todos los niveles aunque algunos

negocios son maacutes vulnerables que otros La banca por descontado es el nuacutemero uno de la diana

Por tipo de ataque

En 2018

Software dantildeino (Malware)

Ataques a la web

Denegacioacuten de servicio

Filtraciones internas

Ingenieriacutea social

Coacutedigo dantildeino

Dispositivos robados

Ransomware

Ataques de Bots

26

23

17

16

14

14

1

06

04

00 05 10 15 20 25 30

Por consecuencias del ataque

En 2018

596

5

4

3

2

1

0

Informacioacuten

perdida50

37 Interrupcioacuten

del negocio

Beneficios

perdidos27

Equipos

dantildeados

2015 2016 2017 2018

Fuente Accenture

C AYUSO EL PAIacuteS

Tambieacuten la que maacutes invierte en proteccioacuten La Reserva Federal americana (Fed) lo puso de

manifiesto el pasado martes El ataque a uno de los mayores bancos de Estados Unidos podriacutea

afectar al 38 del sistema financiero de ese paiacutes seguacuten sus caacutelculos El personal de la Fed hizo el

ejercicio de queacute pasariacutea si una gran entidad fuese bloqueada y no pudiese realizar pagos y cobros

durante solo un diacutea el contagio seriacutea inmediato el resto de las entidades intentariacutean apalancar su

liquidez y 4 de cada 10 doacutelares del sistema quedariacutean bloqueados

No es ciencia-ficcioacuten Un informe de McKinsey cita que desde 2013 los llamados ldquoataques

Carbanakrdquo (robos basados en malware) han costado a la banca mundial 1000 millones de

doacutelares En ellos cometidos por al menos tres bandas criminales como despueacutes se acreditoacute los

ladrones demostraron tener un conocimiento sofisticado del entorno digital y entender los

procesos bancarios asiacute como las brechas de seguridad para llegar a cajeros automaacuteticos tarjetas

de creacutedito y transferencias Estas acciones que afectaron a un buen nuacutemero de bancos rusos

tambieacuten dejaron al descubierto la cada vez maacutes difusa relacioacuten entre ciberataques fraudes y

delitos financieros Joseacute Luis Martiacutenez Campuzano portavoz de la patronal bancaria espantildeola

(AEB) cree que ldquoa medida que los bancos fortalecen sus barreras de proteccioacuten los ciberataques

derivan hacia el eslaboacuten maacutes deacutebil de la cadena el cliente a traveacutes de phishing vishing smishingrdquo

Es el mal de este tiempo sociedades maacutes digitalizadas y a la vez maacutes desnudas ante el ciberdelito

Quizaacute por ello las encuestas muestran un derroche de voluntad Un estudio realizado por Willis

Towers Watson y ESI ThoughtLab presentado en Madrid esta semana cita que organizaciones de

todo el mundo quieren aumentar sus inversiones en ciberseguridad un 34 durante el proacuteximo

antildeo y cerca del 12 lo haraacuten en maacutes de un 50 Pero quien crea que el dinero arregla el

problema se equivoca Sin soluciones integrales en todos los niveles del negocio la respuesta

fallaraacute seguacuten los expertos

LA SALUD EL PUNTO DEacuteBIL

Ocurrioacute en un reciente congreso del sector Un responsable de seguridad de una empresa

estadounidense contoacute a un profesional espantildeol la enorme preocupacioacuten que hay en su paiacutes por los

ataques a centros sanitarios Y no como se podriacutea pensar por el simple secuestro o robo de datos

ldquoHablaba de que temen por ejemplo que una manipulacioacuten de los historiales pueda cambiar el grupo

sanguiacuteneo de los pacientes Solo eso podriacutea tener consecuencias catastroacuteficasrdquo relata el receptor de

la confidencia Una serie de ataques registrados a mediados de 2017 en el sector de fabricantes de

medicamentos ya puso en guardia a las farmaceacuteuticas aunque eso no ha evitado que se sigan dando

casos Bayer reconocioacute hace dos semanas que un malware llamado Winnti se infiltroacute en sus

ordenadores el antildeo pasado Su unidad de defensa limpioacute los sistemas afectados y no encontroacute

pruebas de la fuga de datos pero Costin Raiu director de su equipo de seguridad reconocioacute que ldquosoacutelo

porque una empresa haya evitado con eacutexito un episodio no significa que el grupo de criminales que

esteacuten detraacutes de Winnti no lo vuelva a intentarrdquo

iquestCoacutemo debe afrontar el sector sanitario estos problemas Xabier Mitxelena de Accenture cree que

ldquoes un objetivo faacutecil porque tiene muchas puertas de entradardquo La consultora hace simulaciones

perioacutedicas en hospitales y sentildeala que como sector criacutetico las empresas ldquotienen que tomarse maacutes en

serio los riesgos de la tecnologiacuteardquo En especial habla de la ldquosensibilizacioacuten de los meacutedicosrdquo y de la

importancia de establecer comunicaciones seguras Marco Merino responsable de tecnologiacutea de la

empresa genoacutemica Veritas Intercontinental observa dos derivadas del problema La primera se refiere

a los datos personales sobre salud ldquoSu exposicioacuten es muy grave y puede ser utilizada con malicia con

una finalidad de chantaje o como herramienta de presioacuten sobre ciertos colectivos Esto genera

millones de peacuterdidas anuales como se puede comprobar en los informes del sectorrdquo En segundo lugar

estaacute la informacioacuten cliacutenica que las empresas utilizan para la investigacioacuten y desarrollo de nuevos

faacutermacos ldquoEstamos por tanto en una situacioacuten de espionaje industrial Por fortuna ya existen

modelos muy evolucionados de proteccioacutenrdquo

Los servicios puacuteblicos

En el sector puacuteblico la cuestioacuten es parecida La informacioacuten de varios Ayuntamientos en Estados

Unidos (desde Baltimore hasta Atlanta o Nueva Jersey pero tambieacuten ciudades pequentildeas como Riviera

Beach y Lake City) ya ha sido saqueada por ciberdelincuentes y algunas de estas ciudades han optado

por pagar un rescate para poder atender a sus ciudadanos En Espantildea se empiezan a dar casos como

el que afectoacute en octubre al Ayuntamiento de Jerez a traveacutes de un correo electroacutenico y bloqueoacute todos

los ordenadores Un mes antes otros consistorios espantildeoles como el de Bilbao habiacutean sido asaltados

por el mismo virus sin tanto eacutexito Los vecinos de la ciudad andaluza tuvieron que soportar durante

varios diacuteas el bloqueo de multitud de traacutemites como el padroacuten o cambios de domicilio La alcaldesa

Mamen Saacutenchez se negoacute a pagar rescate alguno

Para Jesuacutes Romero socio de consultoriacutea en ciberseguridad de PWC ldquoel riesgo tecnoloacutegico cada

vez tiene maacutes peso y hay un punto clave ademaacutes de prepararse para proteger sus activos ahora

la empresa tiene que estar preparada para responder Es importante que sea resiliente a un

ataque que sepa actuar y remediarlo cuanto antes porque el tiempo es fundamentalrdquo Como

otros consultados insiste en que la seguridad absoluta ldquono existerdquo ldquoCada compantildeiacutea debe saber el

riesgo residual con el que puede convivir para garantizar la continuidad de las operaciones la

proteccioacuten de su marca y la informacioacuten de sus clientesrdquo

Xabier Mitxelena responsable de Accenture Security en Espantildea pone un ejemplo muy graacutefico ldquoSi

entras en el metro con tu hijo y ves algo parecido a un bocadillo envuelto en papel lo primero que

le dices es que no lo coja Pero cuando vamos a cualquier sitio lo primero que hacemos es buscar

la wifi sin saber si es segurardquo

Suerte que en este caso la regulacioacuten tira del desarrollo de la seguridad informaacutetica La decena

larga de expertos consultados citan el Reglamento Europeo de Ciberseguridad el Reglamento

General de Proteccioacuten de Datos o la Ley de Seguridad Privada junto a un puntildeado de reales

decretos reglamentos e instrucciones teacutecnicas que han cambiado la visioacuten del problema desde

los consejos de administracioacuten ldquoCuando empeceacute en esto intentaba hacer ver que la seguridad no

es un concepto tecnoloacutegico que si haces bien las cosas tienes una ventaja de calidad Hasta

Tambieacuten la que maacutes invierte en proteccioacuten La Reserva Federal americana (Fed) lo puso de

manifiesto el pasado martes El ataque a uno de los mayores bancos de Estados Unidos podriacutea

afectar al 38 del sistema financiero de ese paiacutes seguacuten sus caacutelculos El personal de la Fed hizo el

ejercicio de queacute pasariacutea si una gran entidad fuese bloqueada y no pudiese realizar pagos y cobros

durante solo un diacutea el contagio seriacutea inmediato el resto de las entidades intentariacutean apalancar su

liquidez y 4 de cada 10 doacutelares del sistema quedariacutean bloqueados

No es ciencia-ficcioacuten Un informe de McKinsey cita que desde 2013 los llamados ldquoataques

Carbanakrdquo (robos basados en malware) han costado a la banca mundial 1000 millones de

doacutelares En ellos cometidos por al menos tres bandas criminales como despueacutes se acreditoacute los

ladrones demostraron tener un conocimiento sofisticado del entorno digital y entender los

procesos bancarios asiacute como las brechas de seguridad para llegar a cajeros automaacuteticos tarjetas

de creacutedito y transferencias Estas acciones que afectaron a un buen nuacutemero de bancos rusos

tambieacuten dejaron al descubierto la cada vez maacutes difusa relacioacuten entre ciberataques fraudes y

delitos financieros Joseacute Luis Martiacutenez Campuzano portavoz de la patronal bancaria espantildeola

(AEB) cree que ldquoa medida que los bancos fortalecen sus barreras de proteccioacuten los ciberataques

derivan hacia el eslaboacuten maacutes deacutebil de la cadena el cliente a traveacutes de phishing vishing smishingrdquo

Es el mal de este tiempo sociedades maacutes digitalizadas y a la vez maacutes desnudas ante el ciberdelito

Quizaacute por ello las encuestas muestran un derroche de voluntad Un estudio realizado por Willis

Towers Watson y ESI ThoughtLab presentado en Madrid esta semana cita que organizaciones de

todo el mundo quieren aumentar sus inversiones en ciberseguridad un 34 durante el proacuteximo

antildeo y cerca del 12 lo haraacuten en maacutes de un 50 Pero quien crea que el dinero arregla el

problema se equivoca Sin soluciones integrales en todos los niveles del negocio la respuesta

fallaraacute seguacuten los expertos

LA SALUD EL PUNTO DEacuteBIL

Ocurrioacute en un reciente congreso del sector Un responsable de seguridad de una empresa

estadounidense contoacute a un profesional espantildeol la enorme preocupacioacuten que hay en su paiacutes por los

ataques a centros sanitarios Y no como se podriacutea pensar por el simple secuestro o robo de datos

ldquoHablaba de que temen por ejemplo que una manipulacioacuten de los historiales pueda cambiar el grupo

sanguiacuteneo de los pacientes Solo eso podriacutea tener consecuencias catastroacuteficasrdquo relata el receptor de

la confidencia Una serie de ataques registrados a mediados de 2017 en el sector de fabricantes de

medicamentos ya puso en guardia a las farmaceacuteuticas aunque eso no ha evitado que se sigan dando

casos Bayer reconocioacute hace dos semanas que un malware llamado Winnti se infiltroacute en sus

ordenadores el antildeo pasado Su unidad de defensa limpioacute los sistemas afectados y no encontroacute

pruebas de la fuga de datos pero Costin Raiu director de su equipo de seguridad reconocioacute que ldquosoacutelo

porque una empresa haya evitado con eacutexito un episodio no significa que el grupo de criminales que

esteacuten detraacutes de Winnti no lo vuelva a intentarrdquo

iquestCoacutemo debe afrontar el sector sanitario estos problemas Xabier Mitxelena de Accenture cree que

ldquoes un objetivo faacutecil porque tiene muchas puertas de entradardquo La consultora hace simulaciones

perioacutedicas en hospitales y sentildeala que como sector criacutetico las empresas ldquotienen que tomarse maacutes en

serio los riesgos de la tecnologiacuteardquo En especial habla de la ldquosensibilizacioacuten de los meacutedicosrdquo y de la

importancia de establecer comunicaciones seguras Marco Merino responsable de tecnologiacutea de la

empresa genoacutemica Veritas Intercontinental observa dos derivadas del problema La primera se refiere

a los datos personales sobre salud ldquoSu exposicioacuten es muy grave y puede ser utilizada con malicia con

una finalidad de chantaje o como herramienta de presioacuten sobre ciertos colectivos Esto genera

millones de peacuterdidas anuales como se puede comprobar en los informes del sectorrdquo En segundo lugar

estaacute la informacioacuten cliacutenica que las empresas utilizan para la investigacioacuten y desarrollo de nuevos

faacutermacos ldquoEstamos por tanto en una situacioacuten de espionaje industrial Por fortuna ya existen

modelos muy evolucionados de proteccioacutenrdquo

Los servicios puacuteblicos

En el sector puacuteblico la cuestioacuten es parecida La informacioacuten de varios Ayuntamientos en Estados

Unidos (desde Baltimore hasta Atlanta o Nueva Jersey pero tambieacuten ciudades pequentildeas como Riviera

Beach y Lake City) ya ha sido saqueada por ciberdelincuentes y algunas de estas ciudades han optado

por pagar un rescate para poder atender a sus ciudadanos En Espantildea se empiezan a dar casos como

el que afectoacute en octubre al Ayuntamiento de Jerez a traveacutes de un correo electroacutenico y bloqueoacute todos

los ordenadores Un mes antes otros consistorios espantildeoles como el de Bilbao habiacutean sido asaltados

por el mismo virus sin tanto eacutexito Los vecinos de la ciudad andaluza tuvieron que soportar durante

varios diacuteas el bloqueo de multitud de traacutemites como el padroacuten o cambios de domicilio La alcaldesa

Mamen Saacutenchez se negoacute a pagar rescate alguno

Para Jesuacutes Romero socio de consultoriacutea en ciberseguridad de PWC ldquoel riesgo tecnoloacutegico cada

vez tiene maacutes peso y hay un punto clave ademaacutes de prepararse para proteger sus activos ahora

la empresa tiene que estar preparada para responder Es importante que sea resiliente a un

ataque que sepa actuar y remediarlo cuanto antes porque el tiempo es fundamentalrdquo Como

otros consultados insiste en que la seguridad absoluta ldquono existerdquo ldquoCada compantildeiacutea debe saber el

riesgo residual con el que puede convivir para garantizar la continuidad de las operaciones la

proteccioacuten de su marca y la informacioacuten de sus clientesrdquo

Xabier Mitxelena responsable de Accenture Security en Espantildea pone un ejemplo muy graacutefico ldquoSi

entras en el metro con tu hijo y ves algo parecido a un bocadillo envuelto en papel lo primero que

le dices es que no lo coja Pero cuando vamos a cualquier sitio lo primero que hacemos es buscar

la wifi sin saber si es segurardquo

Suerte que en este caso la regulacioacuten tira del desarrollo de la seguridad informaacutetica La decena

larga de expertos consultados citan el Reglamento Europeo de Ciberseguridad el Reglamento

General de Proteccioacuten de Datos o la Ley de Seguridad Privada junto a un puntildeado de reales

decretos reglamentos e instrucciones teacutecnicas que han cambiado la visioacuten del problema desde

los consejos de administracioacuten ldquoCuando empeceacute en esto intentaba hacer ver que la seguridad no

es un concepto tecnoloacutegico que si haces bien las cosas tienes una ventaja de calidad Hasta

iquestCoacutemo debe afrontar el sector sanitario estos problemas Xabier Mitxelena de Accenture cree que

ldquoes un objetivo faacutecil porque tiene muchas puertas de entradardquo La consultora hace simulaciones

perioacutedicas en hospitales y sentildeala que como sector criacutetico las empresas ldquotienen que tomarse maacutes en

serio los riesgos de la tecnologiacuteardquo En especial habla de la ldquosensibilizacioacuten de los meacutedicosrdquo y de la

importancia de establecer comunicaciones seguras Marco Merino responsable de tecnologiacutea de la

empresa genoacutemica Veritas Intercontinental observa dos derivadas del problema La primera se refiere

a los datos personales sobre salud ldquoSu exposicioacuten es muy grave y puede ser utilizada con malicia con

una finalidad de chantaje o como herramienta de presioacuten sobre ciertos colectivos Esto genera

millones de peacuterdidas anuales como se puede comprobar en los informes del sectorrdquo En segundo lugar

estaacute la informacioacuten cliacutenica que las empresas utilizan para la investigacioacuten y desarrollo de nuevos

faacutermacos ldquoEstamos por tanto en una situacioacuten de espionaje industrial Por fortuna ya existen

modelos muy evolucionados de proteccioacutenrdquo

Los servicios puacuteblicos

En el sector puacuteblico la cuestioacuten es parecida La informacioacuten de varios Ayuntamientos en Estados

Unidos (desde Baltimore hasta Atlanta o Nueva Jersey pero tambieacuten ciudades pequentildeas como Riviera

Beach y Lake City) ya ha sido saqueada por ciberdelincuentes y algunas de estas ciudades han optado

por pagar un rescate para poder atender a sus ciudadanos En Espantildea se empiezan a dar casos como

el que afectoacute en octubre al Ayuntamiento de Jerez a traveacutes de un correo electroacutenico y bloqueoacute todos

los ordenadores Un mes antes otros consistorios espantildeoles como el de Bilbao habiacutean sido asaltados

por el mismo virus sin tanto eacutexito Los vecinos de la ciudad andaluza tuvieron que soportar durante

varios diacuteas el bloqueo de multitud de traacutemites como el padroacuten o cambios de domicilio La alcaldesa

Mamen Saacutenchez se negoacute a pagar rescate alguno

Para Jesuacutes Romero socio de consultoriacutea en ciberseguridad de PWC ldquoel riesgo tecnoloacutegico cada

vez tiene maacutes peso y hay un punto clave ademaacutes de prepararse para proteger sus activos ahora

la empresa tiene que estar preparada para responder Es importante que sea resiliente a un

ataque que sepa actuar y remediarlo cuanto antes porque el tiempo es fundamentalrdquo Como

otros consultados insiste en que la seguridad absoluta ldquono existerdquo ldquoCada compantildeiacutea debe saber el

riesgo residual con el que puede convivir para garantizar la continuidad de las operaciones la

proteccioacuten de su marca y la informacioacuten de sus clientesrdquo

Xabier Mitxelena responsable de Accenture Security en Espantildea pone un ejemplo muy graacutefico ldquoSi

entras en el metro con tu hijo y ves algo parecido a un bocadillo envuelto en papel lo primero que

le dices es que no lo coja Pero cuando vamos a cualquier sitio lo primero que hacemos es buscar

la wifi sin saber si es segurardquo

Suerte que en este caso la regulacioacuten tira del desarrollo de la seguridad informaacutetica La decena

larga de expertos consultados citan el Reglamento Europeo de Ciberseguridad el Reglamento

General de Proteccioacuten de Datos o la Ley de Seguridad Privada junto a un puntildeado de reales

decretos reglamentos e instrucciones teacutecnicas que han cambiado la visioacuten del problema desde

los consejos de administracioacuten ldquoCuando empeceacute en esto intentaba hacer ver que la seguridad no

es un concepto tecnoloacutegico que si haces bien las cosas tienes una ventaja de calidad Hasta

ahora habiacuteamos construido una seguridad reactiva intentando proteger el periacutemetro de la

empresa con barreras pero ese periacutemetro ha cambiado y ha subido la valoracioacuten del dato como

elemento diferenciador de la competitividad de la empresardquo dice Mitxelena Al menos las grandes

compantildeiacuteas dicen tener integrada la seguridad como un elemento embebido en el negocio y no

como un coste o una unidad separada del resto Tienen muchos maacutes recursos y estaacuten dispuestas

a apostar por la ciberseguridad porque ademaacutes saben que a la larga les supondraacute un ahorro y

puede que les ofrezca ventajas frente a competidores Seguacuten un estudio mundial de Accenture

publicado el antildeo pasado los ataques que terminan con eacutexito causan peacuterdidas medias de ocho

millones de euros por compantildeiacutea en Espantildea En Estados Unidos el botiacuten sube a 22 millones

Lecciones aprendidas

Las consultoras recomiendan ademaacutes de concienciacioacuten poner a prueba la capacidad de las

empresas con simulacros perioacutedicos y anaacutelisis continuos Es algo habitual en las grandes del Ibex

y en algunos sectores que tambieacuten son muy sensibles como el farmaceacuteutico Y si ocurre el

desastre hay que cruzar los dedos y no entrar en paacutenico

Telefoacutenica ha aprendido del incidente que vivioacute en la mantildeana del 12 de mayo de 2017 cuando

sufrioacute el golpe del ransomware llamado Wannacry Hoy Juan Carlos Goacutemez director global de

ciberinteligencia de la compantildeiacutea explica que la alta direccioacuten estaacute muy concienciada con este

tema Su organizacioacuten integra la seguridad dentro del mismo paraguas y combina distintas

herramientas desde las que ofrecen proveedores externos hasta las desarrolladas en la compantildeiacutea

o cada vez maacutes las que obtienen de las start-ups donde invierten Su red dice Goacutemez es global y

se apoya en 15 centros situados en los paiacuteses donde opera ldquoTenemos un gran volumen de activos

a proteger hacemos un gran esfuerzo en la concienciacioacuten de los empleados porque por muchas

medidas que tengas alguien puede hacer un clic y propagar un ataquerdquo Esa seguridad apoya

Fernando Anaya ldquodebe ser multicapa no hay una solucioacuten uacutenica ni una sola tecnologiacutea sino un

procesordquo Lo mismo opina Carmen Dufur directora de ese aacuterea de la consultora Capgemini ldquoEn

nuestro caso trabajamos 4000 personas en ciberseguridad en todo el mundo y eso crea una gran

comunidad que ayuda a generar inteligencia que al final es un gran valor antildeadidordquo

En la cadena Mango por ejemplo tienen lo que llaman ldquoembajadores de seguridadrdquo empleados

de la compantildeiacutea que no son informaacuteticos pero que estaacuten atentos a lo que pasa en cada

departamento ldquoCuando lanzamos la medida nos sorprendioacute el nuacutemero de personas que se

Riesgos que las organizaciones consideran

maacutes relevantes y estaacuten trabajando para mitigar

En

Encuesta realizada por McKinsey entre sus directivos

62Ciberseguridad

Cumplimiento normativo

Privacidad personal

Inteligencia artificial

Desplazamientos de empleados

Reputacioacuten de la organizacioacuten

Capitalizacioacuten de la empresa

Seguridad fiacutesica

Seguridad nacional

Estabilidad poliacutetica

No sabeno contesta

50

45

39

35

34

26

16

9

7

9

La ciberseguridad en las empresas espantildeolas

Porcentaje de empresas que la han implementado o

lo haraacuten en los proacuteximos dos antildeos

Por nuacutemero de empleados

0 100

Menos de 30

De 30 a 60

De 60 a 150

De 150 a 300

De 300 a 600

De 600 a 3000

Maacutes de 3000

TOTAL

91

91

84

94

94

100

100

93

Fuente McKinsey y Deloitte

C AYUSO EL PAIacuteS

presentaban voluntariasrdquo En el textil los esfuerzos se concentran en la cadena logiacutestica donde un

error tendriacutea impacto directo en las tiendas Otro ojo lo tienen puesto en los periodos de mayores

ventas como las rebajas o el Black Friday donde admiten haber detectado ldquoun aumento de los

intentos [de acceso indebido] de hasta un 300rdquo

Vuelta al pasado

El virus que infectoacute a Telefoacutenica y a otras muchas empresas e instituciones como el centro

nacional de salud britaacutenico no se dirigiacutea especiacuteficamente a la operadora En un solo diacutea atacoacute a

140000 maacutequinas en maacutes de 100 paiacuteses gracias a una brecha de seguridad en ordenadores con

el sistema operativo Windows no actualizado debidamente

La historia que puede no ser algo del pasado Javier Antoacuten director de ciberseguridad de Fujitsu

recuerda que Microsoft ha dejado de dar soporte hace unos diacuteas a las versiones Windows 7 y

Windows Server 2008 ldquoMuchas compantildeiacuteas que tengan sistemas basados en estas aplicaciones

se han quedado sin ese servicio y tendraacuten que migrar a otros sistemas algo que puede generar

agujeros de seguridad que seguramente van a aprovechar los cibercriminalesrdquo Es insiste una

lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera

sencilla ldquoLa pelea estaacute muy desequilibrada porque los hackers solo tienen un objetivo atacar a

una entidad definida Han pasado de ser golpes masivos a actos dirigidos personalizados Si

quieren atacar a alguien solo tienen que esperar su momento porque nadie estaacute actualizado al

100 en cuanto a parches o soporte de operacionesrdquo Cuando esto ocurre el pago siempre se

reclama en forma de criptomonedas para no dejar rastro Y aunque no hay ninguna norma que

prohiacuteba ceder a la extorsioacuten los expertos recomiendan no hacerlo nunca ldquoa menos que toda tu

compantildeiacutea esteacute en riesgo de desaparicioacutenrdquo matiza Antoacuten Narbona recuerda que aun asiacute puede ser

completamente inuacutetil pagar no garantiza que te devuelvan los datos O que lo vuelvan a intentar

en el futuro

El uacuteltimo recurso

Cuando todo falla entran en juego las aseguradoras que han desarrollado maacutes y maacutes productos

especiacuteficos Todas las grandes desde Mapfre hasta Zurich Axa AIG o Generali han entrado en

este negocio En Allianz por ejemplo aseguran que sus productos no solo sirven para proteger a

pymes y autoacutenomos sino que se enfocan cada vez maacutes a ldquouna estrategia preventivardquo del

ciberdelito Muchas poacutelizas cubren desde la certificacioacuten forense (el peritaje sobre los dantildeos

informaacuteticos) hasta planes de recuperacioacuten de las funciones del negocio o asesoramiento y

defensa juriacutedica frente a la extorsioacuten o el borrado de la huella digital Pero nada sale gratis Un

informe de Kaspersky citado por el Incibe valora en 33700 euros el presupuesto medio que

necesitariacutea una pyme para resolver un problema de seguridad como fugas de datos fraude o

ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten

legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa

Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola

en este sector superada a menudo por las ofertas que realizan grandes consultoras

internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600

firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago

Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y

no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean

autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni

posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las

soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las

mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten

puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez

directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta

demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como

los malos

CONSEJOS PARA PYMES

Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus

recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel

Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios

para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas

preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos

procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo

Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten

ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para

restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme

Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo

Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan

en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos

inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean

cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no

abran correos desconocidos

Se adhiere a los criterios de

Maacutes informacioacuten gt

En la cadena Mango por ejemplo tienen lo que llaman ldquoembajadores de seguridadrdquo empleados

de la compantildeiacutea que no son informaacuteticos pero que estaacuten atentos a lo que pasa en cada

departamento ldquoCuando lanzamos la medida nos sorprendioacute el nuacutemero de personas que se

Riesgos que las organizaciones consideran

maacutes relevantes y estaacuten trabajando para mitigar

En

Encuesta realizada por McKinsey entre sus directivos

62Ciberseguridad

Cumplimiento normativo

Privacidad personal

Inteligencia artificial

Desplazamientos de empleados

Reputacioacuten de la organizacioacuten

Capitalizacioacuten de la empresa

Seguridad fiacutesica

Seguridad nacional

Estabilidad poliacutetica

No sabeno contesta

50

45

39

35

34

26

16

9

7

9

La ciberseguridad en las empresas espantildeolas

Porcentaje de empresas que la han implementado o

lo haraacuten en los proacuteximos dos antildeos

Por nuacutemero de empleados

0 100

Menos de 30

De 30 a 60

De 60 a 150

De 150 a 300

De 300 a 600

De 600 a 3000

Maacutes de 3000

TOTAL

91

91

84

94

94

100

100

93

Fuente McKinsey y Deloitte

C AYUSO EL PAIacuteS

presentaban voluntariasrdquo En el textil los esfuerzos se concentran en la cadena logiacutestica donde un

error tendriacutea impacto directo en las tiendas Otro ojo lo tienen puesto en los periodos de mayores

ventas como las rebajas o el Black Friday donde admiten haber detectado ldquoun aumento de los

intentos [de acceso indebido] de hasta un 300rdquo

Vuelta al pasado

El virus que infectoacute a Telefoacutenica y a otras muchas empresas e instituciones como el centro

nacional de salud britaacutenico no se dirigiacutea especiacuteficamente a la operadora En un solo diacutea atacoacute a

140000 maacutequinas en maacutes de 100 paiacuteses gracias a una brecha de seguridad en ordenadores con

el sistema operativo Windows no actualizado debidamente

La historia que puede no ser algo del pasado Javier Antoacuten director de ciberseguridad de Fujitsu

recuerda que Microsoft ha dejado de dar soporte hace unos diacuteas a las versiones Windows 7 y

Windows Server 2008 ldquoMuchas compantildeiacuteas que tengan sistemas basados en estas aplicaciones

se han quedado sin ese servicio y tendraacuten que migrar a otros sistemas algo que puede generar

agujeros de seguridad que seguramente van a aprovechar los cibercriminalesrdquo Es insiste una

lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera

sencilla ldquoLa pelea estaacute muy desequilibrada porque los hackers solo tienen un objetivo atacar a

una entidad definida Han pasado de ser golpes masivos a actos dirigidos personalizados Si

quieren atacar a alguien solo tienen que esperar su momento porque nadie estaacute actualizado al

100 en cuanto a parches o soporte de operacionesrdquo Cuando esto ocurre el pago siempre se

reclama en forma de criptomonedas para no dejar rastro Y aunque no hay ninguna norma que

prohiacuteba ceder a la extorsioacuten los expertos recomiendan no hacerlo nunca ldquoa menos que toda tu

compantildeiacutea esteacute en riesgo de desaparicioacutenrdquo matiza Antoacuten Narbona recuerda que aun asiacute puede ser

completamente inuacutetil pagar no garantiza que te devuelvan los datos O que lo vuelvan a intentar

en el futuro

El uacuteltimo recurso

Cuando todo falla entran en juego las aseguradoras que han desarrollado maacutes y maacutes productos

especiacuteficos Todas las grandes desde Mapfre hasta Zurich Axa AIG o Generali han entrado en

este negocio En Allianz por ejemplo aseguran que sus productos no solo sirven para proteger a

pymes y autoacutenomos sino que se enfocan cada vez maacutes a ldquouna estrategia preventivardquo del

ciberdelito Muchas poacutelizas cubren desde la certificacioacuten forense (el peritaje sobre los dantildeos

informaacuteticos) hasta planes de recuperacioacuten de las funciones del negocio o asesoramiento y

defensa juriacutedica frente a la extorsioacuten o el borrado de la huella digital Pero nada sale gratis Un

informe de Kaspersky citado por el Incibe valora en 33700 euros el presupuesto medio que

necesitariacutea una pyme para resolver un problema de seguridad como fugas de datos fraude o

ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten

legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa

Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola

en este sector superada a menudo por las ofertas que realizan grandes consultoras

internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600

firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago

Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y

no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean

autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni

posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las

soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las

mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten

puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez

directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta

demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como

los malos

CONSEJOS PARA PYMES

Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus

recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel

Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios

para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas

preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos

procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo

Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten

ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para

restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme

Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo

Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan

en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos

inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean

cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no

abran correos desconocidos

Se adhiere a los criterios de

Maacutes informacioacuten gt

presentaban voluntariasrdquo En el textil los esfuerzos se concentran en la cadena logiacutestica donde un

error tendriacutea impacto directo en las tiendas Otro ojo lo tienen puesto en los periodos de mayores

ventas como las rebajas o el Black Friday donde admiten haber detectado ldquoun aumento de los

intentos [de acceso indebido] de hasta un 300rdquo

Vuelta al pasado

El virus que infectoacute a Telefoacutenica y a otras muchas empresas e instituciones como el centro

nacional de salud britaacutenico no se dirigiacutea especiacuteficamente a la operadora En un solo diacutea atacoacute a

140000 maacutequinas en maacutes de 100 paiacuteses gracias a una brecha de seguridad en ordenadores con

el sistema operativo Windows no actualizado debidamente

La historia que puede no ser algo del pasado Javier Antoacuten director de ciberseguridad de Fujitsu

recuerda que Microsoft ha dejado de dar soporte hace unos diacuteas a las versiones Windows 7 y

Windows Server 2008 ldquoMuchas compantildeiacuteas que tengan sistemas basados en estas aplicaciones

se han quedado sin ese servicio y tendraacuten que migrar a otros sistemas algo que puede generar

agujeros de seguridad que seguramente van a aprovechar los cibercriminalesrdquo Es insiste una

lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera

sencilla ldquoLa pelea estaacute muy desequilibrada porque los hackers solo tienen un objetivo atacar a

una entidad definida Han pasado de ser golpes masivos a actos dirigidos personalizados Si

quieren atacar a alguien solo tienen que esperar su momento porque nadie estaacute actualizado al

100 en cuanto a parches o soporte de operacionesrdquo Cuando esto ocurre el pago siempre se

reclama en forma de criptomonedas para no dejar rastro Y aunque no hay ninguna norma que

prohiacuteba ceder a la extorsioacuten los expertos recomiendan no hacerlo nunca ldquoa menos que toda tu

compantildeiacutea esteacute en riesgo de desaparicioacutenrdquo matiza Antoacuten Narbona recuerda que aun asiacute puede ser

completamente inuacutetil pagar no garantiza que te devuelvan los datos O que lo vuelvan a intentar

en el futuro

El uacuteltimo recurso

Cuando todo falla entran en juego las aseguradoras que han desarrollado maacutes y maacutes productos

especiacuteficos Todas las grandes desde Mapfre hasta Zurich Axa AIG o Generali han entrado en

este negocio En Allianz por ejemplo aseguran que sus productos no solo sirven para proteger a

pymes y autoacutenomos sino que se enfocan cada vez maacutes a ldquouna estrategia preventivardquo del

ciberdelito Muchas poacutelizas cubren desde la certificacioacuten forense (el peritaje sobre los dantildeos

informaacuteticos) hasta planes de recuperacioacuten de las funciones del negocio o asesoramiento y

defensa juriacutedica frente a la extorsioacuten o el borrado de la huella digital Pero nada sale gratis Un

informe de Kaspersky citado por el Incibe valora en 33700 euros el presupuesto medio que

necesitariacutea una pyme para resolver un problema de seguridad como fugas de datos fraude o

ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten

legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa

Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola

en este sector superada a menudo por las ofertas que realizan grandes consultoras

internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600

firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago

Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y

no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean

autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni

posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las

soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las

mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten

puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez

directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta

demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como

los malos

CONSEJOS PARA PYMES

Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus

recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel

Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios

para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas

preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos

procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo

Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten

ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para

restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme

Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo

Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan

en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos

inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean

cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no

abran correos desconocidos

Se adhiere a los criterios de

Maacutes informacioacuten gt

ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten

legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa

Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola

en este sector superada a menudo por las ofertas que realizan grandes consultoras

internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600

firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago

Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y

no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean

autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni

posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las

soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las

mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten

puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez

directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta

demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como

los malos

CONSEJOS PARA PYMES

Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus

recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel

Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios

para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas

preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos

procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo

Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten

ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para

restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme

Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo

Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan

en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos

inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean

cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no

abran correos desconocidos

Se adhiere a los criterios de

Maacutes informacioacuten gt

NEWSLETTER

Recibe la mejor informacioacuten en tubandeja de entrada

Virus informaacuteticos middot Hacker middot Delitos informaacuteticos middot Seguridad internet middot Internet middot Empresas middot Delitos

middot Telecomunicaciones middot Economiacutea middot Comunicaciones middot Justicia

CONTENIDO PATROCINADO

Y ADEMAacuteS

recomendado por

ARCHIVADO EN

Desde 4299 euro DE Barcelona AGranada

VUELING ES

From pound2309 From BarcelonaTo Paris

VUELING UK

Configura el SUV maacutes Vendidoen Espantildea en 2019 desde18500euro

NISSAN

Compantildeeros de trabajotiranos estos son loscomportamientos quehellip

RETINA

Una tuitera arrasa en redes alcontar coacutemo fue su entrevistaenhellip

EPIK

La isla de las tentacionesAndrea explota ante loshellip

TIKITAKAS