Ciberataques que matan a las empresas · Y alertaba de que la mayoría de las empresas españolas...
Transcript of Ciberataques que matan a las empresas · Y alertaba de que la mayoría de las empresas españolas...
Ciberataques que matan a las empresasLas alertas de seguridad informaacuteticas que ponen en jaque a las compantildeiacuteascomienzan a ser moneda habitual en un mundo hiperconectado
Madrid - 16 FEB 2020 - 0038 CET
Odian contarlo pero las empresas se estaacuten viendo obligadas a admitir lo que pasa en sus
sistemas informaacuteticos Y suelen ser historias espeluznantes Esta misma semana Quest
Diagnostics un laboratorio cliacutenico estadounidense que forma parte de las 500 mayores empresas
de ese paiacutes ha informado de que los datos de 119 millones de pacientes (incluidas tarjetas de
creacutedito y cuentas bancarias) estuvieron ocho meses expuestos por el error de seguridad de un
proveedor Hace unos diacuteas Travelex Holdings una empresa con sede en Londres suspendioacute sus
servicios en 30 paiacuteses por otro agujero en sus sistemas seguacuten Bloomberg En Espantildea se han
vivido casos muy llamativos en los uacuteltimos tiempos como el hackeo en Prosegur a finales de
noviembre o el que obligoacute a la suspensioacuten de la programacioacuten local en la cadena SER (del grupo
PRISA) ese mismo mes por un ataque de ransom ware un encriptador de archivos que tambieacuten
afectoacute a la consultora Everis o el que infectoacute al hospital universitario de Torrejoacuten de Ardoz el mes
MARIacuteA FERNAacuteNDEZ
Vista de una empresa del distrito financiero de Madrid VIacuteCTOR SAINZ
pasado e inutilizoacute sus ordenadores y las pantallas de las salas de espera (y obligoacute a sus empleados
a volver al laacutepiz y al papel)
Los datos que se suponiacutea que eran la nueva mina de oro con la digitalizacioacuten tambieacuten son
municioacuten para la ciberdelincuencia un negocio cada vez maacutes lucrativo y devastador Seguacuten las
cifras de la consultora Gartner el gasto en seguridad empresarial mundial alcanzoacute los 124000
millones de doacutelares en 2019 un 8 maacutes respecto a 2017 El Observatorio Espantildeol de Delitos
Informaacuteticos constata que los fraudes las falsificaciones los accesos iliacutecitos o las violaciones de
propiedad industrial tanto a particulares como a empresas se han disparado hasta los 110613
casos detectados en 2018 (uacuteltimas cifras disponibles) Cuatro antildeos antes no llegaban a los
50000 El Instituto Nacional de Ciberseguridad (Incibe) gestiona maacutes de 100000 incidentes al
antildeo de empresas y particulares de los que unos 700 corresponden a operadores estrateacutegicos
(desde eleacutectricas hasta empresas de telecomunicaciones puertoshellip) Casi 5000 personas han
sido detenidas o son investigadas por delitos relacionados con el cibercrimen en el paiacutes seguacuten
Statista
En suma miles de vulnerabilidades son descubiertas cada mes algo que va en aumento Pilar
Loacutepez presidenta de Microsoft Espantildea deciacutea hace un par de semanas en una charla en Esade que
la amenaza de la ciberdelincuencia ldquoes maacutes real que nuncardquo Y alertaba de que la mayoriacutea de las
empresas espantildeolas no estaacuten preparadas para responder a un ciberataque que pueda paralizarlas
por completo ldquoAfortunadamente estamos avanzando y cada vez se tarda menos en detectarlo
Las empresas tienen que aprender a protegerse y disentildear un plan global de seguridadrdquo Cierto es
que su compantildeiacutea vende productos para ello pero tambieacuten lo es que la alerta no solo proviene del
PUBLICIDAD
Ads by Teads
sector Ana Botiacuten presidenta del Banco Santander mencionoacute la ciberproteccioacuten como uno de ldquolos
mayores retos socialesrdquo el pasado verano durante la junta de accionistas de la plataforma
educativa Universia ldquoEs importante saber doacutende se ha cometido el robo pero tambieacuten quieacuten es el
responsablerdquo apuntoacute Porque los delincuentes estaacuten por todas partes a veces tienen el apoyo de
sus propios Estados y es difiacutecil sentarlos en el banquillo
En la firma de seguridad S21Sec tienen monitorizadas algunas bandas que han logrado ingresos
de maacutes de 50 millones de euros ldquoEs un negocio redondo hay estudios sobre la rentabilidad de las
organizaciones que hablan de retornos del 2000rdquo sentildeala Jorge Hurtado su vicepresidente de
Servicios Gestionados ldquoLo que hace 15 antildeos era una persona en un garaje hoy son equipos de
La ciberseguridad en el mundo
Coste medio de cada ataque completado
en millones de doacutelares
El coste del cibercrimen
2017 2018
18371655Banca
Ser puacuteblicos
Software
Automocioacuten
Seguros
Tecnologiacutea
Inversioacuten
Energiacutea
B de consumo
Salud
Distribucioacuten
Comunicacioacuten
Viajes
Sector puacuteblico
1511 1784
1446 1604
1070 1578
1293 1576
1290 1469
1056 1392
1321 1377
809 1191
1182 1286
904 1143
755 921
461 815
791658
5 10 15 200
Por paiacuteses
En 2018
Canadaacute
925R Unido
1146
Alemania
1312Japoacuten
1357Francia
972
Italia
801Espantildea
816EE UU
2237Singapur
932Brasil
724
Australia
679
Fuente Accenture
C AYUSO EL PAIacuteS
cientos de personas con herramientas propias y un montoacuten de recursos a su alcancerdquo En Internet
se anuncian sin impunidad supuestas ldquoempresasrdquo que ofrecen servicios completamente ilegales
ldquoMuchos clientes nos preguntan si es posible hackear un teleacutefono un whatsapp una red socialhellip a
lo que respondemos siempre que siacute todo sistema es vulnerable y con los conocimientos y
herramientas adecuados puede ser hackeadordquo anuncian en una de ellas
Joseacute Luis Narbona profesor asociado de criminaliacutestica en la Universidad de Alcalaacute y presidente de
la Asociacioacuten Nacional de Ciberseguridad no quiere sonar alarmista pero menciona que Espantildea
estaacute a antildeos luz de lo que necesita en inversioacuten y conciencia sobre este tema ldquoTodo parte de una
cuestioacuten econoacutemica y se ha convertido en una guerra global El incremento de ataques a
empresas espantildeolas es bastante alto e inversamente proporcional al gasto que realizan para
garantizar la confidencialidad de los datosrdquo Una inversioacuten que a menudo es pobre dispersa y casi
siempre tiene un sentido de urgencia que la hace inuacutetil para construir una verdadera estrategia de
negocio
Fraudes silenciosos
Lorenzo Martiacutenez fundador de Securizame y perito judicial en delitos informaacuteticos ha visto
solicitudes de rescate de datos provocadas por ransomware en pymes de 3000 10000 y hasta
12000 euros (en empresas mayores pueden pasar de los 100000) Tambieacuten ha visto coacutemo
muchos negocios medianos y pequentildeos se ven desarmados (sin acceso a todos sus sistemas) y
acceden al chantaje de los criminales cuando se dan cuenta de que estaacuten en un callejoacuten sin salida
Algunos incluso despueacutes de aguantar un mes buscando alternativas ldquoTambieacuten se dan estafas
como el llamado timo al CEO de cientos de miles de eurosrdquo Esto uacuteltimo es maacutes sofisticado
Imagine a un directivo que tiene que pagar una factura a un proveedor habitual y recibe un correo
LUIS TINOCO
electroacutenico mdash aparentementemdash de ese proveedor que le pide que esta vez haga el ingreso en otra
cuenta bancaria Lo solicita en un correo electroacutenico cordial utilizando un lenguaje adecuado y
dirigieacutendose a eacutel por su nombre y apellidos El ejecutivo confiacutea cambia el destino del dinerohellip y lo
pierde Por verguumlenza muchas veces estas torpezas se ocultan y no se denuncian Grave error
Fernando Anaya director para Espantildea de Proofpoint avisa que el 93 de los ataques utilizan el
correo electroacutenico como puerta de entrada ldquode ahiacute la importancia de concienciar a los
empleadosrdquo
La ciberdelincuencia ataca a todos los sectores y estaacute en todos los niveles aunque algunos
negocios son maacutes vulnerables que otros La banca por descontado es el nuacutemero uno de la diana
Por tipo de ataque
En 2018
Software dantildeino (Malware)
Ataques a la web
Denegacioacuten de servicio
Filtraciones internas
Ingenieriacutea social
Coacutedigo dantildeino
Dispositivos robados
Ransomware
Ataques de Bots
26
23
17
16
14
14
1
06
04
00 05 10 15 20 25 30
Por consecuencias del ataque
En 2018
596
5
4
3
2
1
0
Informacioacuten
perdida50
37 Interrupcioacuten
del negocio
Beneficios
perdidos27
Equipos
dantildeados
2015 2016 2017 2018
Fuente Accenture
C AYUSO EL PAIacuteS
Tambieacuten la que maacutes invierte en proteccioacuten La Reserva Federal americana (Fed) lo puso de
manifiesto el pasado martes El ataque a uno de los mayores bancos de Estados Unidos podriacutea
afectar al 38 del sistema financiero de ese paiacutes seguacuten sus caacutelculos El personal de la Fed hizo el
ejercicio de queacute pasariacutea si una gran entidad fuese bloqueada y no pudiese realizar pagos y cobros
durante solo un diacutea el contagio seriacutea inmediato el resto de las entidades intentariacutean apalancar su
liquidez y 4 de cada 10 doacutelares del sistema quedariacutean bloqueados
No es ciencia-ficcioacuten Un informe de McKinsey cita que desde 2013 los llamados ldquoataques
Carbanakrdquo (robos basados en malware) han costado a la banca mundial 1000 millones de
doacutelares En ellos cometidos por al menos tres bandas criminales como despueacutes se acreditoacute los
ladrones demostraron tener un conocimiento sofisticado del entorno digital y entender los
procesos bancarios asiacute como las brechas de seguridad para llegar a cajeros automaacuteticos tarjetas
de creacutedito y transferencias Estas acciones que afectaron a un buen nuacutemero de bancos rusos
tambieacuten dejaron al descubierto la cada vez maacutes difusa relacioacuten entre ciberataques fraudes y
delitos financieros Joseacute Luis Martiacutenez Campuzano portavoz de la patronal bancaria espantildeola
(AEB) cree que ldquoa medida que los bancos fortalecen sus barreras de proteccioacuten los ciberataques
derivan hacia el eslaboacuten maacutes deacutebil de la cadena el cliente a traveacutes de phishing vishing smishingrdquo
Es el mal de este tiempo sociedades maacutes digitalizadas y a la vez maacutes desnudas ante el ciberdelito
Quizaacute por ello las encuestas muestran un derroche de voluntad Un estudio realizado por Willis
Towers Watson y ESI ThoughtLab presentado en Madrid esta semana cita que organizaciones de
todo el mundo quieren aumentar sus inversiones en ciberseguridad un 34 durante el proacuteximo
antildeo y cerca del 12 lo haraacuten en maacutes de un 50 Pero quien crea que el dinero arregla el
problema se equivoca Sin soluciones integrales en todos los niveles del negocio la respuesta
fallaraacute seguacuten los expertos
LA SALUD EL PUNTO DEacuteBIL
Ocurrioacute en un reciente congreso del sector Un responsable de seguridad de una empresa
estadounidense contoacute a un profesional espantildeol la enorme preocupacioacuten que hay en su paiacutes por los
ataques a centros sanitarios Y no como se podriacutea pensar por el simple secuestro o robo de datos
ldquoHablaba de que temen por ejemplo que una manipulacioacuten de los historiales pueda cambiar el grupo
sanguiacuteneo de los pacientes Solo eso podriacutea tener consecuencias catastroacuteficasrdquo relata el receptor de
la confidencia Una serie de ataques registrados a mediados de 2017 en el sector de fabricantes de
medicamentos ya puso en guardia a las farmaceacuteuticas aunque eso no ha evitado que se sigan dando
casos Bayer reconocioacute hace dos semanas que un malware llamado Winnti se infiltroacute en sus
ordenadores el antildeo pasado Su unidad de defensa limpioacute los sistemas afectados y no encontroacute
pruebas de la fuga de datos pero Costin Raiu director de su equipo de seguridad reconocioacute que ldquosoacutelo
porque una empresa haya evitado con eacutexito un episodio no significa que el grupo de criminales que
esteacuten detraacutes de Winnti no lo vuelva a intentarrdquo
iquestCoacutemo debe afrontar el sector sanitario estos problemas Xabier Mitxelena de Accenture cree que
ldquoes un objetivo faacutecil porque tiene muchas puertas de entradardquo La consultora hace simulaciones
perioacutedicas en hospitales y sentildeala que como sector criacutetico las empresas ldquotienen que tomarse maacutes en
serio los riesgos de la tecnologiacuteardquo En especial habla de la ldquosensibilizacioacuten de los meacutedicosrdquo y de la
importancia de establecer comunicaciones seguras Marco Merino responsable de tecnologiacutea de la
empresa genoacutemica Veritas Intercontinental observa dos derivadas del problema La primera se refiere
a los datos personales sobre salud ldquoSu exposicioacuten es muy grave y puede ser utilizada con malicia con
una finalidad de chantaje o como herramienta de presioacuten sobre ciertos colectivos Esto genera
millones de peacuterdidas anuales como se puede comprobar en los informes del sectorrdquo En segundo lugar
estaacute la informacioacuten cliacutenica que las empresas utilizan para la investigacioacuten y desarrollo de nuevos
faacutermacos ldquoEstamos por tanto en una situacioacuten de espionaje industrial Por fortuna ya existen
modelos muy evolucionados de proteccioacutenrdquo
Los servicios puacuteblicos
En el sector puacuteblico la cuestioacuten es parecida La informacioacuten de varios Ayuntamientos en Estados
Unidos (desde Baltimore hasta Atlanta o Nueva Jersey pero tambieacuten ciudades pequentildeas como Riviera
Beach y Lake City) ya ha sido saqueada por ciberdelincuentes y algunas de estas ciudades han optado
por pagar un rescate para poder atender a sus ciudadanos En Espantildea se empiezan a dar casos como
el que afectoacute en octubre al Ayuntamiento de Jerez a traveacutes de un correo electroacutenico y bloqueoacute todos
los ordenadores Un mes antes otros consistorios espantildeoles como el de Bilbao habiacutean sido asaltados
por el mismo virus sin tanto eacutexito Los vecinos de la ciudad andaluza tuvieron que soportar durante
varios diacuteas el bloqueo de multitud de traacutemites como el padroacuten o cambios de domicilio La alcaldesa
Mamen Saacutenchez se negoacute a pagar rescate alguno
Para Jesuacutes Romero socio de consultoriacutea en ciberseguridad de PWC ldquoel riesgo tecnoloacutegico cada
vez tiene maacutes peso y hay un punto clave ademaacutes de prepararse para proteger sus activos ahora
la empresa tiene que estar preparada para responder Es importante que sea resiliente a un
ataque que sepa actuar y remediarlo cuanto antes porque el tiempo es fundamentalrdquo Como
otros consultados insiste en que la seguridad absoluta ldquono existerdquo ldquoCada compantildeiacutea debe saber el
riesgo residual con el que puede convivir para garantizar la continuidad de las operaciones la
proteccioacuten de su marca y la informacioacuten de sus clientesrdquo
Xabier Mitxelena responsable de Accenture Security en Espantildea pone un ejemplo muy graacutefico ldquoSi
entras en el metro con tu hijo y ves algo parecido a un bocadillo envuelto en papel lo primero que
le dices es que no lo coja Pero cuando vamos a cualquier sitio lo primero que hacemos es buscar
la wifi sin saber si es segurardquo
Suerte que en este caso la regulacioacuten tira del desarrollo de la seguridad informaacutetica La decena
larga de expertos consultados citan el Reglamento Europeo de Ciberseguridad el Reglamento
General de Proteccioacuten de Datos o la Ley de Seguridad Privada junto a un puntildeado de reales
decretos reglamentos e instrucciones teacutecnicas que han cambiado la visioacuten del problema desde
los consejos de administracioacuten ldquoCuando empeceacute en esto intentaba hacer ver que la seguridad no
es un concepto tecnoloacutegico que si haces bien las cosas tienes una ventaja de calidad Hasta
ahora habiacuteamos construido una seguridad reactiva intentando proteger el periacutemetro de la
empresa con barreras pero ese periacutemetro ha cambiado y ha subido la valoracioacuten del dato como
elemento diferenciador de la competitividad de la empresardquo dice Mitxelena Al menos las grandes
compantildeiacuteas dicen tener integrada la seguridad como un elemento embebido en el negocio y no
como un coste o una unidad separada del resto Tienen muchos maacutes recursos y estaacuten dispuestas
a apostar por la ciberseguridad porque ademaacutes saben que a la larga les supondraacute un ahorro y
puede que les ofrezca ventajas frente a competidores Seguacuten un estudio mundial de Accenture
publicado el antildeo pasado los ataques que terminan con eacutexito causan peacuterdidas medias de ocho
millones de euros por compantildeiacutea en Espantildea En Estados Unidos el botiacuten sube a 22 millones
Lecciones aprendidas
Las consultoras recomiendan ademaacutes de concienciacioacuten poner a prueba la capacidad de las
empresas con simulacros perioacutedicos y anaacutelisis continuos Es algo habitual en las grandes del Ibex
y en algunos sectores que tambieacuten son muy sensibles como el farmaceacuteutico Y si ocurre el
desastre hay que cruzar los dedos y no entrar en paacutenico
Telefoacutenica ha aprendido del incidente que vivioacute en la mantildeana del 12 de mayo de 2017 cuando
sufrioacute el golpe del ransomware llamado Wannacry Hoy Juan Carlos Goacutemez director global de
ciberinteligencia de la compantildeiacutea explica que la alta direccioacuten estaacute muy concienciada con este
tema Su organizacioacuten integra la seguridad dentro del mismo paraguas y combina distintas
herramientas desde las que ofrecen proveedores externos hasta las desarrolladas en la compantildeiacutea
o cada vez maacutes las que obtienen de las start-ups donde invierten Su red dice Goacutemez es global y
se apoya en 15 centros situados en los paiacuteses donde opera ldquoTenemos un gran volumen de activos
a proteger hacemos un gran esfuerzo en la concienciacioacuten de los empleados porque por muchas
medidas que tengas alguien puede hacer un clic y propagar un ataquerdquo Esa seguridad apoya
Fernando Anaya ldquodebe ser multicapa no hay una solucioacuten uacutenica ni una sola tecnologiacutea sino un
procesordquo Lo mismo opina Carmen Dufur directora de ese aacuterea de la consultora Capgemini ldquoEn
nuestro caso trabajamos 4000 personas en ciberseguridad en todo el mundo y eso crea una gran
comunidad que ayuda a generar inteligencia que al final es un gran valor antildeadidordquo
En la cadena Mango por ejemplo tienen lo que llaman ldquoembajadores de seguridadrdquo empleados
de la compantildeiacutea que no son informaacuteticos pero que estaacuten atentos a lo que pasa en cada
departamento ldquoCuando lanzamos la medida nos sorprendioacute el nuacutemero de personas que se
Riesgos que las organizaciones consideran
maacutes relevantes y estaacuten trabajando para mitigar
En
Encuesta realizada por McKinsey entre sus directivos
62Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputacioacuten de la organizacioacuten
Capitalizacioacuten de la empresa
Seguridad fiacutesica
Seguridad nacional
Estabilidad poliacutetica
No sabeno contesta
50
45
39
35
34
26
16
9
7
9
La ciberseguridad en las empresas espantildeolas
Porcentaje de empresas que la han implementado o
lo haraacuten en los proacuteximos dos antildeos
Por nuacutemero de empleados
0 100
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3000
Maacutes de 3000
TOTAL
91
91
84
94
94
100
100
93
Fuente McKinsey y Deloitte
C AYUSO EL PAIacuteS
presentaban voluntariasrdquo En el textil los esfuerzos se concentran en la cadena logiacutestica donde un
error tendriacutea impacto directo en las tiendas Otro ojo lo tienen puesto en los periodos de mayores
ventas como las rebajas o el Black Friday donde admiten haber detectado ldquoun aumento de los
intentos [de acceso indebido] de hasta un 300rdquo
Vuelta al pasado
El virus que infectoacute a Telefoacutenica y a otras muchas empresas e instituciones como el centro
nacional de salud britaacutenico no se dirigiacutea especiacuteficamente a la operadora En un solo diacutea atacoacute a
140000 maacutequinas en maacutes de 100 paiacuteses gracias a una brecha de seguridad en ordenadores con
el sistema operativo Windows no actualizado debidamente
La historia que puede no ser algo del pasado Javier Antoacuten director de ciberseguridad de Fujitsu
recuerda que Microsoft ha dejado de dar soporte hace unos diacuteas a las versiones Windows 7 y
Windows Server 2008 ldquoMuchas compantildeiacuteas que tengan sistemas basados en estas aplicaciones
se han quedado sin ese servicio y tendraacuten que migrar a otros sistemas algo que puede generar
agujeros de seguridad que seguramente van a aprovechar los cibercriminalesrdquo Es insiste una
lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera
sencilla ldquoLa pelea estaacute muy desequilibrada porque los hackers solo tienen un objetivo atacar a
una entidad definida Han pasado de ser golpes masivos a actos dirigidos personalizados Si
quieren atacar a alguien solo tienen que esperar su momento porque nadie estaacute actualizado al
100 en cuanto a parches o soporte de operacionesrdquo Cuando esto ocurre el pago siempre se
reclama en forma de criptomonedas para no dejar rastro Y aunque no hay ninguna norma que
prohiacuteba ceder a la extorsioacuten los expertos recomiendan no hacerlo nunca ldquoa menos que toda tu
compantildeiacutea esteacute en riesgo de desaparicioacutenrdquo matiza Antoacuten Narbona recuerda que aun asiacute puede ser
completamente inuacutetil pagar no garantiza que te devuelvan los datos O que lo vuelvan a intentar
en el futuro
El uacuteltimo recurso
Cuando todo falla entran en juego las aseguradoras que han desarrollado maacutes y maacutes productos
especiacuteficos Todas las grandes desde Mapfre hasta Zurich Axa AIG o Generali han entrado en
este negocio En Allianz por ejemplo aseguran que sus productos no solo sirven para proteger a
pymes y autoacutenomos sino que se enfocan cada vez maacutes a ldquouna estrategia preventivardquo del
ciberdelito Muchas poacutelizas cubren desde la certificacioacuten forense (el peritaje sobre los dantildeos
informaacuteticos) hasta planes de recuperacioacuten de las funciones del negocio o asesoramiento y
defensa juriacutedica frente a la extorsioacuten o el borrado de la huella digital Pero nada sale gratis Un
informe de Kaspersky citado por el Incibe valora en 33700 euros el presupuesto medio que
necesitariacutea una pyme para resolver un problema de seguridad como fugas de datos fraude o
ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten
legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa
Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola
en este sector superada a menudo por las ofertas que realizan grandes consultoras
internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600
firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago
Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y
no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean
autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni
posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las
soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las
mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten
puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez
directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta
demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como
los malos
CONSEJOS PARA PYMES
Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus
recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel
Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios
para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas
preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos
procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo
Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten
ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para
restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme
Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo
Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan
en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos
inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean
cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no
abran correos desconocidos
Se adhiere a los criterios de
Maacutes informacioacuten gt
NEWSLETTER
Recibe la mejor informacioacuten en tubandeja de entrada
Virus informaacuteticos middot Hacker middot Delitos informaacuteticos middot Seguridad internet middot Internet middot Empresas middot Delitos
middot Telecomunicaciones middot Economiacutea middot Comunicaciones middot Justicia
CONTENIDO PATROCINADO
Y ADEMAacuteS
recomendado por
ARCHIVADO EN
Desde 4299 euro DE Barcelona AGranada
VUELING ES
From pound2309 From BarcelonaTo Paris
VUELING UK
Configura el SUV maacutes Vendidoen Espantildea en 2019 desde18500euro
NISSAN
Compantildeeros de trabajotiranos estos son loscomportamientos quehellip
RETINA
Una tuitera arrasa en redes alcontar coacutemo fue su entrevistaenhellip
EPIK
La isla de las tentacionesAndrea explota ante loshellip
TIKITAKAS
pasado e inutilizoacute sus ordenadores y las pantallas de las salas de espera (y obligoacute a sus empleados
a volver al laacutepiz y al papel)
Los datos que se suponiacutea que eran la nueva mina de oro con la digitalizacioacuten tambieacuten son
municioacuten para la ciberdelincuencia un negocio cada vez maacutes lucrativo y devastador Seguacuten las
cifras de la consultora Gartner el gasto en seguridad empresarial mundial alcanzoacute los 124000
millones de doacutelares en 2019 un 8 maacutes respecto a 2017 El Observatorio Espantildeol de Delitos
Informaacuteticos constata que los fraudes las falsificaciones los accesos iliacutecitos o las violaciones de
propiedad industrial tanto a particulares como a empresas se han disparado hasta los 110613
casos detectados en 2018 (uacuteltimas cifras disponibles) Cuatro antildeos antes no llegaban a los
50000 El Instituto Nacional de Ciberseguridad (Incibe) gestiona maacutes de 100000 incidentes al
antildeo de empresas y particulares de los que unos 700 corresponden a operadores estrateacutegicos
(desde eleacutectricas hasta empresas de telecomunicaciones puertoshellip) Casi 5000 personas han
sido detenidas o son investigadas por delitos relacionados con el cibercrimen en el paiacutes seguacuten
Statista
En suma miles de vulnerabilidades son descubiertas cada mes algo que va en aumento Pilar
Loacutepez presidenta de Microsoft Espantildea deciacutea hace un par de semanas en una charla en Esade que
la amenaza de la ciberdelincuencia ldquoes maacutes real que nuncardquo Y alertaba de que la mayoriacutea de las
empresas espantildeolas no estaacuten preparadas para responder a un ciberataque que pueda paralizarlas
por completo ldquoAfortunadamente estamos avanzando y cada vez se tarda menos en detectarlo
Las empresas tienen que aprender a protegerse y disentildear un plan global de seguridadrdquo Cierto es
que su compantildeiacutea vende productos para ello pero tambieacuten lo es que la alerta no solo proviene del
PUBLICIDAD
Ads by Teads
sector Ana Botiacuten presidenta del Banco Santander mencionoacute la ciberproteccioacuten como uno de ldquolos
mayores retos socialesrdquo el pasado verano durante la junta de accionistas de la plataforma
educativa Universia ldquoEs importante saber doacutende se ha cometido el robo pero tambieacuten quieacuten es el
responsablerdquo apuntoacute Porque los delincuentes estaacuten por todas partes a veces tienen el apoyo de
sus propios Estados y es difiacutecil sentarlos en el banquillo
En la firma de seguridad S21Sec tienen monitorizadas algunas bandas que han logrado ingresos
de maacutes de 50 millones de euros ldquoEs un negocio redondo hay estudios sobre la rentabilidad de las
organizaciones que hablan de retornos del 2000rdquo sentildeala Jorge Hurtado su vicepresidente de
Servicios Gestionados ldquoLo que hace 15 antildeos era una persona en un garaje hoy son equipos de
La ciberseguridad en el mundo
Coste medio de cada ataque completado
en millones de doacutelares
El coste del cibercrimen
2017 2018
18371655Banca
Ser puacuteblicos
Software
Automocioacuten
Seguros
Tecnologiacutea
Inversioacuten
Energiacutea
B de consumo
Salud
Distribucioacuten
Comunicacioacuten
Viajes
Sector puacuteblico
1511 1784
1446 1604
1070 1578
1293 1576
1290 1469
1056 1392
1321 1377
809 1191
1182 1286
904 1143
755 921
461 815
791658
5 10 15 200
Por paiacuteses
En 2018
Canadaacute
925R Unido
1146
Alemania
1312Japoacuten
1357Francia
972
Italia
801Espantildea
816EE UU
2237Singapur
932Brasil
724
Australia
679
Fuente Accenture
C AYUSO EL PAIacuteS
cientos de personas con herramientas propias y un montoacuten de recursos a su alcancerdquo En Internet
se anuncian sin impunidad supuestas ldquoempresasrdquo que ofrecen servicios completamente ilegales
ldquoMuchos clientes nos preguntan si es posible hackear un teleacutefono un whatsapp una red socialhellip a
lo que respondemos siempre que siacute todo sistema es vulnerable y con los conocimientos y
herramientas adecuados puede ser hackeadordquo anuncian en una de ellas
Joseacute Luis Narbona profesor asociado de criminaliacutestica en la Universidad de Alcalaacute y presidente de
la Asociacioacuten Nacional de Ciberseguridad no quiere sonar alarmista pero menciona que Espantildea
estaacute a antildeos luz de lo que necesita en inversioacuten y conciencia sobre este tema ldquoTodo parte de una
cuestioacuten econoacutemica y se ha convertido en una guerra global El incremento de ataques a
empresas espantildeolas es bastante alto e inversamente proporcional al gasto que realizan para
garantizar la confidencialidad de los datosrdquo Una inversioacuten que a menudo es pobre dispersa y casi
siempre tiene un sentido de urgencia que la hace inuacutetil para construir una verdadera estrategia de
negocio
Fraudes silenciosos
Lorenzo Martiacutenez fundador de Securizame y perito judicial en delitos informaacuteticos ha visto
solicitudes de rescate de datos provocadas por ransomware en pymes de 3000 10000 y hasta
12000 euros (en empresas mayores pueden pasar de los 100000) Tambieacuten ha visto coacutemo
muchos negocios medianos y pequentildeos se ven desarmados (sin acceso a todos sus sistemas) y
acceden al chantaje de los criminales cuando se dan cuenta de que estaacuten en un callejoacuten sin salida
Algunos incluso despueacutes de aguantar un mes buscando alternativas ldquoTambieacuten se dan estafas
como el llamado timo al CEO de cientos de miles de eurosrdquo Esto uacuteltimo es maacutes sofisticado
Imagine a un directivo que tiene que pagar una factura a un proveedor habitual y recibe un correo
LUIS TINOCO
electroacutenico mdash aparentementemdash de ese proveedor que le pide que esta vez haga el ingreso en otra
cuenta bancaria Lo solicita en un correo electroacutenico cordial utilizando un lenguaje adecuado y
dirigieacutendose a eacutel por su nombre y apellidos El ejecutivo confiacutea cambia el destino del dinerohellip y lo
pierde Por verguumlenza muchas veces estas torpezas se ocultan y no se denuncian Grave error
Fernando Anaya director para Espantildea de Proofpoint avisa que el 93 de los ataques utilizan el
correo electroacutenico como puerta de entrada ldquode ahiacute la importancia de concienciar a los
empleadosrdquo
La ciberdelincuencia ataca a todos los sectores y estaacute en todos los niveles aunque algunos
negocios son maacutes vulnerables que otros La banca por descontado es el nuacutemero uno de la diana
Por tipo de ataque
En 2018
Software dantildeino (Malware)
Ataques a la web
Denegacioacuten de servicio
Filtraciones internas
Ingenieriacutea social
Coacutedigo dantildeino
Dispositivos robados
Ransomware
Ataques de Bots
26
23
17
16
14
14
1
06
04
00 05 10 15 20 25 30
Por consecuencias del ataque
En 2018
596
5
4
3
2
1
0
Informacioacuten
perdida50
37 Interrupcioacuten
del negocio
Beneficios
perdidos27
Equipos
dantildeados
2015 2016 2017 2018
Fuente Accenture
C AYUSO EL PAIacuteS
Tambieacuten la que maacutes invierte en proteccioacuten La Reserva Federal americana (Fed) lo puso de
manifiesto el pasado martes El ataque a uno de los mayores bancos de Estados Unidos podriacutea
afectar al 38 del sistema financiero de ese paiacutes seguacuten sus caacutelculos El personal de la Fed hizo el
ejercicio de queacute pasariacutea si una gran entidad fuese bloqueada y no pudiese realizar pagos y cobros
durante solo un diacutea el contagio seriacutea inmediato el resto de las entidades intentariacutean apalancar su
liquidez y 4 de cada 10 doacutelares del sistema quedariacutean bloqueados
No es ciencia-ficcioacuten Un informe de McKinsey cita que desde 2013 los llamados ldquoataques
Carbanakrdquo (robos basados en malware) han costado a la banca mundial 1000 millones de
doacutelares En ellos cometidos por al menos tres bandas criminales como despueacutes se acreditoacute los
ladrones demostraron tener un conocimiento sofisticado del entorno digital y entender los
procesos bancarios asiacute como las brechas de seguridad para llegar a cajeros automaacuteticos tarjetas
de creacutedito y transferencias Estas acciones que afectaron a un buen nuacutemero de bancos rusos
tambieacuten dejaron al descubierto la cada vez maacutes difusa relacioacuten entre ciberataques fraudes y
delitos financieros Joseacute Luis Martiacutenez Campuzano portavoz de la patronal bancaria espantildeola
(AEB) cree que ldquoa medida que los bancos fortalecen sus barreras de proteccioacuten los ciberataques
derivan hacia el eslaboacuten maacutes deacutebil de la cadena el cliente a traveacutes de phishing vishing smishingrdquo
Es el mal de este tiempo sociedades maacutes digitalizadas y a la vez maacutes desnudas ante el ciberdelito
Quizaacute por ello las encuestas muestran un derroche de voluntad Un estudio realizado por Willis
Towers Watson y ESI ThoughtLab presentado en Madrid esta semana cita que organizaciones de
todo el mundo quieren aumentar sus inversiones en ciberseguridad un 34 durante el proacuteximo
antildeo y cerca del 12 lo haraacuten en maacutes de un 50 Pero quien crea que el dinero arregla el
problema se equivoca Sin soluciones integrales en todos los niveles del negocio la respuesta
fallaraacute seguacuten los expertos
LA SALUD EL PUNTO DEacuteBIL
Ocurrioacute en un reciente congreso del sector Un responsable de seguridad de una empresa
estadounidense contoacute a un profesional espantildeol la enorme preocupacioacuten que hay en su paiacutes por los
ataques a centros sanitarios Y no como se podriacutea pensar por el simple secuestro o robo de datos
ldquoHablaba de que temen por ejemplo que una manipulacioacuten de los historiales pueda cambiar el grupo
sanguiacuteneo de los pacientes Solo eso podriacutea tener consecuencias catastroacuteficasrdquo relata el receptor de
la confidencia Una serie de ataques registrados a mediados de 2017 en el sector de fabricantes de
medicamentos ya puso en guardia a las farmaceacuteuticas aunque eso no ha evitado que se sigan dando
casos Bayer reconocioacute hace dos semanas que un malware llamado Winnti se infiltroacute en sus
ordenadores el antildeo pasado Su unidad de defensa limpioacute los sistemas afectados y no encontroacute
pruebas de la fuga de datos pero Costin Raiu director de su equipo de seguridad reconocioacute que ldquosoacutelo
porque una empresa haya evitado con eacutexito un episodio no significa que el grupo de criminales que
esteacuten detraacutes de Winnti no lo vuelva a intentarrdquo
iquestCoacutemo debe afrontar el sector sanitario estos problemas Xabier Mitxelena de Accenture cree que
ldquoes un objetivo faacutecil porque tiene muchas puertas de entradardquo La consultora hace simulaciones
perioacutedicas en hospitales y sentildeala que como sector criacutetico las empresas ldquotienen que tomarse maacutes en
serio los riesgos de la tecnologiacuteardquo En especial habla de la ldquosensibilizacioacuten de los meacutedicosrdquo y de la
importancia de establecer comunicaciones seguras Marco Merino responsable de tecnologiacutea de la
empresa genoacutemica Veritas Intercontinental observa dos derivadas del problema La primera se refiere
a los datos personales sobre salud ldquoSu exposicioacuten es muy grave y puede ser utilizada con malicia con
una finalidad de chantaje o como herramienta de presioacuten sobre ciertos colectivos Esto genera
millones de peacuterdidas anuales como se puede comprobar en los informes del sectorrdquo En segundo lugar
estaacute la informacioacuten cliacutenica que las empresas utilizan para la investigacioacuten y desarrollo de nuevos
faacutermacos ldquoEstamos por tanto en una situacioacuten de espionaje industrial Por fortuna ya existen
modelos muy evolucionados de proteccioacutenrdquo
Los servicios puacuteblicos
En el sector puacuteblico la cuestioacuten es parecida La informacioacuten de varios Ayuntamientos en Estados
Unidos (desde Baltimore hasta Atlanta o Nueva Jersey pero tambieacuten ciudades pequentildeas como Riviera
Beach y Lake City) ya ha sido saqueada por ciberdelincuentes y algunas de estas ciudades han optado
por pagar un rescate para poder atender a sus ciudadanos En Espantildea se empiezan a dar casos como
el que afectoacute en octubre al Ayuntamiento de Jerez a traveacutes de un correo electroacutenico y bloqueoacute todos
los ordenadores Un mes antes otros consistorios espantildeoles como el de Bilbao habiacutean sido asaltados
por el mismo virus sin tanto eacutexito Los vecinos de la ciudad andaluza tuvieron que soportar durante
varios diacuteas el bloqueo de multitud de traacutemites como el padroacuten o cambios de domicilio La alcaldesa
Mamen Saacutenchez se negoacute a pagar rescate alguno
Para Jesuacutes Romero socio de consultoriacutea en ciberseguridad de PWC ldquoel riesgo tecnoloacutegico cada
vez tiene maacutes peso y hay un punto clave ademaacutes de prepararse para proteger sus activos ahora
la empresa tiene que estar preparada para responder Es importante que sea resiliente a un
ataque que sepa actuar y remediarlo cuanto antes porque el tiempo es fundamentalrdquo Como
otros consultados insiste en que la seguridad absoluta ldquono existerdquo ldquoCada compantildeiacutea debe saber el
riesgo residual con el que puede convivir para garantizar la continuidad de las operaciones la
proteccioacuten de su marca y la informacioacuten de sus clientesrdquo
Xabier Mitxelena responsable de Accenture Security en Espantildea pone un ejemplo muy graacutefico ldquoSi
entras en el metro con tu hijo y ves algo parecido a un bocadillo envuelto en papel lo primero que
le dices es que no lo coja Pero cuando vamos a cualquier sitio lo primero que hacemos es buscar
la wifi sin saber si es segurardquo
Suerte que en este caso la regulacioacuten tira del desarrollo de la seguridad informaacutetica La decena
larga de expertos consultados citan el Reglamento Europeo de Ciberseguridad el Reglamento
General de Proteccioacuten de Datos o la Ley de Seguridad Privada junto a un puntildeado de reales
decretos reglamentos e instrucciones teacutecnicas que han cambiado la visioacuten del problema desde
los consejos de administracioacuten ldquoCuando empeceacute en esto intentaba hacer ver que la seguridad no
es un concepto tecnoloacutegico que si haces bien las cosas tienes una ventaja de calidad Hasta
ahora habiacuteamos construido una seguridad reactiva intentando proteger el periacutemetro de la
empresa con barreras pero ese periacutemetro ha cambiado y ha subido la valoracioacuten del dato como
elemento diferenciador de la competitividad de la empresardquo dice Mitxelena Al menos las grandes
compantildeiacuteas dicen tener integrada la seguridad como un elemento embebido en el negocio y no
como un coste o una unidad separada del resto Tienen muchos maacutes recursos y estaacuten dispuestas
a apostar por la ciberseguridad porque ademaacutes saben que a la larga les supondraacute un ahorro y
puede que les ofrezca ventajas frente a competidores Seguacuten un estudio mundial de Accenture
publicado el antildeo pasado los ataques que terminan con eacutexito causan peacuterdidas medias de ocho
millones de euros por compantildeiacutea en Espantildea En Estados Unidos el botiacuten sube a 22 millones
Lecciones aprendidas
Las consultoras recomiendan ademaacutes de concienciacioacuten poner a prueba la capacidad de las
empresas con simulacros perioacutedicos y anaacutelisis continuos Es algo habitual en las grandes del Ibex
y en algunos sectores que tambieacuten son muy sensibles como el farmaceacuteutico Y si ocurre el
desastre hay que cruzar los dedos y no entrar en paacutenico
Telefoacutenica ha aprendido del incidente que vivioacute en la mantildeana del 12 de mayo de 2017 cuando
sufrioacute el golpe del ransomware llamado Wannacry Hoy Juan Carlos Goacutemez director global de
ciberinteligencia de la compantildeiacutea explica que la alta direccioacuten estaacute muy concienciada con este
tema Su organizacioacuten integra la seguridad dentro del mismo paraguas y combina distintas
herramientas desde las que ofrecen proveedores externos hasta las desarrolladas en la compantildeiacutea
o cada vez maacutes las que obtienen de las start-ups donde invierten Su red dice Goacutemez es global y
se apoya en 15 centros situados en los paiacuteses donde opera ldquoTenemos un gran volumen de activos
a proteger hacemos un gran esfuerzo en la concienciacioacuten de los empleados porque por muchas
medidas que tengas alguien puede hacer un clic y propagar un ataquerdquo Esa seguridad apoya
Fernando Anaya ldquodebe ser multicapa no hay una solucioacuten uacutenica ni una sola tecnologiacutea sino un
procesordquo Lo mismo opina Carmen Dufur directora de ese aacuterea de la consultora Capgemini ldquoEn
nuestro caso trabajamos 4000 personas en ciberseguridad en todo el mundo y eso crea una gran
comunidad que ayuda a generar inteligencia que al final es un gran valor antildeadidordquo
En la cadena Mango por ejemplo tienen lo que llaman ldquoembajadores de seguridadrdquo empleados
de la compantildeiacutea que no son informaacuteticos pero que estaacuten atentos a lo que pasa en cada
departamento ldquoCuando lanzamos la medida nos sorprendioacute el nuacutemero de personas que se
Riesgos que las organizaciones consideran
maacutes relevantes y estaacuten trabajando para mitigar
En
Encuesta realizada por McKinsey entre sus directivos
62Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputacioacuten de la organizacioacuten
Capitalizacioacuten de la empresa
Seguridad fiacutesica
Seguridad nacional
Estabilidad poliacutetica
No sabeno contesta
50
45
39
35
34
26
16
9
7
9
La ciberseguridad en las empresas espantildeolas
Porcentaje de empresas que la han implementado o
lo haraacuten en los proacuteximos dos antildeos
Por nuacutemero de empleados
0 100
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3000
Maacutes de 3000
TOTAL
91
91
84
94
94
100
100
93
Fuente McKinsey y Deloitte
C AYUSO EL PAIacuteS
presentaban voluntariasrdquo En el textil los esfuerzos se concentran en la cadena logiacutestica donde un
error tendriacutea impacto directo en las tiendas Otro ojo lo tienen puesto en los periodos de mayores
ventas como las rebajas o el Black Friday donde admiten haber detectado ldquoun aumento de los
intentos [de acceso indebido] de hasta un 300rdquo
Vuelta al pasado
El virus que infectoacute a Telefoacutenica y a otras muchas empresas e instituciones como el centro
nacional de salud britaacutenico no se dirigiacutea especiacuteficamente a la operadora En un solo diacutea atacoacute a
140000 maacutequinas en maacutes de 100 paiacuteses gracias a una brecha de seguridad en ordenadores con
el sistema operativo Windows no actualizado debidamente
La historia que puede no ser algo del pasado Javier Antoacuten director de ciberseguridad de Fujitsu
recuerda que Microsoft ha dejado de dar soporte hace unos diacuteas a las versiones Windows 7 y
Windows Server 2008 ldquoMuchas compantildeiacuteas que tengan sistemas basados en estas aplicaciones
se han quedado sin ese servicio y tendraacuten que migrar a otros sistemas algo que puede generar
agujeros de seguridad que seguramente van a aprovechar los cibercriminalesrdquo Es insiste una
lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera
sencilla ldquoLa pelea estaacute muy desequilibrada porque los hackers solo tienen un objetivo atacar a
una entidad definida Han pasado de ser golpes masivos a actos dirigidos personalizados Si
quieren atacar a alguien solo tienen que esperar su momento porque nadie estaacute actualizado al
100 en cuanto a parches o soporte de operacionesrdquo Cuando esto ocurre el pago siempre se
reclama en forma de criptomonedas para no dejar rastro Y aunque no hay ninguna norma que
prohiacuteba ceder a la extorsioacuten los expertos recomiendan no hacerlo nunca ldquoa menos que toda tu
compantildeiacutea esteacute en riesgo de desaparicioacutenrdquo matiza Antoacuten Narbona recuerda que aun asiacute puede ser
completamente inuacutetil pagar no garantiza que te devuelvan los datos O que lo vuelvan a intentar
en el futuro
El uacuteltimo recurso
Cuando todo falla entran en juego las aseguradoras que han desarrollado maacutes y maacutes productos
especiacuteficos Todas las grandes desde Mapfre hasta Zurich Axa AIG o Generali han entrado en
este negocio En Allianz por ejemplo aseguran que sus productos no solo sirven para proteger a
pymes y autoacutenomos sino que se enfocan cada vez maacutes a ldquouna estrategia preventivardquo del
ciberdelito Muchas poacutelizas cubren desde la certificacioacuten forense (el peritaje sobre los dantildeos
informaacuteticos) hasta planes de recuperacioacuten de las funciones del negocio o asesoramiento y
defensa juriacutedica frente a la extorsioacuten o el borrado de la huella digital Pero nada sale gratis Un
informe de Kaspersky citado por el Incibe valora en 33700 euros el presupuesto medio que
necesitariacutea una pyme para resolver un problema de seguridad como fugas de datos fraude o
ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten
legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa
Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola
en este sector superada a menudo por las ofertas que realizan grandes consultoras
internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600
firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago
Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y
no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean
autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni
posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las
soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las
mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten
puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez
directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta
demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como
los malos
CONSEJOS PARA PYMES
Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus
recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel
Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios
para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas
preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos
procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo
Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten
ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para
restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme
Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo
Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan
en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos
inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean
cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no
abran correos desconocidos
Se adhiere a los criterios de
Maacutes informacioacuten gt
NEWSLETTER
Recibe la mejor informacioacuten en tubandeja de entrada
Virus informaacuteticos middot Hacker middot Delitos informaacuteticos middot Seguridad internet middot Internet middot Empresas middot Delitos
middot Telecomunicaciones middot Economiacutea middot Comunicaciones middot Justicia
CONTENIDO PATROCINADO
Y ADEMAacuteS
recomendado por
ARCHIVADO EN
Desde 4299 euro DE Barcelona AGranada
VUELING ES
From pound2309 From BarcelonaTo Paris
VUELING UK
Configura el SUV maacutes Vendidoen Espantildea en 2019 desde18500euro
NISSAN
Compantildeeros de trabajotiranos estos son loscomportamientos quehellip
RETINA
Una tuitera arrasa en redes alcontar coacutemo fue su entrevistaenhellip
EPIK
La isla de las tentacionesAndrea explota ante loshellip
TIKITAKAS
sector Ana Botiacuten presidenta del Banco Santander mencionoacute la ciberproteccioacuten como uno de ldquolos
mayores retos socialesrdquo el pasado verano durante la junta de accionistas de la plataforma
educativa Universia ldquoEs importante saber doacutende se ha cometido el robo pero tambieacuten quieacuten es el
responsablerdquo apuntoacute Porque los delincuentes estaacuten por todas partes a veces tienen el apoyo de
sus propios Estados y es difiacutecil sentarlos en el banquillo
En la firma de seguridad S21Sec tienen monitorizadas algunas bandas que han logrado ingresos
de maacutes de 50 millones de euros ldquoEs un negocio redondo hay estudios sobre la rentabilidad de las
organizaciones que hablan de retornos del 2000rdquo sentildeala Jorge Hurtado su vicepresidente de
Servicios Gestionados ldquoLo que hace 15 antildeos era una persona en un garaje hoy son equipos de
La ciberseguridad en el mundo
Coste medio de cada ataque completado
en millones de doacutelares
El coste del cibercrimen
2017 2018
18371655Banca
Ser puacuteblicos
Software
Automocioacuten
Seguros
Tecnologiacutea
Inversioacuten
Energiacutea
B de consumo
Salud
Distribucioacuten
Comunicacioacuten
Viajes
Sector puacuteblico
1511 1784
1446 1604
1070 1578
1293 1576
1290 1469
1056 1392
1321 1377
809 1191
1182 1286
904 1143
755 921
461 815
791658
5 10 15 200
Por paiacuteses
En 2018
Canadaacute
925R Unido
1146
Alemania
1312Japoacuten
1357Francia
972
Italia
801Espantildea
816EE UU
2237Singapur
932Brasil
724
Australia
679
Fuente Accenture
C AYUSO EL PAIacuteS
cientos de personas con herramientas propias y un montoacuten de recursos a su alcancerdquo En Internet
se anuncian sin impunidad supuestas ldquoempresasrdquo que ofrecen servicios completamente ilegales
ldquoMuchos clientes nos preguntan si es posible hackear un teleacutefono un whatsapp una red socialhellip a
lo que respondemos siempre que siacute todo sistema es vulnerable y con los conocimientos y
herramientas adecuados puede ser hackeadordquo anuncian en una de ellas
Joseacute Luis Narbona profesor asociado de criminaliacutestica en la Universidad de Alcalaacute y presidente de
la Asociacioacuten Nacional de Ciberseguridad no quiere sonar alarmista pero menciona que Espantildea
estaacute a antildeos luz de lo que necesita en inversioacuten y conciencia sobre este tema ldquoTodo parte de una
cuestioacuten econoacutemica y se ha convertido en una guerra global El incremento de ataques a
empresas espantildeolas es bastante alto e inversamente proporcional al gasto que realizan para
garantizar la confidencialidad de los datosrdquo Una inversioacuten que a menudo es pobre dispersa y casi
siempre tiene un sentido de urgencia que la hace inuacutetil para construir una verdadera estrategia de
negocio
Fraudes silenciosos
Lorenzo Martiacutenez fundador de Securizame y perito judicial en delitos informaacuteticos ha visto
solicitudes de rescate de datos provocadas por ransomware en pymes de 3000 10000 y hasta
12000 euros (en empresas mayores pueden pasar de los 100000) Tambieacuten ha visto coacutemo
muchos negocios medianos y pequentildeos se ven desarmados (sin acceso a todos sus sistemas) y
acceden al chantaje de los criminales cuando se dan cuenta de que estaacuten en un callejoacuten sin salida
Algunos incluso despueacutes de aguantar un mes buscando alternativas ldquoTambieacuten se dan estafas
como el llamado timo al CEO de cientos de miles de eurosrdquo Esto uacuteltimo es maacutes sofisticado
Imagine a un directivo que tiene que pagar una factura a un proveedor habitual y recibe un correo
LUIS TINOCO
electroacutenico mdash aparentementemdash de ese proveedor que le pide que esta vez haga el ingreso en otra
cuenta bancaria Lo solicita en un correo electroacutenico cordial utilizando un lenguaje adecuado y
dirigieacutendose a eacutel por su nombre y apellidos El ejecutivo confiacutea cambia el destino del dinerohellip y lo
pierde Por verguumlenza muchas veces estas torpezas se ocultan y no se denuncian Grave error
Fernando Anaya director para Espantildea de Proofpoint avisa que el 93 de los ataques utilizan el
correo electroacutenico como puerta de entrada ldquode ahiacute la importancia de concienciar a los
empleadosrdquo
La ciberdelincuencia ataca a todos los sectores y estaacute en todos los niveles aunque algunos
negocios son maacutes vulnerables que otros La banca por descontado es el nuacutemero uno de la diana
Por tipo de ataque
En 2018
Software dantildeino (Malware)
Ataques a la web
Denegacioacuten de servicio
Filtraciones internas
Ingenieriacutea social
Coacutedigo dantildeino
Dispositivos robados
Ransomware
Ataques de Bots
26
23
17
16
14
14
1
06
04
00 05 10 15 20 25 30
Por consecuencias del ataque
En 2018
596
5
4
3
2
1
0
Informacioacuten
perdida50
37 Interrupcioacuten
del negocio
Beneficios
perdidos27
Equipos
dantildeados
2015 2016 2017 2018
Fuente Accenture
C AYUSO EL PAIacuteS
Tambieacuten la que maacutes invierte en proteccioacuten La Reserva Federal americana (Fed) lo puso de
manifiesto el pasado martes El ataque a uno de los mayores bancos de Estados Unidos podriacutea
afectar al 38 del sistema financiero de ese paiacutes seguacuten sus caacutelculos El personal de la Fed hizo el
ejercicio de queacute pasariacutea si una gran entidad fuese bloqueada y no pudiese realizar pagos y cobros
durante solo un diacutea el contagio seriacutea inmediato el resto de las entidades intentariacutean apalancar su
liquidez y 4 de cada 10 doacutelares del sistema quedariacutean bloqueados
No es ciencia-ficcioacuten Un informe de McKinsey cita que desde 2013 los llamados ldquoataques
Carbanakrdquo (robos basados en malware) han costado a la banca mundial 1000 millones de
doacutelares En ellos cometidos por al menos tres bandas criminales como despueacutes se acreditoacute los
ladrones demostraron tener un conocimiento sofisticado del entorno digital y entender los
procesos bancarios asiacute como las brechas de seguridad para llegar a cajeros automaacuteticos tarjetas
de creacutedito y transferencias Estas acciones que afectaron a un buen nuacutemero de bancos rusos
tambieacuten dejaron al descubierto la cada vez maacutes difusa relacioacuten entre ciberataques fraudes y
delitos financieros Joseacute Luis Martiacutenez Campuzano portavoz de la patronal bancaria espantildeola
(AEB) cree que ldquoa medida que los bancos fortalecen sus barreras de proteccioacuten los ciberataques
derivan hacia el eslaboacuten maacutes deacutebil de la cadena el cliente a traveacutes de phishing vishing smishingrdquo
Es el mal de este tiempo sociedades maacutes digitalizadas y a la vez maacutes desnudas ante el ciberdelito
Quizaacute por ello las encuestas muestran un derroche de voluntad Un estudio realizado por Willis
Towers Watson y ESI ThoughtLab presentado en Madrid esta semana cita que organizaciones de
todo el mundo quieren aumentar sus inversiones en ciberseguridad un 34 durante el proacuteximo
antildeo y cerca del 12 lo haraacuten en maacutes de un 50 Pero quien crea que el dinero arregla el
problema se equivoca Sin soluciones integrales en todos los niveles del negocio la respuesta
fallaraacute seguacuten los expertos
LA SALUD EL PUNTO DEacuteBIL
Ocurrioacute en un reciente congreso del sector Un responsable de seguridad de una empresa
estadounidense contoacute a un profesional espantildeol la enorme preocupacioacuten que hay en su paiacutes por los
ataques a centros sanitarios Y no como se podriacutea pensar por el simple secuestro o robo de datos
ldquoHablaba de que temen por ejemplo que una manipulacioacuten de los historiales pueda cambiar el grupo
sanguiacuteneo de los pacientes Solo eso podriacutea tener consecuencias catastroacuteficasrdquo relata el receptor de
la confidencia Una serie de ataques registrados a mediados de 2017 en el sector de fabricantes de
medicamentos ya puso en guardia a las farmaceacuteuticas aunque eso no ha evitado que se sigan dando
casos Bayer reconocioacute hace dos semanas que un malware llamado Winnti se infiltroacute en sus
ordenadores el antildeo pasado Su unidad de defensa limpioacute los sistemas afectados y no encontroacute
pruebas de la fuga de datos pero Costin Raiu director de su equipo de seguridad reconocioacute que ldquosoacutelo
porque una empresa haya evitado con eacutexito un episodio no significa que el grupo de criminales que
esteacuten detraacutes de Winnti no lo vuelva a intentarrdquo
iquestCoacutemo debe afrontar el sector sanitario estos problemas Xabier Mitxelena de Accenture cree que
ldquoes un objetivo faacutecil porque tiene muchas puertas de entradardquo La consultora hace simulaciones
perioacutedicas en hospitales y sentildeala que como sector criacutetico las empresas ldquotienen que tomarse maacutes en
serio los riesgos de la tecnologiacuteardquo En especial habla de la ldquosensibilizacioacuten de los meacutedicosrdquo y de la
importancia de establecer comunicaciones seguras Marco Merino responsable de tecnologiacutea de la
empresa genoacutemica Veritas Intercontinental observa dos derivadas del problema La primera se refiere
a los datos personales sobre salud ldquoSu exposicioacuten es muy grave y puede ser utilizada con malicia con
una finalidad de chantaje o como herramienta de presioacuten sobre ciertos colectivos Esto genera
millones de peacuterdidas anuales como se puede comprobar en los informes del sectorrdquo En segundo lugar
estaacute la informacioacuten cliacutenica que las empresas utilizan para la investigacioacuten y desarrollo de nuevos
faacutermacos ldquoEstamos por tanto en una situacioacuten de espionaje industrial Por fortuna ya existen
modelos muy evolucionados de proteccioacutenrdquo
Los servicios puacuteblicos
En el sector puacuteblico la cuestioacuten es parecida La informacioacuten de varios Ayuntamientos en Estados
Unidos (desde Baltimore hasta Atlanta o Nueva Jersey pero tambieacuten ciudades pequentildeas como Riviera
Beach y Lake City) ya ha sido saqueada por ciberdelincuentes y algunas de estas ciudades han optado
por pagar un rescate para poder atender a sus ciudadanos En Espantildea se empiezan a dar casos como
el que afectoacute en octubre al Ayuntamiento de Jerez a traveacutes de un correo electroacutenico y bloqueoacute todos
los ordenadores Un mes antes otros consistorios espantildeoles como el de Bilbao habiacutean sido asaltados
por el mismo virus sin tanto eacutexito Los vecinos de la ciudad andaluza tuvieron que soportar durante
varios diacuteas el bloqueo de multitud de traacutemites como el padroacuten o cambios de domicilio La alcaldesa
Mamen Saacutenchez se negoacute a pagar rescate alguno
Para Jesuacutes Romero socio de consultoriacutea en ciberseguridad de PWC ldquoel riesgo tecnoloacutegico cada
vez tiene maacutes peso y hay un punto clave ademaacutes de prepararse para proteger sus activos ahora
la empresa tiene que estar preparada para responder Es importante que sea resiliente a un
ataque que sepa actuar y remediarlo cuanto antes porque el tiempo es fundamentalrdquo Como
otros consultados insiste en que la seguridad absoluta ldquono existerdquo ldquoCada compantildeiacutea debe saber el
riesgo residual con el que puede convivir para garantizar la continuidad de las operaciones la
proteccioacuten de su marca y la informacioacuten de sus clientesrdquo
Xabier Mitxelena responsable de Accenture Security en Espantildea pone un ejemplo muy graacutefico ldquoSi
entras en el metro con tu hijo y ves algo parecido a un bocadillo envuelto en papel lo primero que
le dices es que no lo coja Pero cuando vamos a cualquier sitio lo primero que hacemos es buscar
la wifi sin saber si es segurardquo
Suerte que en este caso la regulacioacuten tira del desarrollo de la seguridad informaacutetica La decena
larga de expertos consultados citan el Reglamento Europeo de Ciberseguridad el Reglamento
General de Proteccioacuten de Datos o la Ley de Seguridad Privada junto a un puntildeado de reales
decretos reglamentos e instrucciones teacutecnicas que han cambiado la visioacuten del problema desde
los consejos de administracioacuten ldquoCuando empeceacute en esto intentaba hacer ver que la seguridad no
es un concepto tecnoloacutegico que si haces bien las cosas tienes una ventaja de calidad Hasta
ahora habiacuteamos construido una seguridad reactiva intentando proteger el periacutemetro de la
empresa con barreras pero ese periacutemetro ha cambiado y ha subido la valoracioacuten del dato como
elemento diferenciador de la competitividad de la empresardquo dice Mitxelena Al menos las grandes
compantildeiacuteas dicen tener integrada la seguridad como un elemento embebido en el negocio y no
como un coste o una unidad separada del resto Tienen muchos maacutes recursos y estaacuten dispuestas
a apostar por la ciberseguridad porque ademaacutes saben que a la larga les supondraacute un ahorro y
puede que les ofrezca ventajas frente a competidores Seguacuten un estudio mundial de Accenture
publicado el antildeo pasado los ataques que terminan con eacutexito causan peacuterdidas medias de ocho
millones de euros por compantildeiacutea en Espantildea En Estados Unidos el botiacuten sube a 22 millones
Lecciones aprendidas
Las consultoras recomiendan ademaacutes de concienciacioacuten poner a prueba la capacidad de las
empresas con simulacros perioacutedicos y anaacutelisis continuos Es algo habitual en las grandes del Ibex
y en algunos sectores que tambieacuten son muy sensibles como el farmaceacuteutico Y si ocurre el
desastre hay que cruzar los dedos y no entrar en paacutenico
Telefoacutenica ha aprendido del incidente que vivioacute en la mantildeana del 12 de mayo de 2017 cuando
sufrioacute el golpe del ransomware llamado Wannacry Hoy Juan Carlos Goacutemez director global de
ciberinteligencia de la compantildeiacutea explica que la alta direccioacuten estaacute muy concienciada con este
tema Su organizacioacuten integra la seguridad dentro del mismo paraguas y combina distintas
herramientas desde las que ofrecen proveedores externos hasta las desarrolladas en la compantildeiacutea
o cada vez maacutes las que obtienen de las start-ups donde invierten Su red dice Goacutemez es global y
se apoya en 15 centros situados en los paiacuteses donde opera ldquoTenemos un gran volumen de activos
a proteger hacemos un gran esfuerzo en la concienciacioacuten de los empleados porque por muchas
medidas que tengas alguien puede hacer un clic y propagar un ataquerdquo Esa seguridad apoya
Fernando Anaya ldquodebe ser multicapa no hay una solucioacuten uacutenica ni una sola tecnologiacutea sino un
procesordquo Lo mismo opina Carmen Dufur directora de ese aacuterea de la consultora Capgemini ldquoEn
nuestro caso trabajamos 4000 personas en ciberseguridad en todo el mundo y eso crea una gran
comunidad que ayuda a generar inteligencia que al final es un gran valor antildeadidordquo
En la cadena Mango por ejemplo tienen lo que llaman ldquoembajadores de seguridadrdquo empleados
de la compantildeiacutea que no son informaacuteticos pero que estaacuten atentos a lo que pasa en cada
departamento ldquoCuando lanzamos la medida nos sorprendioacute el nuacutemero de personas que se
Riesgos que las organizaciones consideran
maacutes relevantes y estaacuten trabajando para mitigar
En
Encuesta realizada por McKinsey entre sus directivos
62Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputacioacuten de la organizacioacuten
Capitalizacioacuten de la empresa
Seguridad fiacutesica
Seguridad nacional
Estabilidad poliacutetica
No sabeno contesta
50
45
39
35
34
26
16
9
7
9
La ciberseguridad en las empresas espantildeolas
Porcentaje de empresas que la han implementado o
lo haraacuten en los proacuteximos dos antildeos
Por nuacutemero de empleados
0 100
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3000
Maacutes de 3000
TOTAL
91
91
84
94
94
100
100
93
Fuente McKinsey y Deloitte
C AYUSO EL PAIacuteS
presentaban voluntariasrdquo En el textil los esfuerzos se concentran en la cadena logiacutestica donde un
error tendriacutea impacto directo en las tiendas Otro ojo lo tienen puesto en los periodos de mayores
ventas como las rebajas o el Black Friday donde admiten haber detectado ldquoun aumento de los
intentos [de acceso indebido] de hasta un 300rdquo
Vuelta al pasado
El virus que infectoacute a Telefoacutenica y a otras muchas empresas e instituciones como el centro
nacional de salud britaacutenico no se dirigiacutea especiacuteficamente a la operadora En un solo diacutea atacoacute a
140000 maacutequinas en maacutes de 100 paiacuteses gracias a una brecha de seguridad en ordenadores con
el sistema operativo Windows no actualizado debidamente
La historia que puede no ser algo del pasado Javier Antoacuten director de ciberseguridad de Fujitsu
recuerda que Microsoft ha dejado de dar soporte hace unos diacuteas a las versiones Windows 7 y
Windows Server 2008 ldquoMuchas compantildeiacuteas que tengan sistemas basados en estas aplicaciones
se han quedado sin ese servicio y tendraacuten que migrar a otros sistemas algo que puede generar
agujeros de seguridad que seguramente van a aprovechar los cibercriminalesrdquo Es insiste una
lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera
sencilla ldquoLa pelea estaacute muy desequilibrada porque los hackers solo tienen un objetivo atacar a
una entidad definida Han pasado de ser golpes masivos a actos dirigidos personalizados Si
quieren atacar a alguien solo tienen que esperar su momento porque nadie estaacute actualizado al
100 en cuanto a parches o soporte de operacionesrdquo Cuando esto ocurre el pago siempre se
reclama en forma de criptomonedas para no dejar rastro Y aunque no hay ninguna norma que
prohiacuteba ceder a la extorsioacuten los expertos recomiendan no hacerlo nunca ldquoa menos que toda tu
compantildeiacutea esteacute en riesgo de desaparicioacutenrdquo matiza Antoacuten Narbona recuerda que aun asiacute puede ser
completamente inuacutetil pagar no garantiza que te devuelvan los datos O que lo vuelvan a intentar
en el futuro
El uacuteltimo recurso
Cuando todo falla entran en juego las aseguradoras que han desarrollado maacutes y maacutes productos
especiacuteficos Todas las grandes desde Mapfre hasta Zurich Axa AIG o Generali han entrado en
este negocio En Allianz por ejemplo aseguran que sus productos no solo sirven para proteger a
pymes y autoacutenomos sino que se enfocan cada vez maacutes a ldquouna estrategia preventivardquo del
ciberdelito Muchas poacutelizas cubren desde la certificacioacuten forense (el peritaje sobre los dantildeos
informaacuteticos) hasta planes de recuperacioacuten de las funciones del negocio o asesoramiento y
defensa juriacutedica frente a la extorsioacuten o el borrado de la huella digital Pero nada sale gratis Un
informe de Kaspersky citado por el Incibe valora en 33700 euros el presupuesto medio que
necesitariacutea una pyme para resolver un problema de seguridad como fugas de datos fraude o
ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten
legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa
Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola
en este sector superada a menudo por las ofertas que realizan grandes consultoras
internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600
firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago
Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y
no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean
autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni
posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las
soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las
mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten
puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez
directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta
demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como
los malos
CONSEJOS PARA PYMES
Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus
recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel
Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios
para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas
preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos
procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo
Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten
ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para
restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme
Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo
Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan
en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos
inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean
cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no
abran correos desconocidos
Se adhiere a los criterios de
Maacutes informacioacuten gt
NEWSLETTER
Recibe la mejor informacioacuten en tubandeja de entrada
Virus informaacuteticos middot Hacker middot Delitos informaacuteticos middot Seguridad internet middot Internet middot Empresas middot Delitos
middot Telecomunicaciones middot Economiacutea middot Comunicaciones middot Justicia
CONTENIDO PATROCINADO
Y ADEMAacuteS
recomendado por
ARCHIVADO EN
Desde 4299 euro DE Barcelona AGranada
VUELING ES
From pound2309 From BarcelonaTo Paris
VUELING UK
Configura el SUV maacutes Vendidoen Espantildea en 2019 desde18500euro
NISSAN
Compantildeeros de trabajotiranos estos son loscomportamientos quehellip
RETINA
Una tuitera arrasa en redes alcontar coacutemo fue su entrevistaenhellip
EPIK
La isla de las tentacionesAndrea explota ante loshellip
TIKITAKAS
En la firma de seguridad S21Sec tienen monitorizadas algunas bandas que han logrado ingresos
de maacutes de 50 millones de euros ldquoEs un negocio redondo hay estudios sobre la rentabilidad de las
organizaciones que hablan de retornos del 2000rdquo sentildeala Jorge Hurtado su vicepresidente de
Servicios Gestionados ldquoLo que hace 15 antildeos era una persona en un garaje hoy son equipos de
La ciberseguridad en el mundo
Coste medio de cada ataque completado
en millones de doacutelares
El coste del cibercrimen
2017 2018
18371655Banca
Ser puacuteblicos
Software
Automocioacuten
Seguros
Tecnologiacutea
Inversioacuten
Energiacutea
B de consumo
Salud
Distribucioacuten
Comunicacioacuten
Viajes
Sector puacuteblico
1511 1784
1446 1604
1070 1578
1293 1576
1290 1469
1056 1392
1321 1377
809 1191
1182 1286
904 1143
755 921
461 815
791658
5 10 15 200
Por paiacuteses
En 2018
Canadaacute
925R Unido
1146
Alemania
1312Japoacuten
1357Francia
972
Italia
801Espantildea
816EE UU
2237Singapur
932Brasil
724
Australia
679
Fuente Accenture
C AYUSO EL PAIacuteS
cientos de personas con herramientas propias y un montoacuten de recursos a su alcancerdquo En Internet
se anuncian sin impunidad supuestas ldquoempresasrdquo que ofrecen servicios completamente ilegales
ldquoMuchos clientes nos preguntan si es posible hackear un teleacutefono un whatsapp una red socialhellip a
lo que respondemos siempre que siacute todo sistema es vulnerable y con los conocimientos y
herramientas adecuados puede ser hackeadordquo anuncian en una de ellas
Joseacute Luis Narbona profesor asociado de criminaliacutestica en la Universidad de Alcalaacute y presidente de
la Asociacioacuten Nacional de Ciberseguridad no quiere sonar alarmista pero menciona que Espantildea
estaacute a antildeos luz de lo que necesita en inversioacuten y conciencia sobre este tema ldquoTodo parte de una
cuestioacuten econoacutemica y se ha convertido en una guerra global El incremento de ataques a
empresas espantildeolas es bastante alto e inversamente proporcional al gasto que realizan para
garantizar la confidencialidad de los datosrdquo Una inversioacuten que a menudo es pobre dispersa y casi
siempre tiene un sentido de urgencia que la hace inuacutetil para construir una verdadera estrategia de
negocio
Fraudes silenciosos
Lorenzo Martiacutenez fundador de Securizame y perito judicial en delitos informaacuteticos ha visto
solicitudes de rescate de datos provocadas por ransomware en pymes de 3000 10000 y hasta
12000 euros (en empresas mayores pueden pasar de los 100000) Tambieacuten ha visto coacutemo
muchos negocios medianos y pequentildeos se ven desarmados (sin acceso a todos sus sistemas) y
acceden al chantaje de los criminales cuando se dan cuenta de que estaacuten en un callejoacuten sin salida
Algunos incluso despueacutes de aguantar un mes buscando alternativas ldquoTambieacuten se dan estafas
como el llamado timo al CEO de cientos de miles de eurosrdquo Esto uacuteltimo es maacutes sofisticado
Imagine a un directivo que tiene que pagar una factura a un proveedor habitual y recibe un correo
LUIS TINOCO
electroacutenico mdash aparentementemdash de ese proveedor que le pide que esta vez haga el ingreso en otra
cuenta bancaria Lo solicita en un correo electroacutenico cordial utilizando un lenguaje adecuado y
dirigieacutendose a eacutel por su nombre y apellidos El ejecutivo confiacutea cambia el destino del dinerohellip y lo
pierde Por verguumlenza muchas veces estas torpezas se ocultan y no se denuncian Grave error
Fernando Anaya director para Espantildea de Proofpoint avisa que el 93 de los ataques utilizan el
correo electroacutenico como puerta de entrada ldquode ahiacute la importancia de concienciar a los
empleadosrdquo
La ciberdelincuencia ataca a todos los sectores y estaacute en todos los niveles aunque algunos
negocios son maacutes vulnerables que otros La banca por descontado es el nuacutemero uno de la diana
Por tipo de ataque
En 2018
Software dantildeino (Malware)
Ataques a la web
Denegacioacuten de servicio
Filtraciones internas
Ingenieriacutea social
Coacutedigo dantildeino
Dispositivos robados
Ransomware
Ataques de Bots
26
23
17
16
14
14
1
06
04
00 05 10 15 20 25 30
Por consecuencias del ataque
En 2018
596
5
4
3
2
1
0
Informacioacuten
perdida50
37 Interrupcioacuten
del negocio
Beneficios
perdidos27
Equipos
dantildeados
2015 2016 2017 2018
Fuente Accenture
C AYUSO EL PAIacuteS
Tambieacuten la que maacutes invierte en proteccioacuten La Reserva Federal americana (Fed) lo puso de
manifiesto el pasado martes El ataque a uno de los mayores bancos de Estados Unidos podriacutea
afectar al 38 del sistema financiero de ese paiacutes seguacuten sus caacutelculos El personal de la Fed hizo el
ejercicio de queacute pasariacutea si una gran entidad fuese bloqueada y no pudiese realizar pagos y cobros
durante solo un diacutea el contagio seriacutea inmediato el resto de las entidades intentariacutean apalancar su
liquidez y 4 de cada 10 doacutelares del sistema quedariacutean bloqueados
No es ciencia-ficcioacuten Un informe de McKinsey cita que desde 2013 los llamados ldquoataques
Carbanakrdquo (robos basados en malware) han costado a la banca mundial 1000 millones de
doacutelares En ellos cometidos por al menos tres bandas criminales como despueacutes se acreditoacute los
ladrones demostraron tener un conocimiento sofisticado del entorno digital y entender los
procesos bancarios asiacute como las brechas de seguridad para llegar a cajeros automaacuteticos tarjetas
de creacutedito y transferencias Estas acciones que afectaron a un buen nuacutemero de bancos rusos
tambieacuten dejaron al descubierto la cada vez maacutes difusa relacioacuten entre ciberataques fraudes y
delitos financieros Joseacute Luis Martiacutenez Campuzano portavoz de la patronal bancaria espantildeola
(AEB) cree que ldquoa medida que los bancos fortalecen sus barreras de proteccioacuten los ciberataques
derivan hacia el eslaboacuten maacutes deacutebil de la cadena el cliente a traveacutes de phishing vishing smishingrdquo
Es el mal de este tiempo sociedades maacutes digitalizadas y a la vez maacutes desnudas ante el ciberdelito
Quizaacute por ello las encuestas muestran un derroche de voluntad Un estudio realizado por Willis
Towers Watson y ESI ThoughtLab presentado en Madrid esta semana cita que organizaciones de
todo el mundo quieren aumentar sus inversiones en ciberseguridad un 34 durante el proacuteximo
antildeo y cerca del 12 lo haraacuten en maacutes de un 50 Pero quien crea que el dinero arregla el
problema se equivoca Sin soluciones integrales en todos los niveles del negocio la respuesta
fallaraacute seguacuten los expertos
LA SALUD EL PUNTO DEacuteBIL
Ocurrioacute en un reciente congreso del sector Un responsable de seguridad de una empresa
estadounidense contoacute a un profesional espantildeol la enorme preocupacioacuten que hay en su paiacutes por los
ataques a centros sanitarios Y no como se podriacutea pensar por el simple secuestro o robo de datos
ldquoHablaba de que temen por ejemplo que una manipulacioacuten de los historiales pueda cambiar el grupo
sanguiacuteneo de los pacientes Solo eso podriacutea tener consecuencias catastroacuteficasrdquo relata el receptor de
la confidencia Una serie de ataques registrados a mediados de 2017 en el sector de fabricantes de
medicamentos ya puso en guardia a las farmaceacuteuticas aunque eso no ha evitado que se sigan dando
casos Bayer reconocioacute hace dos semanas que un malware llamado Winnti se infiltroacute en sus
ordenadores el antildeo pasado Su unidad de defensa limpioacute los sistemas afectados y no encontroacute
pruebas de la fuga de datos pero Costin Raiu director de su equipo de seguridad reconocioacute que ldquosoacutelo
porque una empresa haya evitado con eacutexito un episodio no significa que el grupo de criminales que
esteacuten detraacutes de Winnti no lo vuelva a intentarrdquo
iquestCoacutemo debe afrontar el sector sanitario estos problemas Xabier Mitxelena de Accenture cree que
ldquoes un objetivo faacutecil porque tiene muchas puertas de entradardquo La consultora hace simulaciones
perioacutedicas en hospitales y sentildeala que como sector criacutetico las empresas ldquotienen que tomarse maacutes en
serio los riesgos de la tecnologiacuteardquo En especial habla de la ldquosensibilizacioacuten de los meacutedicosrdquo y de la
importancia de establecer comunicaciones seguras Marco Merino responsable de tecnologiacutea de la
empresa genoacutemica Veritas Intercontinental observa dos derivadas del problema La primera se refiere
a los datos personales sobre salud ldquoSu exposicioacuten es muy grave y puede ser utilizada con malicia con
una finalidad de chantaje o como herramienta de presioacuten sobre ciertos colectivos Esto genera
millones de peacuterdidas anuales como se puede comprobar en los informes del sectorrdquo En segundo lugar
estaacute la informacioacuten cliacutenica que las empresas utilizan para la investigacioacuten y desarrollo de nuevos
faacutermacos ldquoEstamos por tanto en una situacioacuten de espionaje industrial Por fortuna ya existen
modelos muy evolucionados de proteccioacutenrdquo
Los servicios puacuteblicos
En el sector puacuteblico la cuestioacuten es parecida La informacioacuten de varios Ayuntamientos en Estados
Unidos (desde Baltimore hasta Atlanta o Nueva Jersey pero tambieacuten ciudades pequentildeas como Riviera
Beach y Lake City) ya ha sido saqueada por ciberdelincuentes y algunas de estas ciudades han optado
por pagar un rescate para poder atender a sus ciudadanos En Espantildea se empiezan a dar casos como
el que afectoacute en octubre al Ayuntamiento de Jerez a traveacutes de un correo electroacutenico y bloqueoacute todos
los ordenadores Un mes antes otros consistorios espantildeoles como el de Bilbao habiacutean sido asaltados
por el mismo virus sin tanto eacutexito Los vecinos de la ciudad andaluza tuvieron que soportar durante
varios diacuteas el bloqueo de multitud de traacutemites como el padroacuten o cambios de domicilio La alcaldesa
Mamen Saacutenchez se negoacute a pagar rescate alguno
Para Jesuacutes Romero socio de consultoriacutea en ciberseguridad de PWC ldquoel riesgo tecnoloacutegico cada
vez tiene maacutes peso y hay un punto clave ademaacutes de prepararse para proteger sus activos ahora
la empresa tiene que estar preparada para responder Es importante que sea resiliente a un
ataque que sepa actuar y remediarlo cuanto antes porque el tiempo es fundamentalrdquo Como
otros consultados insiste en que la seguridad absoluta ldquono existerdquo ldquoCada compantildeiacutea debe saber el
riesgo residual con el que puede convivir para garantizar la continuidad de las operaciones la
proteccioacuten de su marca y la informacioacuten de sus clientesrdquo
Xabier Mitxelena responsable de Accenture Security en Espantildea pone un ejemplo muy graacutefico ldquoSi
entras en el metro con tu hijo y ves algo parecido a un bocadillo envuelto en papel lo primero que
le dices es que no lo coja Pero cuando vamos a cualquier sitio lo primero que hacemos es buscar
la wifi sin saber si es segurardquo
Suerte que en este caso la regulacioacuten tira del desarrollo de la seguridad informaacutetica La decena
larga de expertos consultados citan el Reglamento Europeo de Ciberseguridad el Reglamento
General de Proteccioacuten de Datos o la Ley de Seguridad Privada junto a un puntildeado de reales
decretos reglamentos e instrucciones teacutecnicas que han cambiado la visioacuten del problema desde
los consejos de administracioacuten ldquoCuando empeceacute en esto intentaba hacer ver que la seguridad no
es un concepto tecnoloacutegico que si haces bien las cosas tienes una ventaja de calidad Hasta
ahora habiacuteamos construido una seguridad reactiva intentando proteger el periacutemetro de la
empresa con barreras pero ese periacutemetro ha cambiado y ha subido la valoracioacuten del dato como
elemento diferenciador de la competitividad de la empresardquo dice Mitxelena Al menos las grandes
compantildeiacuteas dicen tener integrada la seguridad como un elemento embebido en el negocio y no
como un coste o una unidad separada del resto Tienen muchos maacutes recursos y estaacuten dispuestas
a apostar por la ciberseguridad porque ademaacutes saben que a la larga les supondraacute un ahorro y
puede que les ofrezca ventajas frente a competidores Seguacuten un estudio mundial de Accenture
publicado el antildeo pasado los ataques que terminan con eacutexito causan peacuterdidas medias de ocho
millones de euros por compantildeiacutea en Espantildea En Estados Unidos el botiacuten sube a 22 millones
Lecciones aprendidas
Las consultoras recomiendan ademaacutes de concienciacioacuten poner a prueba la capacidad de las
empresas con simulacros perioacutedicos y anaacutelisis continuos Es algo habitual en las grandes del Ibex
y en algunos sectores que tambieacuten son muy sensibles como el farmaceacuteutico Y si ocurre el
desastre hay que cruzar los dedos y no entrar en paacutenico
Telefoacutenica ha aprendido del incidente que vivioacute en la mantildeana del 12 de mayo de 2017 cuando
sufrioacute el golpe del ransomware llamado Wannacry Hoy Juan Carlos Goacutemez director global de
ciberinteligencia de la compantildeiacutea explica que la alta direccioacuten estaacute muy concienciada con este
tema Su organizacioacuten integra la seguridad dentro del mismo paraguas y combina distintas
herramientas desde las que ofrecen proveedores externos hasta las desarrolladas en la compantildeiacutea
o cada vez maacutes las que obtienen de las start-ups donde invierten Su red dice Goacutemez es global y
se apoya en 15 centros situados en los paiacuteses donde opera ldquoTenemos un gran volumen de activos
a proteger hacemos un gran esfuerzo en la concienciacioacuten de los empleados porque por muchas
medidas que tengas alguien puede hacer un clic y propagar un ataquerdquo Esa seguridad apoya
Fernando Anaya ldquodebe ser multicapa no hay una solucioacuten uacutenica ni una sola tecnologiacutea sino un
procesordquo Lo mismo opina Carmen Dufur directora de ese aacuterea de la consultora Capgemini ldquoEn
nuestro caso trabajamos 4000 personas en ciberseguridad en todo el mundo y eso crea una gran
comunidad que ayuda a generar inteligencia que al final es un gran valor antildeadidordquo
En la cadena Mango por ejemplo tienen lo que llaman ldquoembajadores de seguridadrdquo empleados
de la compantildeiacutea que no son informaacuteticos pero que estaacuten atentos a lo que pasa en cada
departamento ldquoCuando lanzamos la medida nos sorprendioacute el nuacutemero de personas que se
Riesgos que las organizaciones consideran
maacutes relevantes y estaacuten trabajando para mitigar
En
Encuesta realizada por McKinsey entre sus directivos
62Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputacioacuten de la organizacioacuten
Capitalizacioacuten de la empresa
Seguridad fiacutesica
Seguridad nacional
Estabilidad poliacutetica
No sabeno contesta
50
45
39
35
34
26
16
9
7
9
La ciberseguridad en las empresas espantildeolas
Porcentaje de empresas que la han implementado o
lo haraacuten en los proacuteximos dos antildeos
Por nuacutemero de empleados
0 100
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3000
Maacutes de 3000
TOTAL
91
91
84
94
94
100
100
93
Fuente McKinsey y Deloitte
C AYUSO EL PAIacuteS
presentaban voluntariasrdquo En el textil los esfuerzos se concentran en la cadena logiacutestica donde un
error tendriacutea impacto directo en las tiendas Otro ojo lo tienen puesto en los periodos de mayores
ventas como las rebajas o el Black Friday donde admiten haber detectado ldquoun aumento de los
intentos [de acceso indebido] de hasta un 300rdquo
Vuelta al pasado
El virus que infectoacute a Telefoacutenica y a otras muchas empresas e instituciones como el centro
nacional de salud britaacutenico no se dirigiacutea especiacuteficamente a la operadora En un solo diacutea atacoacute a
140000 maacutequinas en maacutes de 100 paiacuteses gracias a una brecha de seguridad en ordenadores con
el sistema operativo Windows no actualizado debidamente
La historia que puede no ser algo del pasado Javier Antoacuten director de ciberseguridad de Fujitsu
recuerda que Microsoft ha dejado de dar soporte hace unos diacuteas a las versiones Windows 7 y
Windows Server 2008 ldquoMuchas compantildeiacuteas que tengan sistemas basados en estas aplicaciones
se han quedado sin ese servicio y tendraacuten que migrar a otros sistemas algo que puede generar
agujeros de seguridad que seguramente van a aprovechar los cibercriminalesrdquo Es insiste una
lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera
sencilla ldquoLa pelea estaacute muy desequilibrada porque los hackers solo tienen un objetivo atacar a
una entidad definida Han pasado de ser golpes masivos a actos dirigidos personalizados Si
quieren atacar a alguien solo tienen que esperar su momento porque nadie estaacute actualizado al
100 en cuanto a parches o soporte de operacionesrdquo Cuando esto ocurre el pago siempre se
reclama en forma de criptomonedas para no dejar rastro Y aunque no hay ninguna norma que
prohiacuteba ceder a la extorsioacuten los expertos recomiendan no hacerlo nunca ldquoa menos que toda tu
compantildeiacutea esteacute en riesgo de desaparicioacutenrdquo matiza Antoacuten Narbona recuerda que aun asiacute puede ser
completamente inuacutetil pagar no garantiza que te devuelvan los datos O que lo vuelvan a intentar
en el futuro
El uacuteltimo recurso
Cuando todo falla entran en juego las aseguradoras que han desarrollado maacutes y maacutes productos
especiacuteficos Todas las grandes desde Mapfre hasta Zurich Axa AIG o Generali han entrado en
este negocio En Allianz por ejemplo aseguran que sus productos no solo sirven para proteger a
pymes y autoacutenomos sino que se enfocan cada vez maacutes a ldquouna estrategia preventivardquo del
ciberdelito Muchas poacutelizas cubren desde la certificacioacuten forense (el peritaje sobre los dantildeos
informaacuteticos) hasta planes de recuperacioacuten de las funciones del negocio o asesoramiento y
defensa juriacutedica frente a la extorsioacuten o el borrado de la huella digital Pero nada sale gratis Un
informe de Kaspersky citado por el Incibe valora en 33700 euros el presupuesto medio que
necesitariacutea una pyme para resolver un problema de seguridad como fugas de datos fraude o
ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten
legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa
Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola
en este sector superada a menudo por las ofertas que realizan grandes consultoras
internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600
firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago
Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y
no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean
autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni
posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las
soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las
mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten
puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez
directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta
demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como
los malos
CONSEJOS PARA PYMES
Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus
recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel
Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios
para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas
preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos
procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo
Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten
ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para
restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme
Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo
Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan
en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos
inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean
cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no
abran correos desconocidos
Se adhiere a los criterios de
Maacutes informacioacuten gt
NEWSLETTER
Recibe la mejor informacioacuten en tubandeja de entrada
Virus informaacuteticos middot Hacker middot Delitos informaacuteticos middot Seguridad internet middot Internet middot Empresas middot Delitos
middot Telecomunicaciones middot Economiacutea middot Comunicaciones middot Justicia
CONTENIDO PATROCINADO
Y ADEMAacuteS
recomendado por
ARCHIVADO EN
Desde 4299 euro DE Barcelona AGranada
VUELING ES
From pound2309 From BarcelonaTo Paris
VUELING UK
Configura el SUV maacutes Vendidoen Espantildea en 2019 desde18500euro
NISSAN
Compantildeeros de trabajotiranos estos son loscomportamientos quehellip
RETINA
Una tuitera arrasa en redes alcontar coacutemo fue su entrevistaenhellip
EPIK
La isla de las tentacionesAndrea explota ante loshellip
TIKITAKAS
cientos de personas con herramientas propias y un montoacuten de recursos a su alcancerdquo En Internet
se anuncian sin impunidad supuestas ldquoempresasrdquo que ofrecen servicios completamente ilegales
ldquoMuchos clientes nos preguntan si es posible hackear un teleacutefono un whatsapp una red socialhellip a
lo que respondemos siempre que siacute todo sistema es vulnerable y con los conocimientos y
herramientas adecuados puede ser hackeadordquo anuncian en una de ellas
Joseacute Luis Narbona profesor asociado de criminaliacutestica en la Universidad de Alcalaacute y presidente de
la Asociacioacuten Nacional de Ciberseguridad no quiere sonar alarmista pero menciona que Espantildea
estaacute a antildeos luz de lo que necesita en inversioacuten y conciencia sobre este tema ldquoTodo parte de una
cuestioacuten econoacutemica y se ha convertido en una guerra global El incremento de ataques a
empresas espantildeolas es bastante alto e inversamente proporcional al gasto que realizan para
garantizar la confidencialidad de los datosrdquo Una inversioacuten que a menudo es pobre dispersa y casi
siempre tiene un sentido de urgencia que la hace inuacutetil para construir una verdadera estrategia de
negocio
Fraudes silenciosos
Lorenzo Martiacutenez fundador de Securizame y perito judicial en delitos informaacuteticos ha visto
solicitudes de rescate de datos provocadas por ransomware en pymes de 3000 10000 y hasta
12000 euros (en empresas mayores pueden pasar de los 100000) Tambieacuten ha visto coacutemo
muchos negocios medianos y pequentildeos se ven desarmados (sin acceso a todos sus sistemas) y
acceden al chantaje de los criminales cuando se dan cuenta de que estaacuten en un callejoacuten sin salida
Algunos incluso despueacutes de aguantar un mes buscando alternativas ldquoTambieacuten se dan estafas
como el llamado timo al CEO de cientos de miles de eurosrdquo Esto uacuteltimo es maacutes sofisticado
Imagine a un directivo que tiene que pagar una factura a un proveedor habitual y recibe un correo
LUIS TINOCO
electroacutenico mdash aparentementemdash de ese proveedor que le pide que esta vez haga el ingreso en otra
cuenta bancaria Lo solicita en un correo electroacutenico cordial utilizando un lenguaje adecuado y
dirigieacutendose a eacutel por su nombre y apellidos El ejecutivo confiacutea cambia el destino del dinerohellip y lo
pierde Por verguumlenza muchas veces estas torpezas se ocultan y no se denuncian Grave error
Fernando Anaya director para Espantildea de Proofpoint avisa que el 93 de los ataques utilizan el
correo electroacutenico como puerta de entrada ldquode ahiacute la importancia de concienciar a los
empleadosrdquo
La ciberdelincuencia ataca a todos los sectores y estaacute en todos los niveles aunque algunos
negocios son maacutes vulnerables que otros La banca por descontado es el nuacutemero uno de la diana
Por tipo de ataque
En 2018
Software dantildeino (Malware)
Ataques a la web
Denegacioacuten de servicio
Filtraciones internas
Ingenieriacutea social
Coacutedigo dantildeino
Dispositivos robados
Ransomware
Ataques de Bots
26
23
17
16
14
14
1
06
04
00 05 10 15 20 25 30
Por consecuencias del ataque
En 2018
596
5
4
3
2
1
0
Informacioacuten
perdida50
37 Interrupcioacuten
del negocio
Beneficios
perdidos27
Equipos
dantildeados
2015 2016 2017 2018
Fuente Accenture
C AYUSO EL PAIacuteS
Tambieacuten la que maacutes invierte en proteccioacuten La Reserva Federal americana (Fed) lo puso de
manifiesto el pasado martes El ataque a uno de los mayores bancos de Estados Unidos podriacutea
afectar al 38 del sistema financiero de ese paiacutes seguacuten sus caacutelculos El personal de la Fed hizo el
ejercicio de queacute pasariacutea si una gran entidad fuese bloqueada y no pudiese realizar pagos y cobros
durante solo un diacutea el contagio seriacutea inmediato el resto de las entidades intentariacutean apalancar su
liquidez y 4 de cada 10 doacutelares del sistema quedariacutean bloqueados
No es ciencia-ficcioacuten Un informe de McKinsey cita que desde 2013 los llamados ldquoataques
Carbanakrdquo (robos basados en malware) han costado a la banca mundial 1000 millones de
doacutelares En ellos cometidos por al menos tres bandas criminales como despueacutes se acreditoacute los
ladrones demostraron tener un conocimiento sofisticado del entorno digital y entender los
procesos bancarios asiacute como las brechas de seguridad para llegar a cajeros automaacuteticos tarjetas
de creacutedito y transferencias Estas acciones que afectaron a un buen nuacutemero de bancos rusos
tambieacuten dejaron al descubierto la cada vez maacutes difusa relacioacuten entre ciberataques fraudes y
delitos financieros Joseacute Luis Martiacutenez Campuzano portavoz de la patronal bancaria espantildeola
(AEB) cree que ldquoa medida que los bancos fortalecen sus barreras de proteccioacuten los ciberataques
derivan hacia el eslaboacuten maacutes deacutebil de la cadena el cliente a traveacutes de phishing vishing smishingrdquo
Es el mal de este tiempo sociedades maacutes digitalizadas y a la vez maacutes desnudas ante el ciberdelito
Quizaacute por ello las encuestas muestran un derroche de voluntad Un estudio realizado por Willis
Towers Watson y ESI ThoughtLab presentado en Madrid esta semana cita que organizaciones de
todo el mundo quieren aumentar sus inversiones en ciberseguridad un 34 durante el proacuteximo
antildeo y cerca del 12 lo haraacuten en maacutes de un 50 Pero quien crea que el dinero arregla el
problema se equivoca Sin soluciones integrales en todos los niveles del negocio la respuesta
fallaraacute seguacuten los expertos
LA SALUD EL PUNTO DEacuteBIL
Ocurrioacute en un reciente congreso del sector Un responsable de seguridad de una empresa
estadounidense contoacute a un profesional espantildeol la enorme preocupacioacuten que hay en su paiacutes por los
ataques a centros sanitarios Y no como se podriacutea pensar por el simple secuestro o robo de datos
ldquoHablaba de que temen por ejemplo que una manipulacioacuten de los historiales pueda cambiar el grupo
sanguiacuteneo de los pacientes Solo eso podriacutea tener consecuencias catastroacuteficasrdquo relata el receptor de
la confidencia Una serie de ataques registrados a mediados de 2017 en el sector de fabricantes de
medicamentos ya puso en guardia a las farmaceacuteuticas aunque eso no ha evitado que se sigan dando
casos Bayer reconocioacute hace dos semanas que un malware llamado Winnti se infiltroacute en sus
ordenadores el antildeo pasado Su unidad de defensa limpioacute los sistemas afectados y no encontroacute
pruebas de la fuga de datos pero Costin Raiu director de su equipo de seguridad reconocioacute que ldquosoacutelo
porque una empresa haya evitado con eacutexito un episodio no significa que el grupo de criminales que
esteacuten detraacutes de Winnti no lo vuelva a intentarrdquo
iquestCoacutemo debe afrontar el sector sanitario estos problemas Xabier Mitxelena de Accenture cree que
ldquoes un objetivo faacutecil porque tiene muchas puertas de entradardquo La consultora hace simulaciones
perioacutedicas en hospitales y sentildeala que como sector criacutetico las empresas ldquotienen que tomarse maacutes en
serio los riesgos de la tecnologiacuteardquo En especial habla de la ldquosensibilizacioacuten de los meacutedicosrdquo y de la
importancia de establecer comunicaciones seguras Marco Merino responsable de tecnologiacutea de la
empresa genoacutemica Veritas Intercontinental observa dos derivadas del problema La primera se refiere
a los datos personales sobre salud ldquoSu exposicioacuten es muy grave y puede ser utilizada con malicia con
una finalidad de chantaje o como herramienta de presioacuten sobre ciertos colectivos Esto genera
millones de peacuterdidas anuales como se puede comprobar en los informes del sectorrdquo En segundo lugar
estaacute la informacioacuten cliacutenica que las empresas utilizan para la investigacioacuten y desarrollo de nuevos
faacutermacos ldquoEstamos por tanto en una situacioacuten de espionaje industrial Por fortuna ya existen
modelos muy evolucionados de proteccioacutenrdquo
Los servicios puacuteblicos
En el sector puacuteblico la cuestioacuten es parecida La informacioacuten de varios Ayuntamientos en Estados
Unidos (desde Baltimore hasta Atlanta o Nueva Jersey pero tambieacuten ciudades pequentildeas como Riviera
Beach y Lake City) ya ha sido saqueada por ciberdelincuentes y algunas de estas ciudades han optado
por pagar un rescate para poder atender a sus ciudadanos En Espantildea se empiezan a dar casos como
el que afectoacute en octubre al Ayuntamiento de Jerez a traveacutes de un correo electroacutenico y bloqueoacute todos
los ordenadores Un mes antes otros consistorios espantildeoles como el de Bilbao habiacutean sido asaltados
por el mismo virus sin tanto eacutexito Los vecinos de la ciudad andaluza tuvieron que soportar durante
varios diacuteas el bloqueo de multitud de traacutemites como el padroacuten o cambios de domicilio La alcaldesa
Mamen Saacutenchez se negoacute a pagar rescate alguno
Para Jesuacutes Romero socio de consultoriacutea en ciberseguridad de PWC ldquoel riesgo tecnoloacutegico cada
vez tiene maacutes peso y hay un punto clave ademaacutes de prepararse para proteger sus activos ahora
la empresa tiene que estar preparada para responder Es importante que sea resiliente a un
ataque que sepa actuar y remediarlo cuanto antes porque el tiempo es fundamentalrdquo Como
otros consultados insiste en que la seguridad absoluta ldquono existerdquo ldquoCada compantildeiacutea debe saber el
riesgo residual con el que puede convivir para garantizar la continuidad de las operaciones la
proteccioacuten de su marca y la informacioacuten de sus clientesrdquo
Xabier Mitxelena responsable de Accenture Security en Espantildea pone un ejemplo muy graacutefico ldquoSi
entras en el metro con tu hijo y ves algo parecido a un bocadillo envuelto en papel lo primero que
le dices es que no lo coja Pero cuando vamos a cualquier sitio lo primero que hacemos es buscar
la wifi sin saber si es segurardquo
Suerte que en este caso la regulacioacuten tira del desarrollo de la seguridad informaacutetica La decena
larga de expertos consultados citan el Reglamento Europeo de Ciberseguridad el Reglamento
General de Proteccioacuten de Datos o la Ley de Seguridad Privada junto a un puntildeado de reales
decretos reglamentos e instrucciones teacutecnicas que han cambiado la visioacuten del problema desde
los consejos de administracioacuten ldquoCuando empeceacute en esto intentaba hacer ver que la seguridad no
es un concepto tecnoloacutegico que si haces bien las cosas tienes una ventaja de calidad Hasta
ahora habiacuteamos construido una seguridad reactiva intentando proteger el periacutemetro de la
empresa con barreras pero ese periacutemetro ha cambiado y ha subido la valoracioacuten del dato como
elemento diferenciador de la competitividad de la empresardquo dice Mitxelena Al menos las grandes
compantildeiacuteas dicen tener integrada la seguridad como un elemento embebido en el negocio y no
como un coste o una unidad separada del resto Tienen muchos maacutes recursos y estaacuten dispuestas
a apostar por la ciberseguridad porque ademaacutes saben que a la larga les supondraacute un ahorro y
puede que les ofrezca ventajas frente a competidores Seguacuten un estudio mundial de Accenture
publicado el antildeo pasado los ataques que terminan con eacutexito causan peacuterdidas medias de ocho
millones de euros por compantildeiacutea en Espantildea En Estados Unidos el botiacuten sube a 22 millones
Lecciones aprendidas
Las consultoras recomiendan ademaacutes de concienciacioacuten poner a prueba la capacidad de las
empresas con simulacros perioacutedicos y anaacutelisis continuos Es algo habitual en las grandes del Ibex
y en algunos sectores que tambieacuten son muy sensibles como el farmaceacuteutico Y si ocurre el
desastre hay que cruzar los dedos y no entrar en paacutenico
Telefoacutenica ha aprendido del incidente que vivioacute en la mantildeana del 12 de mayo de 2017 cuando
sufrioacute el golpe del ransomware llamado Wannacry Hoy Juan Carlos Goacutemez director global de
ciberinteligencia de la compantildeiacutea explica que la alta direccioacuten estaacute muy concienciada con este
tema Su organizacioacuten integra la seguridad dentro del mismo paraguas y combina distintas
herramientas desde las que ofrecen proveedores externos hasta las desarrolladas en la compantildeiacutea
o cada vez maacutes las que obtienen de las start-ups donde invierten Su red dice Goacutemez es global y
se apoya en 15 centros situados en los paiacuteses donde opera ldquoTenemos un gran volumen de activos
a proteger hacemos un gran esfuerzo en la concienciacioacuten de los empleados porque por muchas
medidas que tengas alguien puede hacer un clic y propagar un ataquerdquo Esa seguridad apoya
Fernando Anaya ldquodebe ser multicapa no hay una solucioacuten uacutenica ni una sola tecnologiacutea sino un
procesordquo Lo mismo opina Carmen Dufur directora de ese aacuterea de la consultora Capgemini ldquoEn
nuestro caso trabajamos 4000 personas en ciberseguridad en todo el mundo y eso crea una gran
comunidad que ayuda a generar inteligencia que al final es un gran valor antildeadidordquo
En la cadena Mango por ejemplo tienen lo que llaman ldquoembajadores de seguridadrdquo empleados
de la compantildeiacutea que no son informaacuteticos pero que estaacuten atentos a lo que pasa en cada
departamento ldquoCuando lanzamos la medida nos sorprendioacute el nuacutemero de personas que se
Riesgos que las organizaciones consideran
maacutes relevantes y estaacuten trabajando para mitigar
En
Encuesta realizada por McKinsey entre sus directivos
62Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputacioacuten de la organizacioacuten
Capitalizacioacuten de la empresa
Seguridad fiacutesica
Seguridad nacional
Estabilidad poliacutetica
No sabeno contesta
50
45
39
35
34
26
16
9
7
9
La ciberseguridad en las empresas espantildeolas
Porcentaje de empresas que la han implementado o
lo haraacuten en los proacuteximos dos antildeos
Por nuacutemero de empleados
0 100
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3000
Maacutes de 3000
TOTAL
91
91
84
94
94
100
100
93
Fuente McKinsey y Deloitte
C AYUSO EL PAIacuteS
presentaban voluntariasrdquo En el textil los esfuerzos se concentran en la cadena logiacutestica donde un
error tendriacutea impacto directo en las tiendas Otro ojo lo tienen puesto en los periodos de mayores
ventas como las rebajas o el Black Friday donde admiten haber detectado ldquoun aumento de los
intentos [de acceso indebido] de hasta un 300rdquo
Vuelta al pasado
El virus que infectoacute a Telefoacutenica y a otras muchas empresas e instituciones como el centro
nacional de salud britaacutenico no se dirigiacutea especiacuteficamente a la operadora En un solo diacutea atacoacute a
140000 maacutequinas en maacutes de 100 paiacuteses gracias a una brecha de seguridad en ordenadores con
el sistema operativo Windows no actualizado debidamente
La historia que puede no ser algo del pasado Javier Antoacuten director de ciberseguridad de Fujitsu
recuerda que Microsoft ha dejado de dar soporte hace unos diacuteas a las versiones Windows 7 y
Windows Server 2008 ldquoMuchas compantildeiacuteas que tengan sistemas basados en estas aplicaciones
se han quedado sin ese servicio y tendraacuten que migrar a otros sistemas algo que puede generar
agujeros de seguridad que seguramente van a aprovechar los cibercriminalesrdquo Es insiste una
lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera
sencilla ldquoLa pelea estaacute muy desequilibrada porque los hackers solo tienen un objetivo atacar a
una entidad definida Han pasado de ser golpes masivos a actos dirigidos personalizados Si
quieren atacar a alguien solo tienen que esperar su momento porque nadie estaacute actualizado al
100 en cuanto a parches o soporte de operacionesrdquo Cuando esto ocurre el pago siempre se
reclama en forma de criptomonedas para no dejar rastro Y aunque no hay ninguna norma que
prohiacuteba ceder a la extorsioacuten los expertos recomiendan no hacerlo nunca ldquoa menos que toda tu
compantildeiacutea esteacute en riesgo de desaparicioacutenrdquo matiza Antoacuten Narbona recuerda que aun asiacute puede ser
completamente inuacutetil pagar no garantiza que te devuelvan los datos O que lo vuelvan a intentar
en el futuro
El uacuteltimo recurso
Cuando todo falla entran en juego las aseguradoras que han desarrollado maacutes y maacutes productos
especiacuteficos Todas las grandes desde Mapfre hasta Zurich Axa AIG o Generali han entrado en
este negocio En Allianz por ejemplo aseguran que sus productos no solo sirven para proteger a
pymes y autoacutenomos sino que se enfocan cada vez maacutes a ldquouna estrategia preventivardquo del
ciberdelito Muchas poacutelizas cubren desde la certificacioacuten forense (el peritaje sobre los dantildeos
informaacuteticos) hasta planes de recuperacioacuten de las funciones del negocio o asesoramiento y
defensa juriacutedica frente a la extorsioacuten o el borrado de la huella digital Pero nada sale gratis Un
informe de Kaspersky citado por el Incibe valora en 33700 euros el presupuesto medio que
necesitariacutea una pyme para resolver un problema de seguridad como fugas de datos fraude o
ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten
legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa
Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola
en este sector superada a menudo por las ofertas que realizan grandes consultoras
internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600
firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago
Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y
no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean
autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni
posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las
soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las
mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten
puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez
directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta
demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como
los malos
CONSEJOS PARA PYMES
Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus
recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel
Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios
para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas
preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos
procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo
Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten
ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para
restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme
Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo
Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan
en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos
inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean
cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no
abran correos desconocidos
Se adhiere a los criterios de
Maacutes informacioacuten gt
NEWSLETTER
Recibe la mejor informacioacuten en tubandeja de entrada
Virus informaacuteticos middot Hacker middot Delitos informaacuteticos middot Seguridad internet middot Internet middot Empresas middot Delitos
middot Telecomunicaciones middot Economiacutea middot Comunicaciones middot Justicia
CONTENIDO PATROCINADO
Y ADEMAacuteS
recomendado por
ARCHIVADO EN
Desde 4299 euro DE Barcelona AGranada
VUELING ES
From pound2309 From BarcelonaTo Paris
VUELING UK
Configura el SUV maacutes Vendidoen Espantildea en 2019 desde18500euro
NISSAN
Compantildeeros de trabajotiranos estos son loscomportamientos quehellip
RETINA
Una tuitera arrasa en redes alcontar coacutemo fue su entrevistaenhellip
EPIK
La isla de las tentacionesAndrea explota ante loshellip
TIKITAKAS
electroacutenico mdash aparentementemdash de ese proveedor que le pide que esta vez haga el ingreso en otra
cuenta bancaria Lo solicita en un correo electroacutenico cordial utilizando un lenguaje adecuado y
dirigieacutendose a eacutel por su nombre y apellidos El ejecutivo confiacutea cambia el destino del dinerohellip y lo
pierde Por verguumlenza muchas veces estas torpezas se ocultan y no se denuncian Grave error
Fernando Anaya director para Espantildea de Proofpoint avisa que el 93 de los ataques utilizan el
correo electroacutenico como puerta de entrada ldquode ahiacute la importancia de concienciar a los
empleadosrdquo
La ciberdelincuencia ataca a todos los sectores y estaacute en todos los niveles aunque algunos
negocios son maacutes vulnerables que otros La banca por descontado es el nuacutemero uno de la diana
Por tipo de ataque
En 2018
Software dantildeino (Malware)
Ataques a la web
Denegacioacuten de servicio
Filtraciones internas
Ingenieriacutea social
Coacutedigo dantildeino
Dispositivos robados
Ransomware
Ataques de Bots
26
23
17
16
14
14
1
06
04
00 05 10 15 20 25 30
Por consecuencias del ataque
En 2018
596
5
4
3
2
1
0
Informacioacuten
perdida50
37 Interrupcioacuten
del negocio
Beneficios
perdidos27
Equipos
dantildeados
2015 2016 2017 2018
Fuente Accenture
C AYUSO EL PAIacuteS
Tambieacuten la que maacutes invierte en proteccioacuten La Reserva Federal americana (Fed) lo puso de
manifiesto el pasado martes El ataque a uno de los mayores bancos de Estados Unidos podriacutea
afectar al 38 del sistema financiero de ese paiacutes seguacuten sus caacutelculos El personal de la Fed hizo el
ejercicio de queacute pasariacutea si una gran entidad fuese bloqueada y no pudiese realizar pagos y cobros
durante solo un diacutea el contagio seriacutea inmediato el resto de las entidades intentariacutean apalancar su
liquidez y 4 de cada 10 doacutelares del sistema quedariacutean bloqueados
No es ciencia-ficcioacuten Un informe de McKinsey cita que desde 2013 los llamados ldquoataques
Carbanakrdquo (robos basados en malware) han costado a la banca mundial 1000 millones de
doacutelares En ellos cometidos por al menos tres bandas criminales como despueacutes se acreditoacute los
ladrones demostraron tener un conocimiento sofisticado del entorno digital y entender los
procesos bancarios asiacute como las brechas de seguridad para llegar a cajeros automaacuteticos tarjetas
de creacutedito y transferencias Estas acciones que afectaron a un buen nuacutemero de bancos rusos
tambieacuten dejaron al descubierto la cada vez maacutes difusa relacioacuten entre ciberataques fraudes y
delitos financieros Joseacute Luis Martiacutenez Campuzano portavoz de la patronal bancaria espantildeola
(AEB) cree que ldquoa medida que los bancos fortalecen sus barreras de proteccioacuten los ciberataques
derivan hacia el eslaboacuten maacutes deacutebil de la cadena el cliente a traveacutes de phishing vishing smishingrdquo
Es el mal de este tiempo sociedades maacutes digitalizadas y a la vez maacutes desnudas ante el ciberdelito
Quizaacute por ello las encuestas muestran un derroche de voluntad Un estudio realizado por Willis
Towers Watson y ESI ThoughtLab presentado en Madrid esta semana cita que organizaciones de
todo el mundo quieren aumentar sus inversiones en ciberseguridad un 34 durante el proacuteximo
antildeo y cerca del 12 lo haraacuten en maacutes de un 50 Pero quien crea que el dinero arregla el
problema se equivoca Sin soluciones integrales en todos los niveles del negocio la respuesta
fallaraacute seguacuten los expertos
LA SALUD EL PUNTO DEacuteBIL
Ocurrioacute en un reciente congreso del sector Un responsable de seguridad de una empresa
estadounidense contoacute a un profesional espantildeol la enorme preocupacioacuten que hay en su paiacutes por los
ataques a centros sanitarios Y no como se podriacutea pensar por el simple secuestro o robo de datos
ldquoHablaba de que temen por ejemplo que una manipulacioacuten de los historiales pueda cambiar el grupo
sanguiacuteneo de los pacientes Solo eso podriacutea tener consecuencias catastroacuteficasrdquo relata el receptor de
la confidencia Una serie de ataques registrados a mediados de 2017 en el sector de fabricantes de
medicamentos ya puso en guardia a las farmaceacuteuticas aunque eso no ha evitado que se sigan dando
casos Bayer reconocioacute hace dos semanas que un malware llamado Winnti se infiltroacute en sus
ordenadores el antildeo pasado Su unidad de defensa limpioacute los sistemas afectados y no encontroacute
pruebas de la fuga de datos pero Costin Raiu director de su equipo de seguridad reconocioacute que ldquosoacutelo
porque una empresa haya evitado con eacutexito un episodio no significa que el grupo de criminales que
esteacuten detraacutes de Winnti no lo vuelva a intentarrdquo
iquestCoacutemo debe afrontar el sector sanitario estos problemas Xabier Mitxelena de Accenture cree que
ldquoes un objetivo faacutecil porque tiene muchas puertas de entradardquo La consultora hace simulaciones
perioacutedicas en hospitales y sentildeala que como sector criacutetico las empresas ldquotienen que tomarse maacutes en
serio los riesgos de la tecnologiacuteardquo En especial habla de la ldquosensibilizacioacuten de los meacutedicosrdquo y de la
importancia de establecer comunicaciones seguras Marco Merino responsable de tecnologiacutea de la
empresa genoacutemica Veritas Intercontinental observa dos derivadas del problema La primera se refiere
a los datos personales sobre salud ldquoSu exposicioacuten es muy grave y puede ser utilizada con malicia con
una finalidad de chantaje o como herramienta de presioacuten sobre ciertos colectivos Esto genera
millones de peacuterdidas anuales como se puede comprobar en los informes del sectorrdquo En segundo lugar
estaacute la informacioacuten cliacutenica que las empresas utilizan para la investigacioacuten y desarrollo de nuevos
faacutermacos ldquoEstamos por tanto en una situacioacuten de espionaje industrial Por fortuna ya existen
modelos muy evolucionados de proteccioacutenrdquo
Los servicios puacuteblicos
En el sector puacuteblico la cuestioacuten es parecida La informacioacuten de varios Ayuntamientos en Estados
Unidos (desde Baltimore hasta Atlanta o Nueva Jersey pero tambieacuten ciudades pequentildeas como Riviera
Beach y Lake City) ya ha sido saqueada por ciberdelincuentes y algunas de estas ciudades han optado
por pagar un rescate para poder atender a sus ciudadanos En Espantildea se empiezan a dar casos como
el que afectoacute en octubre al Ayuntamiento de Jerez a traveacutes de un correo electroacutenico y bloqueoacute todos
los ordenadores Un mes antes otros consistorios espantildeoles como el de Bilbao habiacutean sido asaltados
por el mismo virus sin tanto eacutexito Los vecinos de la ciudad andaluza tuvieron que soportar durante
varios diacuteas el bloqueo de multitud de traacutemites como el padroacuten o cambios de domicilio La alcaldesa
Mamen Saacutenchez se negoacute a pagar rescate alguno
Para Jesuacutes Romero socio de consultoriacutea en ciberseguridad de PWC ldquoel riesgo tecnoloacutegico cada
vez tiene maacutes peso y hay un punto clave ademaacutes de prepararse para proteger sus activos ahora
la empresa tiene que estar preparada para responder Es importante que sea resiliente a un
ataque que sepa actuar y remediarlo cuanto antes porque el tiempo es fundamentalrdquo Como
otros consultados insiste en que la seguridad absoluta ldquono existerdquo ldquoCada compantildeiacutea debe saber el
riesgo residual con el que puede convivir para garantizar la continuidad de las operaciones la
proteccioacuten de su marca y la informacioacuten de sus clientesrdquo
Xabier Mitxelena responsable de Accenture Security en Espantildea pone un ejemplo muy graacutefico ldquoSi
entras en el metro con tu hijo y ves algo parecido a un bocadillo envuelto en papel lo primero que
le dices es que no lo coja Pero cuando vamos a cualquier sitio lo primero que hacemos es buscar
la wifi sin saber si es segurardquo
Suerte que en este caso la regulacioacuten tira del desarrollo de la seguridad informaacutetica La decena
larga de expertos consultados citan el Reglamento Europeo de Ciberseguridad el Reglamento
General de Proteccioacuten de Datos o la Ley de Seguridad Privada junto a un puntildeado de reales
decretos reglamentos e instrucciones teacutecnicas que han cambiado la visioacuten del problema desde
los consejos de administracioacuten ldquoCuando empeceacute en esto intentaba hacer ver que la seguridad no
es un concepto tecnoloacutegico que si haces bien las cosas tienes una ventaja de calidad Hasta
ahora habiacuteamos construido una seguridad reactiva intentando proteger el periacutemetro de la
empresa con barreras pero ese periacutemetro ha cambiado y ha subido la valoracioacuten del dato como
elemento diferenciador de la competitividad de la empresardquo dice Mitxelena Al menos las grandes
compantildeiacuteas dicen tener integrada la seguridad como un elemento embebido en el negocio y no
como un coste o una unidad separada del resto Tienen muchos maacutes recursos y estaacuten dispuestas
a apostar por la ciberseguridad porque ademaacutes saben que a la larga les supondraacute un ahorro y
puede que les ofrezca ventajas frente a competidores Seguacuten un estudio mundial de Accenture
publicado el antildeo pasado los ataques que terminan con eacutexito causan peacuterdidas medias de ocho
millones de euros por compantildeiacutea en Espantildea En Estados Unidos el botiacuten sube a 22 millones
Lecciones aprendidas
Las consultoras recomiendan ademaacutes de concienciacioacuten poner a prueba la capacidad de las
empresas con simulacros perioacutedicos y anaacutelisis continuos Es algo habitual en las grandes del Ibex
y en algunos sectores que tambieacuten son muy sensibles como el farmaceacuteutico Y si ocurre el
desastre hay que cruzar los dedos y no entrar en paacutenico
Telefoacutenica ha aprendido del incidente que vivioacute en la mantildeana del 12 de mayo de 2017 cuando
sufrioacute el golpe del ransomware llamado Wannacry Hoy Juan Carlos Goacutemez director global de
ciberinteligencia de la compantildeiacutea explica que la alta direccioacuten estaacute muy concienciada con este
tema Su organizacioacuten integra la seguridad dentro del mismo paraguas y combina distintas
herramientas desde las que ofrecen proveedores externos hasta las desarrolladas en la compantildeiacutea
o cada vez maacutes las que obtienen de las start-ups donde invierten Su red dice Goacutemez es global y
se apoya en 15 centros situados en los paiacuteses donde opera ldquoTenemos un gran volumen de activos
a proteger hacemos un gran esfuerzo en la concienciacioacuten de los empleados porque por muchas
medidas que tengas alguien puede hacer un clic y propagar un ataquerdquo Esa seguridad apoya
Fernando Anaya ldquodebe ser multicapa no hay una solucioacuten uacutenica ni una sola tecnologiacutea sino un
procesordquo Lo mismo opina Carmen Dufur directora de ese aacuterea de la consultora Capgemini ldquoEn
nuestro caso trabajamos 4000 personas en ciberseguridad en todo el mundo y eso crea una gran
comunidad que ayuda a generar inteligencia que al final es un gran valor antildeadidordquo
En la cadena Mango por ejemplo tienen lo que llaman ldquoembajadores de seguridadrdquo empleados
de la compantildeiacutea que no son informaacuteticos pero que estaacuten atentos a lo que pasa en cada
departamento ldquoCuando lanzamos la medida nos sorprendioacute el nuacutemero de personas que se
Riesgos que las organizaciones consideran
maacutes relevantes y estaacuten trabajando para mitigar
En
Encuesta realizada por McKinsey entre sus directivos
62Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputacioacuten de la organizacioacuten
Capitalizacioacuten de la empresa
Seguridad fiacutesica
Seguridad nacional
Estabilidad poliacutetica
No sabeno contesta
50
45
39
35
34
26
16
9
7
9
La ciberseguridad en las empresas espantildeolas
Porcentaje de empresas que la han implementado o
lo haraacuten en los proacuteximos dos antildeos
Por nuacutemero de empleados
0 100
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3000
Maacutes de 3000
TOTAL
91
91
84
94
94
100
100
93
Fuente McKinsey y Deloitte
C AYUSO EL PAIacuteS
presentaban voluntariasrdquo En el textil los esfuerzos se concentran en la cadena logiacutestica donde un
error tendriacutea impacto directo en las tiendas Otro ojo lo tienen puesto en los periodos de mayores
ventas como las rebajas o el Black Friday donde admiten haber detectado ldquoun aumento de los
intentos [de acceso indebido] de hasta un 300rdquo
Vuelta al pasado
El virus que infectoacute a Telefoacutenica y a otras muchas empresas e instituciones como el centro
nacional de salud britaacutenico no se dirigiacutea especiacuteficamente a la operadora En un solo diacutea atacoacute a
140000 maacutequinas en maacutes de 100 paiacuteses gracias a una brecha de seguridad en ordenadores con
el sistema operativo Windows no actualizado debidamente
La historia que puede no ser algo del pasado Javier Antoacuten director de ciberseguridad de Fujitsu
recuerda que Microsoft ha dejado de dar soporte hace unos diacuteas a las versiones Windows 7 y
Windows Server 2008 ldquoMuchas compantildeiacuteas que tengan sistemas basados en estas aplicaciones
se han quedado sin ese servicio y tendraacuten que migrar a otros sistemas algo que puede generar
agujeros de seguridad que seguramente van a aprovechar los cibercriminalesrdquo Es insiste una
lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera
sencilla ldquoLa pelea estaacute muy desequilibrada porque los hackers solo tienen un objetivo atacar a
una entidad definida Han pasado de ser golpes masivos a actos dirigidos personalizados Si
quieren atacar a alguien solo tienen que esperar su momento porque nadie estaacute actualizado al
100 en cuanto a parches o soporte de operacionesrdquo Cuando esto ocurre el pago siempre se
reclama en forma de criptomonedas para no dejar rastro Y aunque no hay ninguna norma que
prohiacuteba ceder a la extorsioacuten los expertos recomiendan no hacerlo nunca ldquoa menos que toda tu
compantildeiacutea esteacute en riesgo de desaparicioacutenrdquo matiza Antoacuten Narbona recuerda que aun asiacute puede ser
completamente inuacutetil pagar no garantiza que te devuelvan los datos O que lo vuelvan a intentar
en el futuro
El uacuteltimo recurso
Cuando todo falla entran en juego las aseguradoras que han desarrollado maacutes y maacutes productos
especiacuteficos Todas las grandes desde Mapfre hasta Zurich Axa AIG o Generali han entrado en
este negocio En Allianz por ejemplo aseguran que sus productos no solo sirven para proteger a
pymes y autoacutenomos sino que se enfocan cada vez maacutes a ldquouna estrategia preventivardquo del
ciberdelito Muchas poacutelizas cubren desde la certificacioacuten forense (el peritaje sobre los dantildeos
informaacuteticos) hasta planes de recuperacioacuten de las funciones del negocio o asesoramiento y
defensa juriacutedica frente a la extorsioacuten o el borrado de la huella digital Pero nada sale gratis Un
informe de Kaspersky citado por el Incibe valora en 33700 euros el presupuesto medio que
necesitariacutea una pyme para resolver un problema de seguridad como fugas de datos fraude o
ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten
legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa
Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola
en este sector superada a menudo por las ofertas que realizan grandes consultoras
internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600
firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago
Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y
no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean
autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni
posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las
soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las
mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten
puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez
directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta
demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como
los malos
CONSEJOS PARA PYMES
Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus
recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel
Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios
para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas
preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos
procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo
Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten
ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para
restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme
Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo
Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan
en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos
inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean
cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no
abran correos desconocidos
Se adhiere a los criterios de
Maacutes informacioacuten gt
NEWSLETTER
Recibe la mejor informacioacuten en tubandeja de entrada
Virus informaacuteticos middot Hacker middot Delitos informaacuteticos middot Seguridad internet middot Internet middot Empresas middot Delitos
middot Telecomunicaciones middot Economiacutea middot Comunicaciones middot Justicia
CONTENIDO PATROCINADO
Y ADEMAacuteS
recomendado por
ARCHIVADO EN
Desde 4299 euro DE Barcelona AGranada
VUELING ES
From pound2309 From BarcelonaTo Paris
VUELING UK
Configura el SUV maacutes Vendidoen Espantildea en 2019 desde18500euro
NISSAN
Compantildeeros de trabajotiranos estos son loscomportamientos quehellip
RETINA
Una tuitera arrasa en redes alcontar coacutemo fue su entrevistaenhellip
EPIK
La isla de las tentacionesAndrea explota ante loshellip
TIKITAKAS
La ciberdelincuencia ataca a todos los sectores y estaacute en todos los niveles aunque algunos
negocios son maacutes vulnerables que otros La banca por descontado es el nuacutemero uno de la diana
Por tipo de ataque
En 2018
Software dantildeino (Malware)
Ataques a la web
Denegacioacuten de servicio
Filtraciones internas
Ingenieriacutea social
Coacutedigo dantildeino
Dispositivos robados
Ransomware
Ataques de Bots
26
23
17
16
14
14
1
06
04
00 05 10 15 20 25 30
Por consecuencias del ataque
En 2018
596
5
4
3
2
1
0
Informacioacuten
perdida50
37 Interrupcioacuten
del negocio
Beneficios
perdidos27
Equipos
dantildeados
2015 2016 2017 2018
Fuente Accenture
C AYUSO EL PAIacuteS
Tambieacuten la que maacutes invierte en proteccioacuten La Reserva Federal americana (Fed) lo puso de
manifiesto el pasado martes El ataque a uno de los mayores bancos de Estados Unidos podriacutea
afectar al 38 del sistema financiero de ese paiacutes seguacuten sus caacutelculos El personal de la Fed hizo el
ejercicio de queacute pasariacutea si una gran entidad fuese bloqueada y no pudiese realizar pagos y cobros
durante solo un diacutea el contagio seriacutea inmediato el resto de las entidades intentariacutean apalancar su
liquidez y 4 de cada 10 doacutelares del sistema quedariacutean bloqueados
No es ciencia-ficcioacuten Un informe de McKinsey cita que desde 2013 los llamados ldquoataques
Carbanakrdquo (robos basados en malware) han costado a la banca mundial 1000 millones de
doacutelares En ellos cometidos por al menos tres bandas criminales como despueacutes se acreditoacute los
ladrones demostraron tener un conocimiento sofisticado del entorno digital y entender los
procesos bancarios asiacute como las brechas de seguridad para llegar a cajeros automaacuteticos tarjetas
de creacutedito y transferencias Estas acciones que afectaron a un buen nuacutemero de bancos rusos
tambieacuten dejaron al descubierto la cada vez maacutes difusa relacioacuten entre ciberataques fraudes y
delitos financieros Joseacute Luis Martiacutenez Campuzano portavoz de la patronal bancaria espantildeola
(AEB) cree que ldquoa medida que los bancos fortalecen sus barreras de proteccioacuten los ciberataques
derivan hacia el eslaboacuten maacutes deacutebil de la cadena el cliente a traveacutes de phishing vishing smishingrdquo
Es el mal de este tiempo sociedades maacutes digitalizadas y a la vez maacutes desnudas ante el ciberdelito
Quizaacute por ello las encuestas muestran un derroche de voluntad Un estudio realizado por Willis
Towers Watson y ESI ThoughtLab presentado en Madrid esta semana cita que organizaciones de
todo el mundo quieren aumentar sus inversiones en ciberseguridad un 34 durante el proacuteximo
antildeo y cerca del 12 lo haraacuten en maacutes de un 50 Pero quien crea que el dinero arregla el
problema se equivoca Sin soluciones integrales en todos los niveles del negocio la respuesta
fallaraacute seguacuten los expertos
LA SALUD EL PUNTO DEacuteBIL
Ocurrioacute en un reciente congreso del sector Un responsable de seguridad de una empresa
estadounidense contoacute a un profesional espantildeol la enorme preocupacioacuten que hay en su paiacutes por los
ataques a centros sanitarios Y no como se podriacutea pensar por el simple secuestro o robo de datos
ldquoHablaba de que temen por ejemplo que una manipulacioacuten de los historiales pueda cambiar el grupo
sanguiacuteneo de los pacientes Solo eso podriacutea tener consecuencias catastroacuteficasrdquo relata el receptor de
la confidencia Una serie de ataques registrados a mediados de 2017 en el sector de fabricantes de
medicamentos ya puso en guardia a las farmaceacuteuticas aunque eso no ha evitado que se sigan dando
casos Bayer reconocioacute hace dos semanas que un malware llamado Winnti se infiltroacute en sus
ordenadores el antildeo pasado Su unidad de defensa limpioacute los sistemas afectados y no encontroacute
pruebas de la fuga de datos pero Costin Raiu director de su equipo de seguridad reconocioacute que ldquosoacutelo
porque una empresa haya evitado con eacutexito un episodio no significa que el grupo de criminales que
esteacuten detraacutes de Winnti no lo vuelva a intentarrdquo
iquestCoacutemo debe afrontar el sector sanitario estos problemas Xabier Mitxelena de Accenture cree que
ldquoes un objetivo faacutecil porque tiene muchas puertas de entradardquo La consultora hace simulaciones
perioacutedicas en hospitales y sentildeala que como sector criacutetico las empresas ldquotienen que tomarse maacutes en
serio los riesgos de la tecnologiacuteardquo En especial habla de la ldquosensibilizacioacuten de los meacutedicosrdquo y de la
importancia de establecer comunicaciones seguras Marco Merino responsable de tecnologiacutea de la
empresa genoacutemica Veritas Intercontinental observa dos derivadas del problema La primera se refiere
a los datos personales sobre salud ldquoSu exposicioacuten es muy grave y puede ser utilizada con malicia con
una finalidad de chantaje o como herramienta de presioacuten sobre ciertos colectivos Esto genera
millones de peacuterdidas anuales como se puede comprobar en los informes del sectorrdquo En segundo lugar
estaacute la informacioacuten cliacutenica que las empresas utilizan para la investigacioacuten y desarrollo de nuevos
faacutermacos ldquoEstamos por tanto en una situacioacuten de espionaje industrial Por fortuna ya existen
modelos muy evolucionados de proteccioacutenrdquo
Los servicios puacuteblicos
En el sector puacuteblico la cuestioacuten es parecida La informacioacuten de varios Ayuntamientos en Estados
Unidos (desde Baltimore hasta Atlanta o Nueva Jersey pero tambieacuten ciudades pequentildeas como Riviera
Beach y Lake City) ya ha sido saqueada por ciberdelincuentes y algunas de estas ciudades han optado
por pagar un rescate para poder atender a sus ciudadanos En Espantildea se empiezan a dar casos como
el que afectoacute en octubre al Ayuntamiento de Jerez a traveacutes de un correo electroacutenico y bloqueoacute todos
los ordenadores Un mes antes otros consistorios espantildeoles como el de Bilbao habiacutean sido asaltados
por el mismo virus sin tanto eacutexito Los vecinos de la ciudad andaluza tuvieron que soportar durante
varios diacuteas el bloqueo de multitud de traacutemites como el padroacuten o cambios de domicilio La alcaldesa
Mamen Saacutenchez se negoacute a pagar rescate alguno
Para Jesuacutes Romero socio de consultoriacutea en ciberseguridad de PWC ldquoel riesgo tecnoloacutegico cada
vez tiene maacutes peso y hay un punto clave ademaacutes de prepararse para proteger sus activos ahora
la empresa tiene que estar preparada para responder Es importante que sea resiliente a un
ataque que sepa actuar y remediarlo cuanto antes porque el tiempo es fundamentalrdquo Como
otros consultados insiste en que la seguridad absoluta ldquono existerdquo ldquoCada compantildeiacutea debe saber el
riesgo residual con el que puede convivir para garantizar la continuidad de las operaciones la
proteccioacuten de su marca y la informacioacuten de sus clientesrdquo
Xabier Mitxelena responsable de Accenture Security en Espantildea pone un ejemplo muy graacutefico ldquoSi
entras en el metro con tu hijo y ves algo parecido a un bocadillo envuelto en papel lo primero que
le dices es que no lo coja Pero cuando vamos a cualquier sitio lo primero que hacemos es buscar
la wifi sin saber si es segurardquo
Suerte que en este caso la regulacioacuten tira del desarrollo de la seguridad informaacutetica La decena
larga de expertos consultados citan el Reglamento Europeo de Ciberseguridad el Reglamento
General de Proteccioacuten de Datos o la Ley de Seguridad Privada junto a un puntildeado de reales
decretos reglamentos e instrucciones teacutecnicas que han cambiado la visioacuten del problema desde
los consejos de administracioacuten ldquoCuando empeceacute en esto intentaba hacer ver que la seguridad no
es un concepto tecnoloacutegico que si haces bien las cosas tienes una ventaja de calidad Hasta
ahora habiacuteamos construido una seguridad reactiva intentando proteger el periacutemetro de la
empresa con barreras pero ese periacutemetro ha cambiado y ha subido la valoracioacuten del dato como
elemento diferenciador de la competitividad de la empresardquo dice Mitxelena Al menos las grandes
compantildeiacuteas dicen tener integrada la seguridad como un elemento embebido en el negocio y no
como un coste o una unidad separada del resto Tienen muchos maacutes recursos y estaacuten dispuestas
a apostar por la ciberseguridad porque ademaacutes saben que a la larga les supondraacute un ahorro y
puede que les ofrezca ventajas frente a competidores Seguacuten un estudio mundial de Accenture
publicado el antildeo pasado los ataques que terminan con eacutexito causan peacuterdidas medias de ocho
millones de euros por compantildeiacutea en Espantildea En Estados Unidos el botiacuten sube a 22 millones
Lecciones aprendidas
Las consultoras recomiendan ademaacutes de concienciacioacuten poner a prueba la capacidad de las
empresas con simulacros perioacutedicos y anaacutelisis continuos Es algo habitual en las grandes del Ibex
y en algunos sectores que tambieacuten son muy sensibles como el farmaceacuteutico Y si ocurre el
desastre hay que cruzar los dedos y no entrar en paacutenico
Telefoacutenica ha aprendido del incidente que vivioacute en la mantildeana del 12 de mayo de 2017 cuando
sufrioacute el golpe del ransomware llamado Wannacry Hoy Juan Carlos Goacutemez director global de
ciberinteligencia de la compantildeiacutea explica que la alta direccioacuten estaacute muy concienciada con este
tema Su organizacioacuten integra la seguridad dentro del mismo paraguas y combina distintas
herramientas desde las que ofrecen proveedores externos hasta las desarrolladas en la compantildeiacutea
o cada vez maacutes las que obtienen de las start-ups donde invierten Su red dice Goacutemez es global y
se apoya en 15 centros situados en los paiacuteses donde opera ldquoTenemos un gran volumen de activos
a proteger hacemos un gran esfuerzo en la concienciacioacuten de los empleados porque por muchas
medidas que tengas alguien puede hacer un clic y propagar un ataquerdquo Esa seguridad apoya
Fernando Anaya ldquodebe ser multicapa no hay una solucioacuten uacutenica ni una sola tecnologiacutea sino un
procesordquo Lo mismo opina Carmen Dufur directora de ese aacuterea de la consultora Capgemini ldquoEn
nuestro caso trabajamos 4000 personas en ciberseguridad en todo el mundo y eso crea una gran
comunidad que ayuda a generar inteligencia que al final es un gran valor antildeadidordquo
En la cadena Mango por ejemplo tienen lo que llaman ldquoembajadores de seguridadrdquo empleados
de la compantildeiacutea que no son informaacuteticos pero que estaacuten atentos a lo que pasa en cada
departamento ldquoCuando lanzamos la medida nos sorprendioacute el nuacutemero de personas que se
Riesgos que las organizaciones consideran
maacutes relevantes y estaacuten trabajando para mitigar
En
Encuesta realizada por McKinsey entre sus directivos
62Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputacioacuten de la organizacioacuten
Capitalizacioacuten de la empresa
Seguridad fiacutesica
Seguridad nacional
Estabilidad poliacutetica
No sabeno contesta
50
45
39
35
34
26
16
9
7
9
La ciberseguridad en las empresas espantildeolas
Porcentaje de empresas que la han implementado o
lo haraacuten en los proacuteximos dos antildeos
Por nuacutemero de empleados
0 100
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3000
Maacutes de 3000
TOTAL
91
91
84
94
94
100
100
93
Fuente McKinsey y Deloitte
C AYUSO EL PAIacuteS
presentaban voluntariasrdquo En el textil los esfuerzos se concentran en la cadena logiacutestica donde un
error tendriacutea impacto directo en las tiendas Otro ojo lo tienen puesto en los periodos de mayores
ventas como las rebajas o el Black Friday donde admiten haber detectado ldquoun aumento de los
intentos [de acceso indebido] de hasta un 300rdquo
Vuelta al pasado
El virus que infectoacute a Telefoacutenica y a otras muchas empresas e instituciones como el centro
nacional de salud britaacutenico no se dirigiacutea especiacuteficamente a la operadora En un solo diacutea atacoacute a
140000 maacutequinas en maacutes de 100 paiacuteses gracias a una brecha de seguridad en ordenadores con
el sistema operativo Windows no actualizado debidamente
La historia que puede no ser algo del pasado Javier Antoacuten director de ciberseguridad de Fujitsu
recuerda que Microsoft ha dejado de dar soporte hace unos diacuteas a las versiones Windows 7 y
Windows Server 2008 ldquoMuchas compantildeiacuteas que tengan sistemas basados en estas aplicaciones
se han quedado sin ese servicio y tendraacuten que migrar a otros sistemas algo que puede generar
agujeros de seguridad que seguramente van a aprovechar los cibercriminalesrdquo Es insiste una
lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera
sencilla ldquoLa pelea estaacute muy desequilibrada porque los hackers solo tienen un objetivo atacar a
una entidad definida Han pasado de ser golpes masivos a actos dirigidos personalizados Si
quieren atacar a alguien solo tienen que esperar su momento porque nadie estaacute actualizado al
100 en cuanto a parches o soporte de operacionesrdquo Cuando esto ocurre el pago siempre se
reclama en forma de criptomonedas para no dejar rastro Y aunque no hay ninguna norma que
prohiacuteba ceder a la extorsioacuten los expertos recomiendan no hacerlo nunca ldquoa menos que toda tu
compantildeiacutea esteacute en riesgo de desaparicioacutenrdquo matiza Antoacuten Narbona recuerda que aun asiacute puede ser
completamente inuacutetil pagar no garantiza que te devuelvan los datos O que lo vuelvan a intentar
en el futuro
El uacuteltimo recurso
Cuando todo falla entran en juego las aseguradoras que han desarrollado maacutes y maacutes productos
especiacuteficos Todas las grandes desde Mapfre hasta Zurich Axa AIG o Generali han entrado en
este negocio En Allianz por ejemplo aseguran que sus productos no solo sirven para proteger a
pymes y autoacutenomos sino que se enfocan cada vez maacutes a ldquouna estrategia preventivardquo del
ciberdelito Muchas poacutelizas cubren desde la certificacioacuten forense (el peritaje sobre los dantildeos
informaacuteticos) hasta planes de recuperacioacuten de las funciones del negocio o asesoramiento y
defensa juriacutedica frente a la extorsioacuten o el borrado de la huella digital Pero nada sale gratis Un
informe de Kaspersky citado por el Incibe valora en 33700 euros el presupuesto medio que
necesitariacutea una pyme para resolver un problema de seguridad como fugas de datos fraude o
ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten
legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa
Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola
en este sector superada a menudo por las ofertas que realizan grandes consultoras
internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600
firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago
Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y
no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean
autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni
posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las
soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las
mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten
puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez
directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta
demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como
los malos
CONSEJOS PARA PYMES
Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus
recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel
Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios
para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas
preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos
procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo
Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten
ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para
restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme
Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo
Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan
en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos
inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean
cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no
abran correos desconocidos
Se adhiere a los criterios de
Maacutes informacioacuten gt
NEWSLETTER
Recibe la mejor informacioacuten en tubandeja de entrada
Virus informaacuteticos middot Hacker middot Delitos informaacuteticos middot Seguridad internet middot Internet middot Empresas middot Delitos
middot Telecomunicaciones middot Economiacutea middot Comunicaciones middot Justicia
CONTENIDO PATROCINADO
Y ADEMAacuteS
recomendado por
ARCHIVADO EN
Desde 4299 euro DE Barcelona AGranada
VUELING ES
From pound2309 From BarcelonaTo Paris
VUELING UK
Configura el SUV maacutes Vendidoen Espantildea en 2019 desde18500euro
NISSAN
Compantildeeros de trabajotiranos estos son loscomportamientos quehellip
RETINA
Una tuitera arrasa en redes alcontar coacutemo fue su entrevistaenhellip
EPIK
La isla de las tentacionesAndrea explota ante loshellip
TIKITAKAS
Tambieacuten la que maacutes invierte en proteccioacuten La Reserva Federal americana (Fed) lo puso de
manifiesto el pasado martes El ataque a uno de los mayores bancos de Estados Unidos podriacutea
afectar al 38 del sistema financiero de ese paiacutes seguacuten sus caacutelculos El personal de la Fed hizo el
ejercicio de queacute pasariacutea si una gran entidad fuese bloqueada y no pudiese realizar pagos y cobros
durante solo un diacutea el contagio seriacutea inmediato el resto de las entidades intentariacutean apalancar su
liquidez y 4 de cada 10 doacutelares del sistema quedariacutean bloqueados
No es ciencia-ficcioacuten Un informe de McKinsey cita que desde 2013 los llamados ldquoataques
Carbanakrdquo (robos basados en malware) han costado a la banca mundial 1000 millones de
doacutelares En ellos cometidos por al menos tres bandas criminales como despueacutes se acreditoacute los
ladrones demostraron tener un conocimiento sofisticado del entorno digital y entender los
procesos bancarios asiacute como las brechas de seguridad para llegar a cajeros automaacuteticos tarjetas
de creacutedito y transferencias Estas acciones que afectaron a un buen nuacutemero de bancos rusos
tambieacuten dejaron al descubierto la cada vez maacutes difusa relacioacuten entre ciberataques fraudes y
delitos financieros Joseacute Luis Martiacutenez Campuzano portavoz de la patronal bancaria espantildeola
(AEB) cree que ldquoa medida que los bancos fortalecen sus barreras de proteccioacuten los ciberataques
derivan hacia el eslaboacuten maacutes deacutebil de la cadena el cliente a traveacutes de phishing vishing smishingrdquo
Es el mal de este tiempo sociedades maacutes digitalizadas y a la vez maacutes desnudas ante el ciberdelito
Quizaacute por ello las encuestas muestran un derroche de voluntad Un estudio realizado por Willis
Towers Watson y ESI ThoughtLab presentado en Madrid esta semana cita que organizaciones de
todo el mundo quieren aumentar sus inversiones en ciberseguridad un 34 durante el proacuteximo
antildeo y cerca del 12 lo haraacuten en maacutes de un 50 Pero quien crea que el dinero arregla el
problema se equivoca Sin soluciones integrales en todos los niveles del negocio la respuesta
fallaraacute seguacuten los expertos
LA SALUD EL PUNTO DEacuteBIL
Ocurrioacute en un reciente congreso del sector Un responsable de seguridad de una empresa
estadounidense contoacute a un profesional espantildeol la enorme preocupacioacuten que hay en su paiacutes por los
ataques a centros sanitarios Y no como se podriacutea pensar por el simple secuestro o robo de datos
ldquoHablaba de que temen por ejemplo que una manipulacioacuten de los historiales pueda cambiar el grupo
sanguiacuteneo de los pacientes Solo eso podriacutea tener consecuencias catastroacuteficasrdquo relata el receptor de
la confidencia Una serie de ataques registrados a mediados de 2017 en el sector de fabricantes de
medicamentos ya puso en guardia a las farmaceacuteuticas aunque eso no ha evitado que se sigan dando
casos Bayer reconocioacute hace dos semanas que un malware llamado Winnti se infiltroacute en sus
ordenadores el antildeo pasado Su unidad de defensa limpioacute los sistemas afectados y no encontroacute
pruebas de la fuga de datos pero Costin Raiu director de su equipo de seguridad reconocioacute que ldquosoacutelo
porque una empresa haya evitado con eacutexito un episodio no significa que el grupo de criminales que
esteacuten detraacutes de Winnti no lo vuelva a intentarrdquo
iquestCoacutemo debe afrontar el sector sanitario estos problemas Xabier Mitxelena de Accenture cree que
ldquoes un objetivo faacutecil porque tiene muchas puertas de entradardquo La consultora hace simulaciones
perioacutedicas en hospitales y sentildeala que como sector criacutetico las empresas ldquotienen que tomarse maacutes en
serio los riesgos de la tecnologiacuteardquo En especial habla de la ldquosensibilizacioacuten de los meacutedicosrdquo y de la
importancia de establecer comunicaciones seguras Marco Merino responsable de tecnologiacutea de la
empresa genoacutemica Veritas Intercontinental observa dos derivadas del problema La primera se refiere
a los datos personales sobre salud ldquoSu exposicioacuten es muy grave y puede ser utilizada con malicia con
una finalidad de chantaje o como herramienta de presioacuten sobre ciertos colectivos Esto genera
millones de peacuterdidas anuales como se puede comprobar en los informes del sectorrdquo En segundo lugar
estaacute la informacioacuten cliacutenica que las empresas utilizan para la investigacioacuten y desarrollo de nuevos
faacutermacos ldquoEstamos por tanto en una situacioacuten de espionaje industrial Por fortuna ya existen
modelos muy evolucionados de proteccioacutenrdquo
Los servicios puacuteblicos
En el sector puacuteblico la cuestioacuten es parecida La informacioacuten de varios Ayuntamientos en Estados
Unidos (desde Baltimore hasta Atlanta o Nueva Jersey pero tambieacuten ciudades pequentildeas como Riviera
Beach y Lake City) ya ha sido saqueada por ciberdelincuentes y algunas de estas ciudades han optado
por pagar un rescate para poder atender a sus ciudadanos En Espantildea se empiezan a dar casos como
el que afectoacute en octubre al Ayuntamiento de Jerez a traveacutes de un correo electroacutenico y bloqueoacute todos
los ordenadores Un mes antes otros consistorios espantildeoles como el de Bilbao habiacutean sido asaltados
por el mismo virus sin tanto eacutexito Los vecinos de la ciudad andaluza tuvieron que soportar durante
varios diacuteas el bloqueo de multitud de traacutemites como el padroacuten o cambios de domicilio La alcaldesa
Mamen Saacutenchez se negoacute a pagar rescate alguno
Para Jesuacutes Romero socio de consultoriacutea en ciberseguridad de PWC ldquoel riesgo tecnoloacutegico cada
vez tiene maacutes peso y hay un punto clave ademaacutes de prepararse para proteger sus activos ahora
la empresa tiene que estar preparada para responder Es importante que sea resiliente a un
ataque que sepa actuar y remediarlo cuanto antes porque el tiempo es fundamentalrdquo Como
otros consultados insiste en que la seguridad absoluta ldquono existerdquo ldquoCada compantildeiacutea debe saber el
riesgo residual con el que puede convivir para garantizar la continuidad de las operaciones la
proteccioacuten de su marca y la informacioacuten de sus clientesrdquo
Xabier Mitxelena responsable de Accenture Security en Espantildea pone un ejemplo muy graacutefico ldquoSi
entras en el metro con tu hijo y ves algo parecido a un bocadillo envuelto en papel lo primero que
le dices es que no lo coja Pero cuando vamos a cualquier sitio lo primero que hacemos es buscar
la wifi sin saber si es segurardquo
Suerte que en este caso la regulacioacuten tira del desarrollo de la seguridad informaacutetica La decena
larga de expertos consultados citan el Reglamento Europeo de Ciberseguridad el Reglamento
General de Proteccioacuten de Datos o la Ley de Seguridad Privada junto a un puntildeado de reales
decretos reglamentos e instrucciones teacutecnicas que han cambiado la visioacuten del problema desde
los consejos de administracioacuten ldquoCuando empeceacute en esto intentaba hacer ver que la seguridad no
es un concepto tecnoloacutegico que si haces bien las cosas tienes una ventaja de calidad Hasta
ahora habiacuteamos construido una seguridad reactiva intentando proteger el periacutemetro de la
empresa con barreras pero ese periacutemetro ha cambiado y ha subido la valoracioacuten del dato como
elemento diferenciador de la competitividad de la empresardquo dice Mitxelena Al menos las grandes
compantildeiacuteas dicen tener integrada la seguridad como un elemento embebido en el negocio y no
como un coste o una unidad separada del resto Tienen muchos maacutes recursos y estaacuten dispuestas
a apostar por la ciberseguridad porque ademaacutes saben que a la larga les supondraacute un ahorro y
puede que les ofrezca ventajas frente a competidores Seguacuten un estudio mundial de Accenture
publicado el antildeo pasado los ataques que terminan con eacutexito causan peacuterdidas medias de ocho
millones de euros por compantildeiacutea en Espantildea En Estados Unidos el botiacuten sube a 22 millones
Lecciones aprendidas
Las consultoras recomiendan ademaacutes de concienciacioacuten poner a prueba la capacidad de las
empresas con simulacros perioacutedicos y anaacutelisis continuos Es algo habitual en las grandes del Ibex
y en algunos sectores que tambieacuten son muy sensibles como el farmaceacuteutico Y si ocurre el
desastre hay que cruzar los dedos y no entrar en paacutenico
Telefoacutenica ha aprendido del incidente que vivioacute en la mantildeana del 12 de mayo de 2017 cuando
sufrioacute el golpe del ransomware llamado Wannacry Hoy Juan Carlos Goacutemez director global de
ciberinteligencia de la compantildeiacutea explica que la alta direccioacuten estaacute muy concienciada con este
tema Su organizacioacuten integra la seguridad dentro del mismo paraguas y combina distintas
herramientas desde las que ofrecen proveedores externos hasta las desarrolladas en la compantildeiacutea
o cada vez maacutes las que obtienen de las start-ups donde invierten Su red dice Goacutemez es global y
se apoya en 15 centros situados en los paiacuteses donde opera ldquoTenemos un gran volumen de activos
a proteger hacemos un gran esfuerzo en la concienciacioacuten de los empleados porque por muchas
medidas que tengas alguien puede hacer un clic y propagar un ataquerdquo Esa seguridad apoya
Fernando Anaya ldquodebe ser multicapa no hay una solucioacuten uacutenica ni una sola tecnologiacutea sino un
procesordquo Lo mismo opina Carmen Dufur directora de ese aacuterea de la consultora Capgemini ldquoEn
nuestro caso trabajamos 4000 personas en ciberseguridad en todo el mundo y eso crea una gran
comunidad que ayuda a generar inteligencia que al final es un gran valor antildeadidordquo
En la cadena Mango por ejemplo tienen lo que llaman ldquoembajadores de seguridadrdquo empleados
de la compantildeiacutea que no son informaacuteticos pero que estaacuten atentos a lo que pasa en cada
departamento ldquoCuando lanzamos la medida nos sorprendioacute el nuacutemero de personas que se
Riesgos que las organizaciones consideran
maacutes relevantes y estaacuten trabajando para mitigar
En
Encuesta realizada por McKinsey entre sus directivos
62Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputacioacuten de la organizacioacuten
Capitalizacioacuten de la empresa
Seguridad fiacutesica
Seguridad nacional
Estabilidad poliacutetica
No sabeno contesta
50
45
39
35
34
26
16
9
7
9
La ciberseguridad en las empresas espantildeolas
Porcentaje de empresas que la han implementado o
lo haraacuten en los proacuteximos dos antildeos
Por nuacutemero de empleados
0 100
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3000
Maacutes de 3000
TOTAL
91
91
84
94
94
100
100
93
Fuente McKinsey y Deloitte
C AYUSO EL PAIacuteS
presentaban voluntariasrdquo En el textil los esfuerzos se concentran en la cadena logiacutestica donde un
error tendriacutea impacto directo en las tiendas Otro ojo lo tienen puesto en los periodos de mayores
ventas como las rebajas o el Black Friday donde admiten haber detectado ldquoun aumento de los
intentos [de acceso indebido] de hasta un 300rdquo
Vuelta al pasado
El virus que infectoacute a Telefoacutenica y a otras muchas empresas e instituciones como el centro
nacional de salud britaacutenico no se dirigiacutea especiacuteficamente a la operadora En un solo diacutea atacoacute a
140000 maacutequinas en maacutes de 100 paiacuteses gracias a una brecha de seguridad en ordenadores con
el sistema operativo Windows no actualizado debidamente
La historia que puede no ser algo del pasado Javier Antoacuten director de ciberseguridad de Fujitsu
recuerda que Microsoft ha dejado de dar soporte hace unos diacuteas a las versiones Windows 7 y
Windows Server 2008 ldquoMuchas compantildeiacuteas que tengan sistemas basados en estas aplicaciones
se han quedado sin ese servicio y tendraacuten que migrar a otros sistemas algo que puede generar
agujeros de seguridad que seguramente van a aprovechar los cibercriminalesrdquo Es insiste una
lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera
sencilla ldquoLa pelea estaacute muy desequilibrada porque los hackers solo tienen un objetivo atacar a
una entidad definida Han pasado de ser golpes masivos a actos dirigidos personalizados Si
quieren atacar a alguien solo tienen que esperar su momento porque nadie estaacute actualizado al
100 en cuanto a parches o soporte de operacionesrdquo Cuando esto ocurre el pago siempre se
reclama en forma de criptomonedas para no dejar rastro Y aunque no hay ninguna norma que
prohiacuteba ceder a la extorsioacuten los expertos recomiendan no hacerlo nunca ldquoa menos que toda tu
compantildeiacutea esteacute en riesgo de desaparicioacutenrdquo matiza Antoacuten Narbona recuerda que aun asiacute puede ser
completamente inuacutetil pagar no garantiza que te devuelvan los datos O que lo vuelvan a intentar
en el futuro
El uacuteltimo recurso
Cuando todo falla entran en juego las aseguradoras que han desarrollado maacutes y maacutes productos
especiacuteficos Todas las grandes desde Mapfre hasta Zurich Axa AIG o Generali han entrado en
este negocio En Allianz por ejemplo aseguran que sus productos no solo sirven para proteger a
pymes y autoacutenomos sino que se enfocan cada vez maacutes a ldquouna estrategia preventivardquo del
ciberdelito Muchas poacutelizas cubren desde la certificacioacuten forense (el peritaje sobre los dantildeos
informaacuteticos) hasta planes de recuperacioacuten de las funciones del negocio o asesoramiento y
defensa juriacutedica frente a la extorsioacuten o el borrado de la huella digital Pero nada sale gratis Un
informe de Kaspersky citado por el Incibe valora en 33700 euros el presupuesto medio que
necesitariacutea una pyme para resolver un problema de seguridad como fugas de datos fraude o
ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten
legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa
Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola
en este sector superada a menudo por las ofertas que realizan grandes consultoras
internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600
firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago
Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y
no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean
autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni
posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las
soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las
mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten
puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez
directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta
demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como
los malos
CONSEJOS PARA PYMES
Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus
recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel
Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios
para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas
preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos
procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo
Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten
ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para
restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme
Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo
Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan
en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos
inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean
cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no
abran correos desconocidos
Se adhiere a los criterios de
Maacutes informacioacuten gt
NEWSLETTER
Recibe la mejor informacioacuten en tubandeja de entrada
Virus informaacuteticos middot Hacker middot Delitos informaacuteticos middot Seguridad internet middot Internet middot Empresas middot Delitos
middot Telecomunicaciones middot Economiacutea middot Comunicaciones middot Justicia
CONTENIDO PATROCINADO
Y ADEMAacuteS
recomendado por
ARCHIVADO EN
Desde 4299 euro DE Barcelona AGranada
VUELING ES
From pound2309 From BarcelonaTo Paris
VUELING UK
Configura el SUV maacutes Vendidoen Espantildea en 2019 desde18500euro
NISSAN
Compantildeeros de trabajotiranos estos son loscomportamientos quehellip
RETINA
Una tuitera arrasa en redes alcontar coacutemo fue su entrevistaenhellip
EPIK
La isla de las tentacionesAndrea explota ante loshellip
TIKITAKAS
iquestCoacutemo debe afrontar el sector sanitario estos problemas Xabier Mitxelena de Accenture cree que
ldquoes un objetivo faacutecil porque tiene muchas puertas de entradardquo La consultora hace simulaciones
perioacutedicas en hospitales y sentildeala que como sector criacutetico las empresas ldquotienen que tomarse maacutes en
serio los riesgos de la tecnologiacuteardquo En especial habla de la ldquosensibilizacioacuten de los meacutedicosrdquo y de la
importancia de establecer comunicaciones seguras Marco Merino responsable de tecnologiacutea de la
empresa genoacutemica Veritas Intercontinental observa dos derivadas del problema La primera se refiere
a los datos personales sobre salud ldquoSu exposicioacuten es muy grave y puede ser utilizada con malicia con
una finalidad de chantaje o como herramienta de presioacuten sobre ciertos colectivos Esto genera
millones de peacuterdidas anuales como se puede comprobar en los informes del sectorrdquo En segundo lugar
estaacute la informacioacuten cliacutenica que las empresas utilizan para la investigacioacuten y desarrollo de nuevos
faacutermacos ldquoEstamos por tanto en una situacioacuten de espionaje industrial Por fortuna ya existen
modelos muy evolucionados de proteccioacutenrdquo
Los servicios puacuteblicos
En el sector puacuteblico la cuestioacuten es parecida La informacioacuten de varios Ayuntamientos en Estados
Unidos (desde Baltimore hasta Atlanta o Nueva Jersey pero tambieacuten ciudades pequentildeas como Riviera
Beach y Lake City) ya ha sido saqueada por ciberdelincuentes y algunas de estas ciudades han optado
por pagar un rescate para poder atender a sus ciudadanos En Espantildea se empiezan a dar casos como
el que afectoacute en octubre al Ayuntamiento de Jerez a traveacutes de un correo electroacutenico y bloqueoacute todos
los ordenadores Un mes antes otros consistorios espantildeoles como el de Bilbao habiacutean sido asaltados
por el mismo virus sin tanto eacutexito Los vecinos de la ciudad andaluza tuvieron que soportar durante
varios diacuteas el bloqueo de multitud de traacutemites como el padroacuten o cambios de domicilio La alcaldesa
Mamen Saacutenchez se negoacute a pagar rescate alguno
Para Jesuacutes Romero socio de consultoriacutea en ciberseguridad de PWC ldquoel riesgo tecnoloacutegico cada
vez tiene maacutes peso y hay un punto clave ademaacutes de prepararse para proteger sus activos ahora
la empresa tiene que estar preparada para responder Es importante que sea resiliente a un
ataque que sepa actuar y remediarlo cuanto antes porque el tiempo es fundamentalrdquo Como
otros consultados insiste en que la seguridad absoluta ldquono existerdquo ldquoCada compantildeiacutea debe saber el
riesgo residual con el que puede convivir para garantizar la continuidad de las operaciones la
proteccioacuten de su marca y la informacioacuten de sus clientesrdquo
Xabier Mitxelena responsable de Accenture Security en Espantildea pone un ejemplo muy graacutefico ldquoSi
entras en el metro con tu hijo y ves algo parecido a un bocadillo envuelto en papel lo primero que
le dices es que no lo coja Pero cuando vamos a cualquier sitio lo primero que hacemos es buscar
la wifi sin saber si es segurardquo
Suerte que en este caso la regulacioacuten tira del desarrollo de la seguridad informaacutetica La decena
larga de expertos consultados citan el Reglamento Europeo de Ciberseguridad el Reglamento
General de Proteccioacuten de Datos o la Ley de Seguridad Privada junto a un puntildeado de reales
decretos reglamentos e instrucciones teacutecnicas que han cambiado la visioacuten del problema desde
los consejos de administracioacuten ldquoCuando empeceacute en esto intentaba hacer ver que la seguridad no
es un concepto tecnoloacutegico que si haces bien las cosas tienes una ventaja de calidad Hasta
ahora habiacuteamos construido una seguridad reactiva intentando proteger el periacutemetro de la
empresa con barreras pero ese periacutemetro ha cambiado y ha subido la valoracioacuten del dato como
elemento diferenciador de la competitividad de la empresardquo dice Mitxelena Al menos las grandes
compantildeiacuteas dicen tener integrada la seguridad como un elemento embebido en el negocio y no
como un coste o una unidad separada del resto Tienen muchos maacutes recursos y estaacuten dispuestas
a apostar por la ciberseguridad porque ademaacutes saben que a la larga les supondraacute un ahorro y
puede que les ofrezca ventajas frente a competidores Seguacuten un estudio mundial de Accenture
publicado el antildeo pasado los ataques que terminan con eacutexito causan peacuterdidas medias de ocho
millones de euros por compantildeiacutea en Espantildea En Estados Unidos el botiacuten sube a 22 millones
Lecciones aprendidas
Las consultoras recomiendan ademaacutes de concienciacioacuten poner a prueba la capacidad de las
empresas con simulacros perioacutedicos y anaacutelisis continuos Es algo habitual en las grandes del Ibex
y en algunos sectores que tambieacuten son muy sensibles como el farmaceacuteutico Y si ocurre el
desastre hay que cruzar los dedos y no entrar en paacutenico
Telefoacutenica ha aprendido del incidente que vivioacute en la mantildeana del 12 de mayo de 2017 cuando
sufrioacute el golpe del ransomware llamado Wannacry Hoy Juan Carlos Goacutemez director global de
ciberinteligencia de la compantildeiacutea explica que la alta direccioacuten estaacute muy concienciada con este
tema Su organizacioacuten integra la seguridad dentro del mismo paraguas y combina distintas
herramientas desde las que ofrecen proveedores externos hasta las desarrolladas en la compantildeiacutea
o cada vez maacutes las que obtienen de las start-ups donde invierten Su red dice Goacutemez es global y
se apoya en 15 centros situados en los paiacuteses donde opera ldquoTenemos un gran volumen de activos
a proteger hacemos un gran esfuerzo en la concienciacioacuten de los empleados porque por muchas
medidas que tengas alguien puede hacer un clic y propagar un ataquerdquo Esa seguridad apoya
Fernando Anaya ldquodebe ser multicapa no hay una solucioacuten uacutenica ni una sola tecnologiacutea sino un
procesordquo Lo mismo opina Carmen Dufur directora de ese aacuterea de la consultora Capgemini ldquoEn
nuestro caso trabajamos 4000 personas en ciberseguridad en todo el mundo y eso crea una gran
comunidad que ayuda a generar inteligencia que al final es un gran valor antildeadidordquo
En la cadena Mango por ejemplo tienen lo que llaman ldquoembajadores de seguridadrdquo empleados
de la compantildeiacutea que no son informaacuteticos pero que estaacuten atentos a lo que pasa en cada
departamento ldquoCuando lanzamos la medida nos sorprendioacute el nuacutemero de personas que se
Riesgos que las organizaciones consideran
maacutes relevantes y estaacuten trabajando para mitigar
En
Encuesta realizada por McKinsey entre sus directivos
62Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputacioacuten de la organizacioacuten
Capitalizacioacuten de la empresa
Seguridad fiacutesica
Seguridad nacional
Estabilidad poliacutetica
No sabeno contesta
50
45
39
35
34
26
16
9
7
9
La ciberseguridad en las empresas espantildeolas
Porcentaje de empresas que la han implementado o
lo haraacuten en los proacuteximos dos antildeos
Por nuacutemero de empleados
0 100
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3000
Maacutes de 3000
TOTAL
91
91
84
94
94
100
100
93
Fuente McKinsey y Deloitte
C AYUSO EL PAIacuteS
presentaban voluntariasrdquo En el textil los esfuerzos se concentran en la cadena logiacutestica donde un
error tendriacutea impacto directo en las tiendas Otro ojo lo tienen puesto en los periodos de mayores
ventas como las rebajas o el Black Friday donde admiten haber detectado ldquoun aumento de los
intentos [de acceso indebido] de hasta un 300rdquo
Vuelta al pasado
El virus que infectoacute a Telefoacutenica y a otras muchas empresas e instituciones como el centro
nacional de salud britaacutenico no se dirigiacutea especiacuteficamente a la operadora En un solo diacutea atacoacute a
140000 maacutequinas en maacutes de 100 paiacuteses gracias a una brecha de seguridad en ordenadores con
el sistema operativo Windows no actualizado debidamente
La historia que puede no ser algo del pasado Javier Antoacuten director de ciberseguridad de Fujitsu
recuerda que Microsoft ha dejado de dar soporte hace unos diacuteas a las versiones Windows 7 y
Windows Server 2008 ldquoMuchas compantildeiacuteas que tengan sistemas basados en estas aplicaciones
se han quedado sin ese servicio y tendraacuten que migrar a otros sistemas algo que puede generar
agujeros de seguridad que seguramente van a aprovechar los cibercriminalesrdquo Es insiste una
lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera
sencilla ldquoLa pelea estaacute muy desequilibrada porque los hackers solo tienen un objetivo atacar a
una entidad definida Han pasado de ser golpes masivos a actos dirigidos personalizados Si
quieren atacar a alguien solo tienen que esperar su momento porque nadie estaacute actualizado al
100 en cuanto a parches o soporte de operacionesrdquo Cuando esto ocurre el pago siempre se
reclama en forma de criptomonedas para no dejar rastro Y aunque no hay ninguna norma que
prohiacuteba ceder a la extorsioacuten los expertos recomiendan no hacerlo nunca ldquoa menos que toda tu
compantildeiacutea esteacute en riesgo de desaparicioacutenrdquo matiza Antoacuten Narbona recuerda que aun asiacute puede ser
completamente inuacutetil pagar no garantiza que te devuelvan los datos O que lo vuelvan a intentar
en el futuro
El uacuteltimo recurso
Cuando todo falla entran en juego las aseguradoras que han desarrollado maacutes y maacutes productos
especiacuteficos Todas las grandes desde Mapfre hasta Zurich Axa AIG o Generali han entrado en
este negocio En Allianz por ejemplo aseguran que sus productos no solo sirven para proteger a
pymes y autoacutenomos sino que se enfocan cada vez maacutes a ldquouna estrategia preventivardquo del
ciberdelito Muchas poacutelizas cubren desde la certificacioacuten forense (el peritaje sobre los dantildeos
informaacuteticos) hasta planes de recuperacioacuten de las funciones del negocio o asesoramiento y
defensa juriacutedica frente a la extorsioacuten o el borrado de la huella digital Pero nada sale gratis Un
informe de Kaspersky citado por el Incibe valora en 33700 euros el presupuesto medio que
necesitariacutea una pyme para resolver un problema de seguridad como fugas de datos fraude o
ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten
legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa
Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola
en este sector superada a menudo por las ofertas que realizan grandes consultoras
internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600
firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago
Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y
no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean
autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni
posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las
soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las
mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten
puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez
directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta
demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como
los malos
CONSEJOS PARA PYMES
Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus
recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel
Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios
para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas
preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos
procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo
Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten
ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para
restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme
Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo
Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan
en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos
inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean
cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no
abran correos desconocidos
Se adhiere a los criterios de
Maacutes informacioacuten gt
NEWSLETTER
Recibe la mejor informacioacuten en tubandeja de entrada
Virus informaacuteticos middot Hacker middot Delitos informaacuteticos middot Seguridad internet middot Internet middot Empresas middot Delitos
middot Telecomunicaciones middot Economiacutea middot Comunicaciones middot Justicia
CONTENIDO PATROCINADO
Y ADEMAacuteS
recomendado por
ARCHIVADO EN
Desde 4299 euro DE Barcelona AGranada
VUELING ES
From pound2309 From BarcelonaTo Paris
VUELING UK
Configura el SUV maacutes Vendidoen Espantildea en 2019 desde18500euro
NISSAN
Compantildeeros de trabajotiranos estos son loscomportamientos quehellip
RETINA
Una tuitera arrasa en redes alcontar coacutemo fue su entrevistaenhellip
EPIK
La isla de las tentacionesAndrea explota ante loshellip
TIKITAKAS
ahora habiacuteamos construido una seguridad reactiva intentando proteger el periacutemetro de la
empresa con barreras pero ese periacutemetro ha cambiado y ha subido la valoracioacuten del dato como
elemento diferenciador de la competitividad de la empresardquo dice Mitxelena Al menos las grandes
compantildeiacuteas dicen tener integrada la seguridad como un elemento embebido en el negocio y no
como un coste o una unidad separada del resto Tienen muchos maacutes recursos y estaacuten dispuestas
a apostar por la ciberseguridad porque ademaacutes saben que a la larga les supondraacute un ahorro y
puede que les ofrezca ventajas frente a competidores Seguacuten un estudio mundial de Accenture
publicado el antildeo pasado los ataques que terminan con eacutexito causan peacuterdidas medias de ocho
millones de euros por compantildeiacutea en Espantildea En Estados Unidos el botiacuten sube a 22 millones
Lecciones aprendidas
Las consultoras recomiendan ademaacutes de concienciacioacuten poner a prueba la capacidad de las
empresas con simulacros perioacutedicos y anaacutelisis continuos Es algo habitual en las grandes del Ibex
y en algunos sectores que tambieacuten son muy sensibles como el farmaceacuteutico Y si ocurre el
desastre hay que cruzar los dedos y no entrar en paacutenico
Telefoacutenica ha aprendido del incidente que vivioacute en la mantildeana del 12 de mayo de 2017 cuando
sufrioacute el golpe del ransomware llamado Wannacry Hoy Juan Carlos Goacutemez director global de
ciberinteligencia de la compantildeiacutea explica que la alta direccioacuten estaacute muy concienciada con este
tema Su organizacioacuten integra la seguridad dentro del mismo paraguas y combina distintas
herramientas desde las que ofrecen proveedores externos hasta las desarrolladas en la compantildeiacutea
o cada vez maacutes las que obtienen de las start-ups donde invierten Su red dice Goacutemez es global y
se apoya en 15 centros situados en los paiacuteses donde opera ldquoTenemos un gran volumen de activos
a proteger hacemos un gran esfuerzo en la concienciacioacuten de los empleados porque por muchas
medidas que tengas alguien puede hacer un clic y propagar un ataquerdquo Esa seguridad apoya
Fernando Anaya ldquodebe ser multicapa no hay una solucioacuten uacutenica ni una sola tecnologiacutea sino un
procesordquo Lo mismo opina Carmen Dufur directora de ese aacuterea de la consultora Capgemini ldquoEn
nuestro caso trabajamos 4000 personas en ciberseguridad en todo el mundo y eso crea una gran
comunidad que ayuda a generar inteligencia que al final es un gran valor antildeadidordquo
En la cadena Mango por ejemplo tienen lo que llaman ldquoembajadores de seguridadrdquo empleados
de la compantildeiacutea que no son informaacuteticos pero que estaacuten atentos a lo que pasa en cada
departamento ldquoCuando lanzamos la medida nos sorprendioacute el nuacutemero de personas que se
Riesgos que las organizaciones consideran
maacutes relevantes y estaacuten trabajando para mitigar
En
Encuesta realizada por McKinsey entre sus directivos
62Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputacioacuten de la organizacioacuten
Capitalizacioacuten de la empresa
Seguridad fiacutesica
Seguridad nacional
Estabilidad poliacutetica
No sabeno contesta
50
45
39
35
34
26
16
9
7
9
La ciberseguridad en las empresas espantildeolas
Porcentaje de empresas que la han implementado o
lo haraacuten en los proacuteximos dos antildeos
Por nuacutemero de empleados
0 100
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3000
Maacutes de 3000
TOTAL
91
91
84
94
94
100
100
93
Fuente McKinsey y Deloitte
C AYUSO EL PAIacuteS
presentaban voluntariasrdquo En el textil los esfuerzos se concentran en la cadena logiacutestica donde un
error tendriacutea impacto directo en las tiendas Otro ojo lo tienen puesto en los periodos de mayores
ventas como las rebajas o el Black Friday donde admiten haber detectado ldquoun aumento de los
intentos [de acceso indebido] de hasta un 300rdquo
Vuelta al pasado
El virus que infectoacute a Telefoacutenica y a otras muchas empresas e instituciones como el centro
nacional de salud britaacutenico no se dirigiacutea especiacuteficamente a la operadora En un solo diacutea atacoacute a
140000 maacutequinas en maacutes de 100 paiacuteses gracias a una brecha de seguridad en ordenadores con
el sistema operativo Windows no actualizado debidamente
La historia que puede no ser algo del pasado Javier Antoacuten director de ciberseguridad de Fujitsu
recuerda que Microsoft ha dejado de dar soporte hace unos diacuteas a las versiones Windows 7 y
Windows Server 2008 ldquoMuchas compantildeiacuteas que tengan sistemas basados en estas aplicaciones
se han quedado sin ese servicio y tendraacuten que migrar a otros sistemas algo que puede generar
agujeros de seguridad que seguramente van a aprovechar los cibercriminalesrdquo Es insiste una
lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera
sencilla ldquoLa pelea estaacute muy desequilibrada porque los hackers solo tienen un objetivo atacar a
una entidad definida Han pasado de ser golpes masivos a actos dirigidos personalizados Si
quieren atacar a alguien solo tienen que esperar su momento porque nadie estaacute actualizado al
100 en cuanto a parches o soporte de operacionesrdquo Cuando esto ocurre el pago siempre se
reclama en forma de criptomonedas para no dejar rastro Y aunque no hay ninguna norma que
prohiacuteba ceder a la extorsioacuten los expertos recomiendan no hacerlo nunca ldquoa menos que toda tu
compantildeiacutea esteacute en riesgo de desaparicioacutenrdquo matiza Antoacuten Narbona recuerda que aun asiacute puede ser
completamente inuacutetil pagar no garantiza que te devuelvan los datos O que lo vuelvan a intentar
en el futuro
El uacuteltimo recurso
Cuando todo falla entran en juego las aseguradoras que han desarrollado maacutes y maacutes productos
especiacuteficos Todas las grandes desde Mapfre hasta Zurich Axa AIG o Generali han entrado en
este negocio En Allianz por ejemplo aseguran que sus productos no solo sirven para proteger a
pymes y autoacutenomos sino que se enfocan cada vez maacutes a ldquouna estrategia preventivardquo del
ciberdelito Muchas poacutelizas cubren desde la certificacioacuten forense (el peritaje sobre los dantildeos
informaacuteticos) hasta planes de recuperacioacuten de las funciones del negocio o asesoramiento y
defensa juriacutedica frente a la extorsioacuten o el borrado de la huella digital Pero nada sale gratis Un
informe de Kaspersky citado por el Incibe valora en 33700 euros el presupuesto medio que
necesitariacutea una pyme para resolver un problema de seguridad como fugas de datos fraude o
ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten
legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa
Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola
en este sector superada a menudo por las ofertas que realizan grandes consultoras
internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600
firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago
Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y
no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean
autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni
posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las
soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las
mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten
puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez
directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta
demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como
los malos
CONSEJOS PARA PYMES
Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus
recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel
Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios
para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas
preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos
procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo
Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten
ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para
restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme
Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo
Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan
en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos
inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean
cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no
abran correos desconocidos
Se adhiere a los criterios de
Maacutes informacioacuten gt
NEWSLETTER
Recibe la mejor informacioacuten en tubandeja de entrada
Virus informaacuteticos middot Hacker middot Delitos informaacuteticos middot Seguridad internet middot Internet middot Empresas middot Delitos
middot Telecomunicaciones middot Economiacutea middot Comunicaciones middot Justicia
CONTENIDO PATROCINADO
Y ADEMAacuteS
recomendado por
ARCHIVADO EN
Desde 4299 euro DE Barcelona AGranada
VUELING ES
From pound2309 From BarcelonaTo Paris
VUELING UK
Configura el SUV maacutes Vendidoen Espantildea en 2019 desde18500euro
NISSAN
Compantildeeros de trabajotiranos estos son loscomportamientos quehellip
RETINA
Una tuitera arrasa en redes alcontar coacutemo fue su entrevistaenhellip
EPIK
La isla de las tentacionesAndrea explota ante loshellip
TIKITAKAS
En la cadena Mango por ejemplo tienen lo que llaman ldquoembajadores de seguridadrdquo empleados
de la compantildeiacutea que no son informaacuteticos pero que estaacuten atentos a lo que pasa en cada
departamento ldquoCuando lanzamos la medida nos sorprendioacute el nuacutemero de personas que se
Riesgos que las organizaciones consideran
maacutes relevantes y estaacuten trabajando para mitigar
En
Encuesta realizada por McKinsey entre sus directivos
62Ciberseguridad
Cumplimiento normativo
Privacidad personal
Inteligencia artificial
Desplazamientos de empleados
Reputacioacuten de la organizacioacuten
Capitalizacioacuten de la empresa
Seguridad fiacutesica
Seguridad nacional
Estabilidad poliacutetica
No sabeno contesta
50
45
39
35
34
26
16
9
7
9
La ciberseguridad en las empresas espantildeolas
Porcentaje de empresas que la han implementado o
lo haraacuten en los proacuteximos dos antildeos
Por nuacutemero de empleados
0 100
Menos de 30
De 30 a 60
De 60 a 150
De 150 a 300
De 300 a 600
De 600 a 3000
Maacutes de 3000
TOTAL
91
91
84
94
94
100
100
93
Fuente McKinsey y Deloitte
C AYUSO EL PAIacuteS
presentaban voluntariasrdquo En el textil los esfuerzos se concentran en la cadena logiacutestica donde un
error tendriacutea impacto directo en las tiendas Otro ojo lo tienen puesto en los periodos de mayores
ventas como las rebajas o el Black Friday donde admiten haber detectado ldquoun aumento de los
intentos [de acceso indebido] de hasta un 300rdquo
Vuelta al pasado
El virus que infectoacute a Telefoacutenica y a otras muchas empresas e instituciones como el centro
nacional de salud britaacutenico no se dirigiacutea especiacuteficamente a la operadora En un solo diacutea atacoacute a
140000 maacutequinas en maacutes de 100 paiacuteses gracias a una brecha de seguridad en ordenadores con
el sistema operativo Windows no actualizado debidamente
La historia que puede no ser algo del pasado Javier Antoacuten director de ciberseguridad de Fujitsu
recuerda que Microsoft ha dejado de dar soporte hace unos diacuteas a las versiones Windows 7 y
Windows Server 2008 ldquoMuchas compantildeiacuteas que tengan sistemas basados en estas aplicaciones
se han quedado sin ese servicio y tendraacuten que migrar a otros sistemas algo que puede generar
agujeros de seguridad que seguramente van a aprovechar los cibercriminalesrdquo Es insiste una
lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera
sencilla ldquoLa pelea estaacute muy desequilibrada porque los hackers solo tienen un objetivo atacar a
una entidad definida Han pasado de ser golpes masivos a actos dirigidos personalizados Si
quieren atacar a alguien solo tienen que esperar su momento porque nadie estaacute actualizado al
100 en cuanto a parches o soporte de operacionesrdquo Cuando esto ocurre el pago siempre se
reclama en forma de criptomonedas para no dejar rastro Y aunque no hay ninguna norma que
prohiacuteba ceder a la extorsioacuten los expertos recomiendan no hacerlo nunca ldquoa menos que toda tu
compantildeiacutea esteacute en riesgo de desaparicioacutenrdquo matiza Antoacuten Narbona recuerda que aun asiacute puede ser
completamente inuacutetil pagar no garantiza que te devuelvan los datos O que lo vuelvan a intentar
en el futuro
El uacuteltimo recurso
Cuando todo falla entran en juego las aseguradoras que han desarrollado maacutes y maacutes productos
especiacuteficos Todas las grandes desde Mapfre hasta Zurich Axa AIG o Generali han entrado en
este negocio En Allianz por ejemplo aseguran que sus productos no solo sirven para proteger a
pymes y autoacutenomos sino que se enfocan cada vez maacutes a ldquouna estrategia preventivardquo del
ciberdelito Muchas poacutelizas cubren desde la certificacioacuten forense (el peritaje sobre los dantildeos
informaacuteticos) hasta planes de recuperacioacuten de las funciones del negocio o asesoramiento y
defensa juriacutedica frente a la extorsioacuten o el borrado de la huella digital Pero nada sale gratis Un
informe de Kaspersky citado por el Incibe valora en 33700 euros el presupuesto medio que
necesitariacutea una pyme para resolver un problema de seguridad como fugas de datos fraude o
ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten
legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa
Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola
en este sector superada a menudo por las ofertas que realizan grandes consultoras
internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600
firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago
Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y
no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean
autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni
posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las
soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las
mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten
puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez
directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta
demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como
los malos
CONSEJOS PARA PYMES
Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus
recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel
Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios
para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas
preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos
procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo
Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten
ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para
restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme
Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo
Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan
en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos
inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean
cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no
abran correos desconocidos
Se adhiere a los criterios de
Maacutes informacioacuten gt
NEWSLETTER
Recibe la mejor informacioacuten en tubandeja de entrada
Virus informaacuteticos middot Hacker middot Delitos informaacuteticos middot Seguridad internet middot Internet middot Empresas middot Delitos
middot Telecomunicaciones middot Economiacutea middot Comunicaciones middot Justicia
CONTENIDO PATROCINADO
Y ADEMAacuteS
recomendado por
ARCHIVADO EN
Desde 4299 euro DE Barcelona AGranada
VUELING ES
From pound2309 From BarcelonaTo Paris
VUELING UK
Configura el SUV maacutes Vendidoen Espantildea en 2019 desde18500euro
NISSAN
Compantildeeros de trabajotiranos estos son loscomportamientos quehellip
RETINA
Una tuitera arrasa en redes alcontar coacutemo fue su entrevistaenhellip
EPIK
La isla de las tentacionesAndrea explota ante loshellip
TIKITAKAS
presentaban voluntariasrdquo En el textil los esfuerzos se concentran en la cadena logiacutestica donde un
error tendriacutea impacto directo en las tiendas Otro ojo lo tienen puesto en los periodos de mayores
ventas como las rebajas o el Black Friday donde admiten haber detectado ldquoun aumento de los
intentos [de acceso indebido] de hasta un 300rdquo
Vuelta al pasado
El virus que infectoacute a Telefoacutenica y a otras muchas empresas e instituciones como el centro
nacional de salud britaacutenico no se dirigiacutea especiacuteficamente a la operadora En un solo diacutea atacoacute a
140000 maacutequinas en maacutes de 100 paiacuteses gracias a una brecha de seguridad en ordenadores con
el sistema operativo Windows no actualizado debidamente
La historia que puede no ser algo del pasado Javier Antoacuten director de ciberseguridad de Fujitsu
recuerda que Microsoft ha dejado de dar soporte hace unos diacuteas a las versiones Windows 7 y
Windows Server 2008 ldquoMuchas compantildeiacuteas que tengan sistemas basados en estas aplicaciones
se han quedado sin ese servicio y tendraacuten que migrar a otros sistemas algo que puede generar
agujeros de seguridad que seguramente van a aprovechar los cibercriminalesrdquo Es insiste una
lucha desigual donde los atacantes son capaces de convertir en dinero sus golpes de manera
sencilla ldquoLa pelea estaacute muy desequilibrada porque los hackers solo tienen un objetivo atacar a
una entidad definida Han pasado de ser golpes masivos a actos dirigidos personalizados Si
quieren atacar a alguien solo tienen que esperar su momento porque nadie estaacute actualizado al
100 en cuanto a parches o soporte de operacionesrdquo Cuando esto ocurre el pago siempre se
reclama en forma de criptomonedas para no dejar rastro Y aunque no hay ninguna norma que
prohiacuteba ceder a la extorsioacuten los expertos recomiendan no hacerlo nunca ldquoa menos que toda tu
compantildeiacutea esteacute en riesgo de desaparicioacutenrdquo matiza Antoacuten Narbona recuerda que aun asiacute puede ser
completamente inuacutetil pagar no garantiza que te devuelvan los datos O que lo vuelvan a intentar
en el futuro
El uacuteltimo recurso
Cuando todo falla entran en juego las aseguradoras que han desarrollado maacutes y maacutes productos
especiacuteficos Todas las grandes desde Mapfre hasta Zurich Axa AIG o Generali han entrado en
este negocio En Allianz por ejemplo aseguran que sus productos no solo sirven para proteger a
pymes y autoacutenomos sino que se enfocan cada vez maacutes a ldquouna estrategia preventivardquo del
ciberdelito Muchas poacutelizas cubren desde la certificacioacuten forense (el peritaje sobre los dantildeos
informaacuteticos) hasta planes de recuperacioacuten de las funciones del negocio o asesoramiento y
defensa juriacutedica frente a la extorsioacuten o el borrado de la huella digital Pero nada sale gratis Un
informe de Kaspersky citado por el Incibe valora en 33700 euros el presupuesto medio que
necesitariacutea una pyme para resolver un problema de seguridad como fugas de datos fraude o
ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten
legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa
Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola
en este sector superada a menudo por las ofertas que realizan grandes consultoras
internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600
firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago
Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y
no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean
autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni
posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las
soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las
mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten
puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez
directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta
demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como
los malos
CONSEJOS PARA PYMES
Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus
recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel
Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios
para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas
preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos
procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo
Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten
ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para
restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme
Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo
Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan
en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos
inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean
cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no
abran correos desconocidos
Se adhiere a los criterios de
Maacutes informacioacuten gt
NEWSLETTER
Recibe la mejor informacioacuten en tubandeja de entrada
Virus informaacuteticos middot Hacker middot Delitos informaacuteticos middot Seguridad internet middot Internet middot Empresas middot Delitos
middot Telecomunicaciones middot Economiacutea middot Comunicaciones middot Justicia
CONTENIDO PATROCINADO
Y ADEMAacuteS
recomendado por
ARCHIVADO EN
Desde 4299 euro DE Barcelona AGranada
VUELING ES
From pound2309 From BarcelonaTo Paris
VUELING UK
Configura el SUV maacutes Vendidoen Espantildea en 2019 desde18500euro
NISSAN
Compantildeeros de trabajotiranos estos son loscomportamientos quehellip
RETINA
Una tuitera arrasa en redes alcontar coacutemo fue su entrevistaenhellip
EPIK
La isla de las tentacionesAndrea explota ante loshellip
TIKITAKAS
ataques de denegacioacuten de servicio De modo que lo habitual es contratar poacutelizas por obligacioacuten
legal o para cubrir solo accidentes que afectariacutean de modo irreversible a la empresa
Otra vulnerabilidad pero en clave empresarial estaacute en la poca visibilidad de la industria espantildeola
en este sector superada a menudo por las ofertas que realizan grandes consultoras
internacionales o multinacionales instaladas en el paiacutes El Incibe tiene contabilizadas unas 1600
firmas con raiacuteces nacionales de las maacutes de 6000 del sector Quizaacute sea como menciona Yago
Jesuacutes director de Tecnologiacutea en la empresa eGarante que ldquohay mucho intrusismo en el negocio y
no se valora la I+D propia como en otros paiacutesesrdquo Un mal que hace que cada vez maacutes sean
autoacutenomos freelance los contratados para proyectos que rotan sin estabilidad laboral y ni
posibilidad de crear y compartir conocimiento O como menciona Lorenzo Martiacutenez que las
soluciones impuestas por el mercado a toda esta avalancha de bloqueos sean siempre las
mismas ldquoDisponer de un buen backup [copia de seguridad] cuando en muchos casos tambieacuten
puede ser cifradordquo Un problema que tiene una doble cara como recuerda Arancha Jimeacutenez
directora de seguridad de Atos Iberia la eterna falta de profesionales para responder a la alta
demanda del mercado Personas que ldquoinvestiguen que evolucionenrdquo Que vayan tan raacutepido como
los malos
CONSEJOS PARA PYMES
Las pequentildeas y medianas empresas son maacutes vulnerables pese a que pueden llegar a perder todos sus
recursos en un ataque El problema como sentildeala la directora de comunicacioacuten de Sumauto Isabel
Garciacutea es que ldquoen su pensamiento siguen siendo analoacutegicasrdquo Marco Lozano responsable de servicios
para empresas del Incibe recomienda empezar por un anaacutelisis de riesgos que responda a estas
preguntas ldquoiquestA queacute nos dedicamos iquestQueacute procesos son criacuteticos Si hay un accidente iquestcon cuaacutentos
procesos puedo contar para seguir trabajando iquestCuaacuteles son mis activos y coacutemo me voy a protegerrdquo
Establecer las medidas adecuadas para mantener los servidores un sistema de alimentacioacuten
ininterrumpida aplicaciones de prevencioacuten anti-ransomware o hacer copias de seguridad para
restaurar el sistema ldquono son cosas extremadamente complejas ni que necesiten una inversioacuten enorme
Pero a veces el diacutea a diacutea no nos deja implantarlasrdquo
Cualquier poliacutetica debe empezar por la concienciacioacuten de los empleados Es importante como sentildealan
en RSM Spain que estos lean los procedimientos de seguridad informen sobre llamadas o textos
inusuales acepten las actualizaciones de seguridad no hagan clic en links de desconocidos y sean
cuidadosos con las redes sociales Y en especial eviten conectarse a redes inalaacutembricas seguras y no
abran correos desconocidos
Se adhiere a los criterios de
Maacutes informacioacuten gt
NEWSLETTER
Recibe la mejor informacioacuten en tubandeja de entrada
Virus informaacuteticos middot Hacker middot Delitos informaacuteticos middot Seguridad internet middot Internet middot Empresas middot Delitos
middot Telecomunicaciones middot Economiacutea middot Comunicaciones middot Justicia
CONTENIDO PATROCINADO
Y ADEMAacuteS
recomendado por
ARCHIVADO EN
Desde 4299 euro DE Barcelona AGranada
VUELING ES
From pound2309 From BarcelonaTo Paris
VUELING UK
Configura el SUV maacutes Vendidoen Espantildea en 2019 desde18500euro
NISSAN
Compantildeeros de trabajotiranos estos son loscomportamientos quehellip
RETINA
Una tuitera arrasa en redes alcontar coacutemo fue su entrevistaenhellip
EPIK
La isla de las tentacionesAndrea explota ante loshellip
TIKITAKAS
NEWSLETTER
Recibe la mejor informacioacuten en tubandeja de entrada
Virus informaacuteticos middot Hacker middot Delitos informaacuteticos middot Seguridad internet middot Internet middot Empresas middot Delitos
middot Telecomunicaciones middot Economiacutea middot Comunicaciones middot Justicia
CONTENIDO PATROCINADO
Y ADEMAacuteS
recomendado por
ARCHIVADO EN
Desde 4299 euro DE Barcelona AGranada
VUELING ES
From pound2309 From BarcelonaTo Paris
VUELING UK
Configura el SUV maacutes Vendidoen Espantildea en 2019 desde18500euro
NISSAN
Compantildeeros de trabajotiranos estos son loscomportamientos quehellip
RETINA
Una tuitera arrasa en redes alcontar coacutemo fue su entrevistaenhellip
EPIK
La isla de las tentacionesAndrea explota ante loshellip
TIKITAKAS