José Otero es el responsable de Ciberserguridad de Satinel-System. Le entrevistamos para saber un poco más del reto al que se enfrentan las marcas y las empresas, sean de mayor o menor tamaño, con la implantación del teletrabajo obligado a causa de la crisis sanitaria de la Covid-19, y para conocer hasta qué punto es importante atender a los desafíos que se plantean para la seguridad informática de empresas y profesionales.
¿Por qué es tan importante atender convenientemente a los desafíos que actualmente se plantean con la ciberseguridad, principalmente en el entorno profesional?
El objetivo principal de la ciberseguridad en una empresa es proteger a los activos que forman parte del entorno empresarial. Por un lado, distinguimos la parte preventiva, pero también es muy importante contar con las herramientas necesarias para reaccionar de forma adecuada en el caso de que se produzca un ataque. De esta forma se evita un impacto irreversible y una parada total o parcial de la actividad, lo cual puede ser definitivo para la empresa.
¿Y cuáles son las amenazas más comunes? ¿Qué podemos hacer para protegernos de manera efectiva?
De todas las amenazas que existen en el mundo de la ciberseguridad, sin duda, la más extendida se trata del phishing. Durante el año 2020, el 42% de las empresas españolas sufrieron al menos un ataque de phishing hacia sus correos corporativos. Es un dato lo suficientemente definitivo como para apostar por protegernos y no estar expuestos a posibles ataques.
Además, con la aparición de la Covid-19, este tipo de estafas han crecido notablemente, hasta el punto de que los usuarios nos han pedido realizar lo que conocen como “Auditorías de phishing”. En esta auditoría lanzamos este tipo de ataques hacia el correo corporativo, y obtenemos un histórico con la ruta y estadísticas de los usuarios que han abierto el correo, o si han hecho click en los enlaces… Es algo importante porque nos permite conocer el nivel de concienciación que tienen los empleados.
¿La COVID-19 ha favorecido a los ciberdelincuentes?
Sin duda. Con la emergencia global de la crisis sanitaria, el número de ataques ha incrementado de una forma exponencial, más aún cuando una gran parte de la población y las propias empresas se han visto obligadas a fomentar el teletrabajo para seguir realizando la actividad. Además se tuvo que hacer de manera precipitada, de un día para otro, la mayoría sin estar preparadas para ello. Y con el riesgo que supone exponer los datos o archivos de la empresa a través de otras conexiones, como los entornos domésticos de los empleados.
Además de todo ello, los ciberdelincuentes se han ido adaptando a las diferentes situaciones que hemos ido sufriendo a lo largo de la pandemia. Al comienzo del confinamiento afloraron las estafas con las empresas de logística, en cuanto se elevaba de manera considerable las peticiones online y el ecommerce. Y en función del uso de los internautas se han ido moviendo, por ejemplo suplantando recientemente a la DGT con correos como la famosa multa, o durante estos últimos días con nuevas estafas relacionadas con proveedores de servicios de informática y telefonía.
¿Y cuál crees que es el siguiente salto en el mundo de la ciberseguridad? ¿La inteligencia artifical?
Desde hace unos años ha habido grandes avances en el mundo de la Inteligencia Artificial (IA), ya que la gran cantidad de algoritmos de machine learning ayudan a los analistas a automatizar comportamientos, y esto nos ayuda a identificar de modo casi automático comportamientos maliciosos.
En el entorno empresarial, ¿crees que las empresas son conscientes del riesgo que supone un ciberataque?
Depende mucho del tipo de empresa, y del tamaño de la misma. No es una regla que se cumpla en todas las ocasiones, pero en general si el tamaño de la empresa es mayor, los empleados tienen un mayor y mejor nivel de concienciación en materia de ciberseguridad.
Hay que tener en cuenta que el paradigma de la ciberseguridad es muy cambiante. Desde hace algo más de un año, casi coincidiendo con la crisis sanitaria y el confinamiento domiciliario, los ciberataques ya no se dirigen en su totalidad hacia las grandes empresas, sino que ponen también su foco de atención hacia las pequeñas y medianas empresas (Pymes) precisamente por este mismo motivo, porque no están acostumbradas a invertir o dar la suficiente importancia al ámbito de la ciberseguridad. El propio Instituto Nacional de Ciberseguridad (INCIBE) señala un dato bastante definitivo sobre esta cuestión, y es que las PYMES que sufren un ciberataque terminan por desaparecer a los seis meses.
Según tu opinión como experto, ¿crees que las empresas quedarán concienciadas sobre los riesgos de los ciberataques?
Por el bien de su negocio, no les queda otra opción. El INCIBE y el Centro Criptológico Nacional CCN-CERT están realizando una inmensa labor de concienciación hacia los usuarios y las empresas, publicitando regularmente programas y kits de concienciación para ayudar a evitar los incidentes de seguridad. Pero es necesaria también la implicación de las marcas, de los empresarios, de los propios empleados, para que sean conscientes de que está en riesgo su futuro profesional por no prevenir a tiempo tomando las medidas adecuadas.
En Satinel-System ayudamos precisamente a tomar esas medidas de manera preventiva para evitar males mayores que sean mucho más complicados de reparar. De hecho es uno de los campos más demandados y que más está creciendo en nuestra empresa, las peticiones y proyectos relacionados con la seguridad informática de nuestros clientes.