Según la Agencia de Ciberseguridad de Catalunya (ACC), el sector de la ciberseguridad generó un volumen de negocio de 1.200 millones de euros en 2022 (los últimos disponibles), con más de 500 empresas catalanas que dan trabajo a unas 10.000 personas. Y es que el número de acciones contra el cibercrimen aumenta cada año. De forma prácticamente continua los medios de comunicación se hacen eco de brechas de seguridad que ponen en riesgo a millones de usuarios en todo el mundo. ¿Qué nos espera y cómo hacerle frente? Hablamos con Selva Orejón, fundadora y directora ejecutiva de OnBranding, referente en la gestión de crisis de reputación digital y ciberseguridad.
¿En qué contexto nos movemos que beneficia al sector de la ciberseguridad?
En realidad, el mercado crece porque el número de incidentes también se amplía. Sin embargo, parece que no aprendemos la lección. Ante una crisis, nuestra respuesta sigue siendo demasiado reactiva y costosa. Con una planificación previa, los recursos se invertirían de manera escalonada. En consecuencia, hemos detectado un crecimiento exponencial de incidentes durante los últimos meses.
Parece ser que la pandemia ha acelerado muchísimo el cibercrimen…
La pandemia fue el caldo de cultivo perfecto para que los diferentes grupos criminales se dieran cuenta de la escasez de recursos invertidos en la protección de dispositivos e infraestructuras. Ello les sirvió para hacer prueba y error de varios tipos de incidentes. Por ejemplo, estafas destinadas a particulares, empresas y profesionales. O phishing y suplantaciones de personalidad, especialmente de personajes públicos. Personajes que no han protegido su identidad y los suplantan a cambio de información o dinero. En algunos casos, incluso atentan contra la reputación.
Años atrás, los ciberataques se dirigían sobre todo a robos o estafas de capitales. Según algunos expertos, ahora se han politizado dirigiéndose más a infraestructuras críticas. Esto lo vemos muy claro con la guerra Rusia-Ucrania. ¿Estás de acuerdo o hay más bien un poco de todo?
Desde hace tiempo, detectamos y hacemos el seguimiento de determinados ciberataques, contexto bélico aparte. Analizamos mucha geopolítica durante las 24 horas del día de lunes a domingo. Hay mucho boicot detrás de numerosas campañas que aparentan ir contra empresas, aunque en realidad se dirigen a los buques insignia de gobiernos y países. Por ejemplo, ahora estamos detectando una reactivación de ataques a empresas israelíes o judías, sea cual sea su nación de origen. También sucedió algo parecido con productos catalanes durante el periodo 2017-2020. En resumen, estos atentados cibernéticos alcanzan la cúspide coincidiendo con la existencia de conflictos bélicos y prebélicos, aunque también se observan de manera sostenida en el tiempo. Eso sí, mientras haya algún interés político de por medio.
España sigue siendo el país que más multas impone por incumplimiento del Reglamento General de Protección de Datos (RGPD). No obstante, ocupamos la sexta posición con una media de 89.908 euros por multa. Básicamente, ¿qué está fallando?
En mi opinión, si el usuario que interpone la denuncia por incumplimiento del RGPD cobrase parte de esa sanción, la cosa cambiaría radicalmente. Imaginemos que hackean la base de datos con información personal y biométrica de los usuarios de una empresa. Esa compañía tiene la obligación de dar de alta esa brecha de seguridad en la Agencia Española de Protección de Datos. Sin embargo, no está obligada a facilitarles todas las copias de esa base de datos. Entonces, ¿qué pasa con la información robada y seguramente filtrada después de esos usuarios? ¿Quién se encarga de detectar y eliminar estos datos? ¿El usuario debe hacerse cargo de la falta de seguridad en esa empresa? En realidad, sí. ¿Y cuánto cuesta localizar y eliminar la información filtrada? Pues estaríamos hablando de un promedio entre 3.000 y 5.000 euros.
Para mí, todo esto está muy mal planteado. Solo hay tres personas que gestionan la documentación relacionada con las brechas de seguridad en la Agencia Española de Protección de Datos. Ni detectan las brechas ni eliminan el contenido. No existe ningún organismo público que se encargue de esto en nuestro país. Me parece gravísimo. En Onbranding somos un equipo de 26 profesionales. Al final, las empresas privadas nos vemos obligadas a detectar las brechas de seguridad y descubrir hasta qué punto afectan, o no, a nuestros clientes –públicos, privados y personajes conocidos– y solicitar, después, la eliminación de esa información.
En general, ¿cuáles son las informaciones que más interesan a los ciberdelincuentes?
Al final, la información económica es la más fácil de cambiar. No sucede lo mismo con la biométrica (reconocimiento facial, huellas digitales o color del iris) o la cualitativa (expedientes de salud en centros médicos, por ejemplo). Los data brokers se frotan las manos con el contenido más íntimo y comprometido de los teléfonos móviles, el personal –información biométrica, genética y de hábitos de compra–, el social –correo electrónico, teléfono, nombres de usuario, publicaciones en redes sociales, identidad técnica, etcétera–. Todo ello se revende en el mercado negro para que los grupos criminales puedan explotarlo.
Hemos visto colas kilométricas de gente dispuesta a dejarse escanear el iris de los ojos a cambio de criptomonedas. Una iniciativa de la compañía WorldCoin que ha despertado mucha polémica. Al mismo tiempo, algunos países prohíben la autenticación biométrica, aunque es más segura que el resto. ¿Cómo valoras estas situaciones?
A mí todo esto me da mucha risa. De repente se organiza un escándalo y se pone el foco en la identidad digital. Pero la realidad, a mi modo de ver, es mucho peor. La mayoría de la gente no sabe gestionar sus contraseñas. Un 90% de la población no usa gestores de contraseñas, ni las cambia, ni activa el doble factor de verificación. Y acuden supertranquilos a entregar su iris por 69 dólares en un cajero instalado en un centro comercial. Nadie en su sano juicio facilitaría una muestra de ADN que le pudiera incriminar después en situaciones delicadas o ilegales.
La propuesta de regular el sector de la ciberseguridad me parece muy interesante, pues el intrusismo es enorme en este mercado.
Por lo tanto, existe un gran desconocimiento y una falta de conciencia brutal, junto a una regulación y unos mecanismos de control prácticamente de parvulitos. Realmente, no sabemos cuál es el valor de nuestra identidad digital. Por eso caemos en la falsa creencia de que no pasa nada, simplemente porque no somos conocidos. Precisamente por eso, tus datos valen más. El motivo es muy sencillo: te pueden suplantar con más facilidad que a una persona famosa.
Continuamente nos llegan noticias de ataques de phishing, troyanos y ransomware. ¿Son estos los mayores riesgos a los que se enfrentan empresas y ciudadanos?
Yo creo que hay cuatro tipos de riesgos, aunque el principal sigue siendo el económico y de continuidad de negocio. El segundo es el riesgo reputacional. Ambos se deben atajar bien, antes de llegar al tercero: el riesgo emocional que a veces no se trabaja porque no se ve la conexión con el resto. El cuarto riesgo es el legal, aquel que algunas compañías consideran innecesario. No puedes tener un equipo que dé respuesta a incidentes críticos, si no se está haciendo un acompañamiento emocional. Una víctima de un incidente así necesita consejo legal, de seguridad, comunicación y emocional.
¿Y cuáles son las principales técnicas empleadas por los criminales?
Yo destacaría suplantaciones de identidad, estafas y acceso no consentido a las comunicaciones de la propia compañía que generan un riesgo de seguridad. Por otra parte, si alguien accede a tus redes sociales o al dominio de tu página web puede afectar a tu identidad reputacional. Todo lo que tiene relación con el ransomware, un programa que toma por completo el control del equipo, sigue funcionando porque aún hay muchos dominios y webs vulnerables. De hecho, es una de las acciones que más beneficios da a los grupos criminales. Con los troyanos pasa lo mismo. Son efectivos porque algunos usuarios pinchan en esos falsos SMS que llegan en nombre de una oficina bancaria, de Correos, de la policía o incluso de la Agencia Tributaria.
Entonces, ¿cómo podemos proteger nuestros dispositivos?
Lo más importante es que nuestra cuenta tenga usuario, contraseña y doble factor de verificación. Lógicamente deberíamos trabajar con un antimalware de pago y actualizado en todos nuestros dispositivos. Asimismo, todas las aplicaciones y el sistema operativo deberían estar debidamente actualizados.
Más del 90% de las empresas de nuestro país son pymes, precisamente las más vulnerables a los ciberataques. ¿Qué consejos les daría?
Las pymes tienen menos superficie de exposición y quizás una menor capacidad de respuesta que las multinacionales. Reaccionan más rápido, pero cuentan con menos recursos. En las pymes el riesgo de continuidad del negocio es mucho mayor: no tienen tantas reservas y, por ende, siguen menos procedimientos que las grandes compañías. Cuando no se sigue un procedimiento, se optimiza menos el tiempo y se funciona peor. Les recomiendo que no operen de manera reactiva: de hoy para mañana. Les sugiero hacer una planificación anual, estableciendo prioridades y recursos. Pero en caso de ser hackeados, no sentir vergüenza, pues hoy día le puede pasar a cualquiera.
Los expertos consideran que habrá más cibercrimen de proximidad, debido a la crisis económica. ¿Comparte esta opinión?
En estos momentos, sabemos que muchos menores se dedican al carding. Ni estudian, ni trabajan, ni hacen prácticas. Se han sumado a grupos criminales especializadas en carding y spoofing. El carding consiste en robar la información financiera de las tarjetas, de crédito o débito, mediante lectores de RFID. De esta manera, hacen pequeños cargos en cualquiera de estas tarjetas para no llamar la atención. Por su parte, el spoofing se basa en suplantar a hijos u otros familiares de los usuarios. Son las típicas llamadas o mensajes de Whatsapp, haciéndose pasar por un hijo quien, sospechosamente, tiene un problema. También se pueden hacer pasar por la entidad bancaria, una empresa de telecomunicaciones, la Agencia Tributaria o un departamento del ayuntamiento, exigiendo el pago del impuesto de las basuras. Sí, es cibercrimen de proximidad.
Acaba de nacer el primer marketplace de hackers éticos del mundo, desarrollado en nuestro país: Zerod. ¿Qué opinión le merece lo que hacen?
Aunque a veces no se percibe así, el hacker, por definición, es ético y positivo. Normalmente, tiene una curiosidad innata por conseguir soluciones diferentes, a partir de conocimientos técnicos, a un problema no planteado hasta la fecha. Otra cosa es el ciberdelincuente que explota su formación, pasándose por alto la legislación vigente, civil y penal. Zerod es como una especie de Linkedin para profesionales de la seguridad. Dentro del hacking coexisten numerosas especialidades. La propuesta de regular el sector y poner cierto orden me parece muy interesante. El intrusismo es enorme en este mercado, pero también en el de analistas de investigación y detectives privados.
Y ya para acabar, uno de los retos a los que se enfrenta el sector de la ciberseguridad es la captación y retención de talento. Especialmente el femenino en puestos de responsabilidad. En su opinión, ¿por dónde hay que empezar?
Nunca he tenido problemas para crecer en este mercado más bien masculino. En mi equipo hay mujeres y mis mejores amigas son analistas de inteligencia, policías o hackers. No obstante, las empresarias, como en otros ámbitos, lo tenemos difícil para compaginar vida personal y profesional. Esta última es demasiado exigente por varias razones, entre otras porque nos especializamos en gestión de crisis. Por lo que este trabajo exige mucha vocación. A mí me funciona ser consciente de cómo se siente mi gente. ¿Se considera bien tratada? ¿Tiene la impresión de que se la tiene en cuenta? ¿Tiene claro que se desenvuelve en situaciones muy críticas y no está sola? ¿Necesita formación adicional? Por lo tanto, o soy capaz de interactuar con todos ellos o abandono el negocio.