Noticias

Sevilla

Córdoba

Belén Delgado Larroy, experta en ciberseguridad, profesora del Master in Management de Negocios Digitales.

Belén Delgado, experta en ciberseguridad: «Al menos un 57% de las empresas españolas no estaban preparadas para afrontar el teletrabajo de una manera segura»

Belén Delgado Larroy cuenta con más de 13 años de experiencia internacional como gerente en el campo de seguridad cibernética y manejo de redes sociales en empresas de tecnología. Ha trabajado en Europa y Asia para empresas de gran prestigio mundial como eBay, Paypal, Facebook/Instagram, Accenture y Linkedin. Actualmente, se dedica a asesorar a empresas en esta materia y forma parte del claustro del Master in Management de Negocios Digitales.

Pregunta (P): Después de muchos años fuera de España, trabajando en diferentes países, ¿Cuál diría que es nivel de nuestro país en lo que a ciberseguridad se refiere?

Respuesta (R): España busca ser un referente europeo en lo que a ciberseguridad se refiere y está invirtiendo tiempo, recursos y dinero en sistemas y organizaciones para luchar contra el cibercrimen. Al igual que la mayoría de los países europeos, España adoptó su propia estrategia nacional de ciberseguridad en 2013 acompañado de dos equipos de respuesta de emergencia a incidentes de ciberseguridad: Incibe CERT, que se centra más en los ciudadanos y empresas, y CNN-CERT, que se centra exclusivamente en las instituciones estatales.

España intenta estar al nivel de otros países más avanzados en ciberseguridad como Estados Unidos, Australia, Francia o el Reino Unido. Cada año se llevan a cabo diferentes iniciativas de formación y concienciación ciudadana sobre ciberseguridad: «Cybersecurity Summer Bootcamp», o el congreso de» Seguridad Digital y Ciberinteligencia», que este año se llevó a cabo online con un proyecto de formación en ciberseguridad, C1b3rWall Academy, con más de 40 mil personas inscritas en toda España.

A nivel europeo, desde 2016 también se celebra un reto anual de ciberseguridad, European Cibersecurity Challenge. España ganó el reto dos años consecutivos (2016 y 2017), compitiendo contra grandes potencias europeas como Alemania o Francia. Iniciativas como estas tienen un gran impacto e indican que se está yendo en la dirección correcta, aunque todavía queda mucho camino por recorrer. Tan solo en 2019, El Instituto Nacional de Ciberseguridad (INCIBE) gestionó 107.397 mil ataques cibernéticos. Más de un 29% de estos ataques se debieron a diferentes tipos de fraude online como suplantación de identidad, violación de derechos de propiedad intelectual u otro tipo de fraudes financieros de diversa índole. El Centro Nacional de Ciberinteligencia (CNI) en España declaró recientemente su prioridad para luchar contra los ciberataques, el terrorismo yihadista y la desinformación.

«Las pymes deberían ser las primeras en estar más concienciadas en el campo de la ciberseguridad»

P: Las empresas digitales españolas ¿aprueban en ciberseguridad?

(R): La ciberseguridad debe ser vista como una acción de responsabilidad que nos afecta a todos en cualquier ámbito tanto en el empresarial como a nivel individual. Sin embargo, a día de hoy un gran número de pymes adoptan medidas de seguridad de manera reactiva en vez de una manera preventiva. Al fin y al cabo, las empresas que suelen ser un objetivo más claro de los ciberdelincuentes. Las pymes deberían ser las primeras en estar más concienciadas en el campo de la ciberseguridad.

El Instituto Nacional de Ciberseguridad, Incibe, está haciendo un gran esfuerzo para proporcionar recursos a las empresas españolas, incluso han habilitado una línea telefónica de apoyo para aclarar dudas sobre incidentes de ciberseguridad (017). En mi opinión son un modelo a seguir por otros países. El número de ciberataques sigue aumentando cada año y según la Oficina de Seguridad el Internauta. El 95% de las incidencias de ciberseguridad se deben a errores humanos por falta de conocimiento de los riesgos que hay en el ciberespacio. Es así como se genera la necesidad de formarse en este tema.

(P): Durante el confinamiento, y motivado en gran medida por el teletrabajo, las amenazas y los ciberataques se han incrementado notablemente en todo el mundo ¿Ha servido esta crisis para que la ciudadanía y las empresas se conciencien de la importancia de protegerse?

(R): El aumento de los ciberataques durante el confinamiento a nivel mundial ha sido principalmente debido a que los ciberdelincuentes también han estado pasando más tiempo en casa y eran conscientes de que según Eurostat, al menos un 57% de las empresas españolas no estaban preparadas con las medidas necesarias para afrontar el teletrabajo de una manera segura. Debido al estrés del confinamiento, se tiende a bajar la guardia y utilizar el mismo dispositivo informático para temas personales y de trabajo. Al día de hoy muchos usuarios, ni siquiera tienen un antivirus. Eso junto con el poco conocimiento sobre las medidas de seguridad mínimas necesarias para organizar videoconferencias, da pie a hackeos de información confidencial, daños de reputación empresarial debido a intrusiones no deseadas en videollamadas o infección de ordenadores a través de archivos maliciosos.

«El 95% de las incidencias de ciberseguridad se deben a errores humanos por falta de conocimiento de los riesgos que hay en el ciberespacio»

(P): En el caso de las empresas, ¿a qué peligros se enfrentan en materia de ciberseguridad?

(R): Los ciberdelincuentes son muy conscientes de la situación favorable para cometer delitos en la red. Inundan nuestros buzones de correo electrónico y nuestros teléfonos con intentos de ataques phishing, haciéndose pasar por entidades bancarias y/o gubernamentales intentando transmitir un falso sentido de urgencia, para que nos bajemos “ese archivo malicioso” o introduzcamos nuestros datos de acceso en una página fraudulenta.

El ataque número uno por excelencia en España sigue siendo a través de campañas de phishing, seguido muy de cerca por los ataques «ransomware» por los que se pide un rescate en bitcoins para recuperar los datos que ha encriptado el ciberdelincuente. Un ejemplo de ello fue el sonado ciberataque que hubo a finales del 2019 en el Ayuntamiento de Jerez que quedó paralizado sin poder tener acceso a sus sistemas durante varios días. El Centro Criptológico Nacional tuvo que intervenir para resolver dicho incidente.

«El gran problema es que no hay suficientes expertos para combatir estas amenazas»

Según la empresa de seguridad Check Point, España se encuentra entre los 10 países con más riesgo de infección por malware. La suplantación de identidad de los negocios es también problema muy común en España. Según un estudio de la Comisión Europea de 2018, España fue uno de los países de la Unión Europea con más víctimas afectadas por robo de identidad durante los tres años previos a dicho estudio. Según el periódico El País, empresas y gobiernos de todo el mundo se enfrentan cada día a un número mayor de ciberataques, el gran problema es que no hay suficientes expertos especializados para combatir dichas amenazas.

(P): Imagine que un emprendedor quiere poner en marcha un negocio nativo digital ¿por dónde tendría que empezar en materia de ciberseguridad? ¿Qué le recomendaría?

(R): Lo que yo le recomendaría es que empezara por hacer un análisis de riesgos que permita obtener visibilidad sobre las posibles amenazas a las que se puedan ver expuestos los activos de la organización. Seguido de un análisis técnico para identificar si se tienen las medidas adecuadas de seguridad y un plan de contingencia de negocio asignando responsabilidades y roles en caso de que haya un ciberataque. Por supuesto se debe tener en cuenta que toda la información que se almacene de clientes cumpla con la ley de protección de datos (GDPR). Por supuesto es muy importante formar a los empleados sobre los principales riesgos de seguridad y crear una cultura de ciberseguridad en la empresa desde el principio.

Si se tiene una página web incluyendo métodos de pago para los usuarios, recomendaría contratar a un profesional para que revise que la información esté debidamente protegida y que se ofrezcan métodos de pago seguros. Tampoco se debe dejar de lado la importancia de tener políticas de protección del puesto de trabajo para los empleados y si se va a fomentar el teletrabajo se debe revisar que se tenga la infraestructura adecuada para que se lleve a cabo de una manera segura. Es un tema bastante amplio para poderlo contestar en una pregunta en detalle y habría que indagar en cada área.

(P): El 42% de la población mundial (unos 3.000 millones de personas) utilizan las redes sociales. Usted ha trabajado dirigiendo equipos de seguridad para Linkedin y Facebook ¿Son seguras las redes sociales?

No hay garantías de que haya ningún servicio online 100% seguro y la seguridad en las redes sociales viene muchas veces determinada por la misma concienciación que tengamos nosotros sobre los riesgos y cómo proteger nuestra privacidad. Por ejemplo, una cuenta en las redes sociales que esté expuesta de manera pública y acepte gran número de seguidores, estará más expuesta a posibles incidencias de acoso o suplantación de identidad que una cuenta que tenga la configuración de su cuente privada y con un número controlado de seguidores.

«La seguridad en las redes sociales viene muchas veces determinada por la concienciación que tengamos nosotros sobre los riesgos y cómo proteger nuestra privacidad»

La seguridad de los usuarios es de absoluta prioridad para las redes sociales ya que, sin seguridad, se pierde la confianza y puede poner en peligro la reputación o incluso existencia de dicha red social. Las redes sociales más importantes del mundo ponen a disposición de los usuarios configuraciones de privacidad que deben revisarse en detalle e incluso tienen de manera pública páginas dedicadas exclusivamente a explicar políticas, herramientas y recursos para la seguridad online. Por ejemplo, en Facebook existe el Centro de Seguridad: https://www.facebook.com/safety en el que se puede hacer una comprobación rápida sobre la privacidad de la configuración de la red e incluso tiene una sección para padres y otra para jóvenes. Tanto en Facebook, Instagram como en Linkedin hay miles de profesionales dedicados a mantener la seguridad de los usuarios en las redes sociales pero el hecho de que haya incidentes es inevitable.

Muchas veces pueden venir de contraseñas débiles o que no sean únicas por parte de los mismos usuarios, otras veces pueden venir por ataques más elaborados de ingeniería social o catfishing. Cómo yo siempre digo, detrás de cada ataque hay una persona con malas intenciones y la mejor manera de estar protegido es estando informado sobre los posibles riesgos y cómo evitarlos. También se debe denunciar cualquier incidencia en la red social que ocurra para que ellos puedan tomar medidas por su parte y evitar que se sigan propagando dichas incidencias por parte de la misma cuenta implicada.

(P)- Facebook reconoció recientemente que compartió datos de usuarios inactivos con 5.000 desarrolladores debido a una brecha de seguridad. Expertos han dado también recientemente la voz de alarma respecto a TikTok que la consideran una app maliciosa y espía. ¿Debemos asumir que nuestros datos están en manos de grandes corporaciones y que ese el precio que tenemos que pagar en esta sociedad digitalizada?

Se debe partir de la base de que puede haber posibles brechas de seguridad en cualquier servicio que utilicemos en Internet, no existe la garantía de que haya un servicio 100% seguro. En el momento que empezamos a utilizar un servicio online debemos ser conscientes del acuerdo de privacidad que estamos aceptando, qué datos estamos compartiendo, si se están almacenando en un lugar seguro y con qué fin.

«En la era digital es inevitable no compartir datos de una manera u otra, pero debemos conocer qué datos se comparten y si nos sentimos cómodos con la entidad que los maneja»

El problema viene muchas veces cuando no se es consciente de dichas condiciones. Según mi punto de vista, en la era digital en la que nos encontramos que continúa evolucionando a gran velocidad, es inevitable no compartir datos de una manera u otra. Nuestro «yo digital» está compuesto de todos los datos que compartimos en Internet, desde el momento que hacemos una vídeollamada, mandamos un email, vemos un vídeo online hasta que hacemos una búsqueda en un motor de búsqueda online. Se debe conocer qué datos se comparten y si nos sentimos cómodos o no con la entidad que los maneja. Borrarse una aplicación «x», sea la que sea, no va a impedir que se compartan datos sobre nosotros en otra aplicación.

La gran pregunta es, si no se comparte ningún tipo de datos, ¿cuál es la alternativa? ¿Se puede progresar y tener éxito en la era digital sin tener datos y analizarlos para buscar resultados y aprender de ellos? El análisis de datos también genera confianza y progreso, nos puede facilitar mucho nuestro día a día si ese análisis se hace de la manera adecuada y, por supuesto, cumpliendo con la ley de protección de datos europea (GDPR).

Desde el punto de vista de la ciberseguridad, el análisis de los denominados metadatos puede salvar vidas, desde encontrar a un menor secuestrado a evitar un ataque terrorista, entre otros muchos incidentes. También a través de la inteligencia artificial y el análisis del comportamiento de los datos de los usuarios se hacen estudios sobre la salud, innovación social y para crear sociedades menos contaminantes, conectadas y con más facilidades. Es innegable que al compartir datos de manera masiva puede también haber un uso malintencionado de los mismos, por eso es necesario que los ciudadanos estén concienciados y den acceso a sus datos cuando lo consideren oportuno. Se debe siempre cumplir con la ley de protección de datos y tener unos estándares de ética mínimos a la hora de manejar información de usuarios en grandes cantidades.

Fuentes:

Incibe

https://www.osi.es/es

https://cybercamp.es/en/ECSC-EN

http://cybersecurity.bsa.org/assets/PDFs/country_reports/cs_spain.pdf

https://es.statista.com/estadisticas/477298/victimas-de-robo-de-identidad-internautas-online-espana/

 

Autor

Nuria Gordillo

Periodista del Servicio de Comunicación y Relaciones Institucionales de la Universidad Loyola Andalucía. ngordillo@uloyola.es Twitter: @Nuria_GR

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *