La ciberseguridad: tarea de todos, tarea de cada día
La ciberseguridad, lejos de constituir un mero barniz, ha de llegar en cambio a encastrarse en el mismo ADN de las políticas y de las prácticas de las organizaciones
Si Vd. ha ido más allá del título de este artículo y ha llegado hasta estas líneas, debo felicitarle: está Vd. entre las personas que se preocupan o al menos se interesan por la creciente y cada vez más intensa amenaza a nuestras redes y sistemas de información y, por consiguiente, buscan informarse (y quizá formarse) mejor al respecto.
No en vano, es general en España la falta de cultura y formación en estas materias, incluso entre las empresas. Así lo acredita por ejemplo un estudio de comienzos de 2021 elaborado por una relevante consultora internacional: hasta un 86% de nuestras compañías se consideran insuficientemente formadas en ciberseguridad.
Esta situación es grave, pues son justamente las personas el principal objetivo de los ciberatacantes a la hora de infiltrarse en las redes y sistemas de las organizaciones, a fin de conseguir, ya desde dentro y por tanto logrando así mucha mayor efectividad, sus objetivos criminales. Lo atestigua un reciente y desgraciado asunto en el que, desde nuestro despacho, hemos ayudado a una importante multinacional de la logística: 'los malos' lograron acceso a sus sistemas, lo que les permitió suplantar la identidad de su directora financiera, quien supuestamente habría solicitado a un cliente que una deuda pendiente se cancelara en una cuenta bancaria también supuestamente nueva; sobra decir que dicha cuenta 'nueva' correspondía a los delincuentes.
No obstante, y quizá justamente porque la ciberamenaza crece y se intensifica en gravedad, las organizaciones van avanzando. Y lo van haciendo gracias a la cada vez más general convicción de que la ciberseguridad, lejos de constituir un mero barniz, ha de llegar en cambio a encastrarse en el mismo ADN de sus políticas y de sus prácticas.
¿Cómo se está empezando a conseguir ese objetivo? En primer lugar, gracias a que el mercado (y en ocasiones entidades sin ánimo de lucro) comienza a ofrecer productos y servicios cada vez mejor adaptados a la también cada vez mayor sofisticación de la ciberamenaza. Si tuviera que destacar una herramienta en este sentido, mencionaría sin duda el llamado 'múltiple factor de autenticación': sin ir más lejos, todos la venimos utilizando con absoluta frecuencia en el manejo 'online' de nuestras cuentas bancarias, que combinan algo que nosotros tenemos (un determinado número telefónico, por ejemplo) con algo que sabemos (una contraseña) o con algo que somos (por caso, nuestra huella dactilar). Más allá del ejemplo, su uso como mecanismo de prevención se viene generalizando recientemente, incluso por parte de organizaciones de pequeño tamaño, dada su probada eficacia preventiva.
En segundo lugar, empieza asimismo a generalizarse la percepción de la ciberamenaza como riesgo de negocio. Y es claro que la mejor manifestación de ello es el auge del ciberseguro, como instrumento especializado de la industria aseguradora para combatir este tipo tan singular de riesgos. Si damos un breve repaso a los mismos, nos encontramos con los clásicos ciberdelitos, desde ciberfraudes a ciberataques por intrusión, desde robos o filtrados de información hasta extorsiones como el 'ransomware'. Todos ellos quedan de ordinario cubiertos por este producto asegurador.
El tercer factor de interiorización de la ciberseguridad viene de la mano de lo que bien puede llamarse su otra 'cara de Jano', la privacidad. De poco sirve la primera si no puede garantizar la confidencialidad de la información. De ahí el enorme peso que la normativa sobre privacidad y protección de datos otorga a la ciberseguridad, al exigir que las organizaciones protejan aquella con 'medidas adecuadas'. Cuáles sean estas es en cambio cuestión que cada organización debe resolver, a la vista de sus concretas circunstancias, siendo al tiempo esta cuestión terreno más que abonado para uno de los principios que también con mayor claridad se van insertando en las organizaciones: la interdisciplinariedad, pues ni el directivo podrá aquí decidir sin el jurista, ni ninguno de los dos sin el tecnólogo.
Unidas a unas mayores concienciación y formación, estas nuevas capacidades son nuestras mejores esperanzas para combatir los nuevos y los no tan nuevos ciberriesgos. Descuella entre todos ellos el ya citado 'ransomware', la ciberextorsión que bloquea archivos mediante cifrado, liberable mediante el pago de un rescate. Las empresas, incluso de grandes dimensiones, vienen manifestando en estos meses una alta preocupación sobre este asunto; en el despacho estamos colaborando con algunas de ellas, para mitigar los efectos de algún ataque de este tipo que en el futuro pudieran sufrir. También hay inquietud entre los gobiernos, sin ir más lejos el de los EEUU, que constituía en octubre pasado un grupo de trabajo de 30 países para diseñar soluciones a escala global.
Una consultora internacional especializada, Sophos, publicaba en abril de este año algunos datos muy reveladores sobre 'ransomware'. Me quedaré con tres: uno, que, aun pagando rescate, las organizaciones solo recuperan el 65% de los datos comprometidos; otro, que la factura media para resolver en su totalidad el problema se eleva a 1,5 millones de euros, y el último, que se ha más que duplicado (hasta el 7%) una variedad de ciberextorsión que ni siquiera consiste en cifrar los datos, sino que directamente amenaza con divulgarlos e incluso venderlos en la red oscura (cosa que de ordinario, y aun mediando pago de rescate, los ciberatacantes suelen haber hecho ya).
La amenaza, pues, no da tregua. Y si algo nos demuestra su evolución en estos últimos meses y años, es que está literalmente 'en la calle'. Todos hemos de afrontarla también sin descanso, día tras día.
*Pablo García Mexía, PhD. Director de Derecho Digital en Herbert Smith Freehills, Madrid.
Si Vd. ha ido más allá del título de este artículo y ha llegado hasta estas líneas, debo felicitarle: está Vd. entre las personas que se preocupan o al menos se interesan por la creciente y cada vez más intensa amenaza a nuestras redes y sistemas de información y, por consiguiente, buscan informarse (y quizá formarse) mejor al respecto.
:format(png)/f.elconfidencial.com%2Fjournalist%2Fc59%2Ff10%2Fb00%2Fc59f10b00dee329414002522fa67a670.png)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F6fa%2Fb67%2Fbfc%2F6fab67bfc7378d246a151889125e9d8e.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F5a2%2F0aa%2F4a6%2F5a20aa4a6a24cfdd46df39a599797b3a.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F327%2Fb78%2F112%2F327b781128949259accc47e37cf767ac.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F866%2F7d7%2Fce2%2F8667d7ce28971c00faac05e41fcb4d6e.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fb92%2Fb0e%2F7ec%2Fb92b0e7ec45be7aa3c96dfd3d841d66e.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F750%2Fcb1%2F730%2F750cb173024eeee2b03623df41f692d6.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F90a%2Fb01%2F68d%2F90ab0168d5bbf18c88b1b93e9a0d1997.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F7b2%2F75e%2Fb3e%2F7b275eb3e8ba7db2a50dfc18a280a80f.jpg)