Experta en ciberseguridad y al frente del equipo de ITCM Solutions, Natalia Villegas advierte de que los ataques se han disparado. La ciberdelincuencia, explica, se combate con formación. «El 90 por ciento de los ataques se producen a través del correo electrónico y un personal entrenado puede evitar más del 95%».
¿Se han disparado los ataques informáticos?
— Es correcto, se estima que se producen 40.000 ciberataques diarios en España, lo que implicaría que cada empresa recibe cuatro cada año. Por eso, las conexiones seguras se han convertido en un punto central como demuestra que, dentro de las subvenciones del Kit Digital, las más fuertes tienen que ver con seguridad.
¿Cuáles son los ataques más frecuentes?
— En las empresas phising, tipos de ataques que usan ingeniería social y atacan a través del correo electrónico o el SMS o llamadas telefónicas. Es la forma de entrar, así pueden acceder a los datos, copiarlos, robarlos, cifrarlos...
¿Qué destino se da a los datos robados?
— Se venden. Hay un mercado con un precio tasado. El Incibe (instituto nacional de seguridad) señala que se venden por ejemplo fotos de familia a un euro o de DNI por quince euros. Existe un mercado con precios fijados.
¿Y secuestros de datos?
— Se llaman ransonware y hemos visto muchos. Lo que importa es que no se pague el rescate, que no se financie a esa empresa. Los ataques no provienen ya de personas individuales sino que son conjuntos organizados como empresas. El año pasado se han batido todos los récords y ya han sobrepasado al narcotráfico en facturación. Es importante no pagar, primero, para no financiarles y segundo, porque lo que se recupera ya no sirve. Una vez que los datos han sido robados y han sido vendidos se pierde reputación. Una vez que se da una brecha de seguridad no se conoce el alcance real.
¿Y ataques como el que sufrió Cort con falsas facturaciones?
— Accedieron a una empresa de limpieza a través de un phising y consiguieron así el certificado digital. Es el tipo de ataque que más se da ahora y la única solución es la formación. No hay otra defensa real y es en lo que menos se invierte. Cada euro que se invierte por parte de una empresa en formación equivale a 200 que inviertes en tecnología. Cuando una persona entiende cómo funciona es la mejor barrera que hay. En el caso de Cort hubiera bastado con una llamada telefónica a ese proveedor y se hubiera evitado pagar esos 300.000 euros.
¿Qué hay que hacer ante uno de estos ataques?
— Lo suyo es ir a poner una denuncia y según los datos a los que hayan accedido los ciberdelincuentes acudir a la Agencia Española de Protección de Datos. Si es un material sensible es una obligación. La Policía Nacional está haciendo un trabajo espectacular, tiene un equipo de rastreo muy grande. Sin embargo, si yo no tengo seguridad todo eso no vale. Si no tengo contraseñas robustas, tampoco. Las empresas necesitan planes de contingencia real. Desde autónomos a grandes empresas. La ciberseguridad no es cara, está pensada y nos afecta a todos.
¿Y los riesgos para particulares?
— Están muy expuestos padres de familia con tablets y teléfonos y planes familiares. Niños de cinco a ocho años ya pueden descargar algo que sea peligroso. Son un colectivo de alto riesgo. Una cosa básica es aprender a limpiar los metadatos de fotografías que incluyen ya muchos datos personales.
¿Mis datos me afectan solo a mí?
— La ciberseguridad es para todos. Es un asunto colectivo. Cuando yo permito que accedan a mis datos, permito que accedan a datos de otros. Tiene que haber un compromiso social. No es ya que alguien pierda los datos de su empresa, es que si yo soy un cliente suyo se pierden también los míos. Cuando se accedió a los datos del IB-Salut no eran en realidad los datos de todos los pacientes.