Las empresas de Baleares sufren miles de ciberataques al año, aunque solo una ínfima parte llegue a trascender. Suele suceder solo cuando el objetivo es una gran firma, como en el caso de Air Europa, y los efectos del hackeo alcanzan a los propios usuarios. La mayor parte de esta guerra se libra en la oscuridad, pero no solo por la naturaleza de los atacantes -la ciberdelincuencia opera en las sombras por definición-, sino por la discreción del propio tejido empresarial, totalmente reacio a airear problemas de este tipo o a la puesta en común de estrategias de defensa.
Las estadísticas de cibercriminalidad del Ministerio del Interior cifran en 4.525 los delitos de estafa informática registrados en el primer semestre de 2023, lo que supone un incremento del 27,6 % con respecto al mismo periodo del año pasado.
«Nos falta debate social: ya llevamos años con esto y pareciera que solo afecta a grandes empresas, pero nada más lejos de la realidad», señala Natalia Maroto, de GsBIT, Asociación Balear de Software, Internet y Nuevas Tecnologías, integrada en CAEB. «Hay que empezar a hacer caso de verdad». En el caso de Air Europa, Maroto destaca el hecho de que los delincuentes clonaron el portal de pago de la aerolínea, lo que demuestra el proceso de sofistificación que experimentan constantemente los ataques informáticos. «La diferencia es que ahora han logrado que el cliente acceda directamente a otro sitio y de ahí toman sus datos».
Las empresas, y más concretamente la pequeña y mediana empresa, son objetivos prioritarios de estos ataques al aunar atractivos clave para los piratas informáticos, especialmente el de representar un botín menor que el de las grandes empresas, pero mucho más accesible por su bajo nivel de protección. La Secretaría de Estado de Digitalización e Inteligencia Artificial estima que las pymes están invirtiendo menos del 6 % de sus presupuestos en protección.
Así lo señaló la secretaria de Estado, Carmen Artigas, en su última visita a Mallorca, en la que no dudó en calificar a las pymes como «el objetivo más débil para los ciberataques» y las instó a aprovechar la línea de ayudas europeas del Kit Digital para incrementar su ciberseguridad. Por desgracia, su discurso no hizo mella en el tejido empresarial balear, que mostró un interés más bien marginal en armarse contra la ciberdelincuencia.
«La ciberseguridad era una de las líneas de ayuda del kit digital ellas, pero no estuvo entre las más demandadas, lo que confirma este desinterés y la falta de concienciación», señala el presidente de la Asociación de la Pequeña y Mediana Empresa (PIMEM ), Jordi Mora.
«Las pymes son las más vulnerables porque además no son conscientes de los peligros. Y esto va a ir a más», asevera Mora para añadir, por otra parte, que un ataque como el sufrido por Air Europa no sale gratis, por mucho que se haya detectado la brecha de seguridad y alertado a los usuarios a tiempo. «Todo esto tiene un coste reputacional».
Es precisamente ese coste el que tratan de evitar las empresas, que prefieren llevar con el máximo hermetismo y discreción posibles estos episodios a fin de no dañar más su imagen o provocar un efecto llamada hacia otros delincuentes. Según la Asociación Española de Empresas contra el Fraude (AEEC), un 58% de los profesionales cree que el impacto del fraude en su empresa tiene una fuerte repercusión en su reputación y en la confianza de los clientes. Para Mora, «sería bueno que se comunicaran estos ataques y que eso ayudara a tener un protocolo de defensa común».
La Unidad de Innovación Tecnológica en Ciberseguridad de la UIB ofrece formación a las empresas para protegerse contra la ciberdelincuencia. Su director, Llorenç Huguet, señala que «las pymes necesitan adquirir unos hábitos que sí tienen las grandes empresas». El ex rector de la universidad asevera que «es un tema que ha de tomarse muy en serio» y cita al FBI para rematar su discurso: «hay dos tipos de empresas: las que ya han sufrido un ciberataque y las que lo sufrirán en el futuro».
Asimismo, Huguet incide en que las empresas tienen a mano el teléfono 017 del El Instituto Nacional de Ciberseguridad de España (INCIBE) si creen que han sido víctimas de un ciberataque. Precisamente el INCIBE detectó en 2022 un total de 3,3 millones de puntos de conexión a internet expuestos, comprometidos o vulnerables a softwares maliciosos en el país, de los cuales 68.081 se encontraban en Baleares.
Un 68 % de las empresas ha sido objeto de fraude
«Hoy le ha tocado a Air Europa, pero mañana será otra gran sociedad, lo que implica que los departamentos de cumplimiento normativo y seguridad tendrán que hacer un esfuerzo extra en inversión y prevención». Así se expresó ayer desde Círculo Legal el abogado Felipe García, en referencia al ciberataque a la aerolínea y también al último informe difundido por la Asociación Española de Empresas contra el Fraude (AEEC), el cual estima en un 68 % el porcentaje de empresas españolas que fue objeto de fraude en 2022, principalmente ataques de naturaleza digital. Casi la mitad de los afectados admite que las pérdidas ocasionadas superan las del año anterior.
Asimismo, el informe de AEEC señala que el 42 % de los casos de fraude digital a las empresas víctimas de ciberataques en 2022 se produjo en puntos de venta durante las transacciones en línea, lo que implica que los delincuentes robaron credenciales o clonaron tarjetas. En un 21 % de los casos, prosigue el documento, el fraude se cometió mediante el robo de datos o la introducción de virus en los terminales electrónicos.