Ignacio Porro (INCIBE): Los ciberataques pueden generar perjuicio económico y daño reputacional
Ignacio Porro Sáez, técnico de ciberseguridad del INCIBE (Instituto Nacional de Ciberseguridad), entidad dependiente del Ministerio de Transformación Digital y de la Función Pública, nos explica en la siguiente entrevista la capacidad de resistencia de las empresas españolas ante los ciberataques y la importancia de los simulacros para prevenir estos riesgos. Según este experto, las principales consecuencias de un ciberataque pueden ser la pérdida de información sensible, la paralización de la actividad, el perjuicio económico, el daño reputacional y el riesgo de incumplimiento legal.
¿Qué daños pueden causar los ciberataques a las empresas españolas?
Depende del ataque al que se enfrenten. Por ejemplo, si es ataque de tipo ransomware, los datos se verán cifrados y, probablemente, la empresa sufrirá pérdidas económicas y de disponibilidad del servicio, además de una posible filtración de datos; esto podría conllevarle también sanciones económicas por incumplimiento normativo. Estos ataques también suelen generar daños reputacionales en la imagen exterior de la compañía y con sus clientes.
En otro tipo de ataques como el de una denegación de servicio, conocido también como DoS, la empresa sufrirá una indisponibilidad de su servicio. Si se trata, por ejemplo, de un comercio online la situación conllevará perdidas económicas porque no podrá vender sus productos y esto generará asimismo una pérdida de confianza de sus clientes, así como problemas reputacionales. También tenemos que tener en cuenta otro tipo de ataques que están a la orden del día, como las estafas de tipo phishing, y sus derivados smishing y vishing. Mediante mensajes fraudulentos, los ciberdelincuentes intentan conseguir que los empleados revelen información confidencial de su compañía.
En resumen, las principales consecuencias de un ciberataque suelen ser la pérdida de información sensible, la paralización de la actividad, el perjuicio económico, el daño reputacional y el riesgo de incumplimiento legal.
¿Qué capacidad de resistencia tienen las empresas ante estos ciberataques?
Es difícil dar un dato exacto sobre la capacidad que tienen las compañías españolas para resistir un ciberataque. También es cierto que, desde la pandemia del covid, se ha activado mucho el teletrabajo y el ámbito online; y las empresas están cada vez más concienciadas en materia de ciberseguridad e invierten más en recursos para protegerse de posibles ciberataques. Pero todavía queda mucho trabajo por hacer, sobre todo en aquellas empresas que pueden destinar menos recursos a ciberseguridad como pueden ser las micropymes y los autónomos.
¿Podríamos decir que estamos en un nivel similar al de otros países europeos en este sentido?
En España las cosas se están haciendo muy bien. Estamos cada vez más concienciados y el nivel de madurez en temas de ciberseguridad es alto. No nos situamos por encima de otros grandes países como Alemania o Francia, pero tampoco por debajo, yo diría que nuestra posición es similar.
¿Qué medidas de prevención pueden tomar tanto grandes empresas como pymes?
La primera es la formación y concienciación, tanto de empleados como de empleadores. Hay que tener en cuenta que cuando un empleado está formado y concienciado en materia de ciberseguridad, se convierte en la primera línea de defensa frente a un ciberataque. Si tiene unas nociones básicas sobre la materia, podrá diferenciar por ejemplo un correo legítimo de un phishing y sabrá cómo actuar en caso de recibir un email con un archivo adjunto de alguien que no conoce o no es de su confianza. Pero, por otra parte, también es importante contar con unas políticas de ciberseguridad bien definidas, que estén al alcance de todos los miembros de la empresa y en las que se traten aspectos y elementos esenciales sobre lo que debe tenerse bajo control. Estas políticas suelen incluir una lista de tareas que la compañía debe llevar a cabo en este ámbito.
¿Qué importancia tienen los simulacros para prevenir estos riesgos?
Realizar simulacros es muy importante porque te permite actuar frente a un ciberataque en un entorno controlado y comprobar si estás preparado para afrontarlo. Desde INCIBE hemos puesto en marcha CyberEx, unos ciberejercicios con los que ponemos a prueba a las entidades que participan en ellos para conocer su nivel de madurez a la hora de enfrentarse a este tipo de situaciones. Los ejercicios abarcan todos los roles de las empresas, desde los altos directivos hasta los becarios, pasando por el equipo técnico asignado para hacer frente a estos problemas. Así se puede comprobar el grado de madurez y coordinación existente, y determinar en qué aspectos hay que mejorar.