ITRES insiste en la prevención para minimizar el impacto de los ciberataques en empresas

Los ciberataques ya no son cosa de «jóvenes con capucha jugando». Detrás de estas acciones delictivas hay grupos organizados con estructura empresarial, incluso con soporte técnico, que actúan en cadena para conseguir un objetivo claro: facturar y hacer negocio. No hace falta ser expertos, ya que cualquiera puede acceder a un 'software' que permita esta intromisión digital, estando ya al nivel de cualquier usuario, algo que tiende a incrementarse con el desarrollo de la inteligencia artificial, y eso hace que los expertos consideren que el aumento de casos vaya a más de aquí en adelante.

Es esa interconexión de actores la que consigue que estos ciberataques sean más «meticulosos y sofisticados», lo que requiere que el mundo empresarial esté más preparado que nunca para hacerles frente. Así lo transmitieron el pasado martes en la Sala de Catas de Estrella de Levante el cofundador y director de ciberseguridad de ITRES, Javier Medina, y el abogado especialista en nuevas tecnologías, corporate e inteligencia artificial y socio de Nexo Abogados, Juan Francisco Gomariz, en una nueva jornada de la iniciativa Cybeer, promovida por la empresa junto a ENAE y la colaboración de LA VERDAD, Estrella de Levante y Fortinet. La cita tuvo como finalidad informar y sensibilizar ante estos hechos cada vez más habituales y compartir qué está pasando en esta materia tanto a nivel técnico como legal.

Lo que dejaron claro los ponentes es que «nos atacan». Y con esto Medina se refería a los 682.000 intentos de ataques bloqueados de forma automática que ITRES ha interceptado en los últimos treinta días en 6 de sus usuarios en gestión activa de seguridad y en los 1.300 servidores con los que cuenta. «Más de 100 han generado un incidente que han requerido una intervención humana y de esos 5 han tenido un impacto cierto, aunque muy pequeño», contó. Su objetivo es que estos incidentes produzcan el menor daño posible, consiguiendo retener y detener la amenaza desde el minuto uno, porque «los malos tienen muchos medios y es casi imposible que no ocurra el hecho», según Gomariz. El primer paso para ello es la diligencia digital: establecer protocolos de prevención para identificar riesgos y medidas para llevar a cabo si se produce el ciberataque, además de formar al personal. Este concepto también abarca el momento en el que se produce el ataque, enfocado a la parte técnica, de consultoría y jurídica para minimizar el impacto o atajarlo lo máximo posible, con una actuación de respuesta que haga que no siga avanzando y permita restaurar el sistema, ya que eso irá directamente relacionado con la tramitación de esa responsabilidad y las sanciones.

Hay incidentes que van más allá de la anécdota y producen una exfiltración de datos porque las empresas, a pesar de tener un buen sistema de seguridad, no tienen la herramienta para parar ese ataque concreto. No se trata de apagones del sistema, sino de una salida de datos que genera un impacto público y repercusiones, lo que lleva a la necesidad de encauzar el problema lo antes posible.

Para Gomariz, que haya o no caos depende de los protocolos que se hayan establecido previamente y de tener la actuación de respuesta ordenada. En el caso de que haya una fuga de datos de carácter personal, la normativa indica que hay que hacer un informe en las primeras 72 horas, lo que requiere de personal con conocimiento tanto técnico como legal. «Este informe es para que la propia organización mercantil informe de lo que ha pasado y qué problema hay», señala el abogado, aludiendo a que tras esto se abre un plazo de 30 días para hacer aclaraciones y aportar documentos e información real.

Lo que subraya es que «nunca es una buena solución ocultarlo», especialmente si hay datos personales de terceros afectados, porque muchas de las consultoras tecnológicas son capaces de saber el comportamiento de las organizaciones atacantes según el tipo de rescate que pidan y la información que aparece en el mismo y orientar a su resolución. Otras veces no se trata del compromiso de datos, sino de información sensible que hay en los archivos y que un tercero puede demandar o pedir responsabilidades por ello. Lo habitual, contaron, no es violentar el sistema, sino al trabajador y atacar a los usuarios.

El conflicto está que hay agencias de protección de datos que consideran una actuación negligente hacer esa denuncia, o porque creen que ese hecho puede exponer a la empresa, o que la amenaza no va a tener éxito. Ante esto, Gomariz recordó que puede haber responsabilidades penales por ocultar un delito así, que se sumaría a la responsabilidad civil y administrativa que conlleva este tipo de acto; estas últimas parten de 100.000 euros por no tener un protocolo correcto en caso de ciberataques.

Las sanciones en caso de ciberataque van a depender de cuántos medios y pautas se hayan puesto en la empresa para prevenir este tipo de incidentes: si hay un esfuerzo en identificar riesgos, crear protocolos e implementarlos, así como informar al personal y poner todos los medios en marcha. Pero no se queda ahí: los expertos animaron a las compañías a exigir a sus proveedores que también tengan un plan de prevención y que lo certifiquen, porque este tipo de medidas «hacen que respondan y ayuden a filtrar la responsabilidad o minimizarla».

Todo esto se suma a la importancia de contar con empresas de ciberseguridad que pongan a disposición de las empresas los medios necesarios para abordar estos incidentes de forma eficaz, quedando en manos de profesionales. Porque ninguna empresa puede evitar el ataque, pero sí hacer más livianas sus consecuencias.

• Temas
• Inteligencia artificial
• Estrella de Levante
• Ciberataque
• Ciberseguridad