La industria española 'pasa' del cibercrimen

Robo de secretos empresariales, suplantación de la identidad de los empleados, colapso del servicio...Estas son algunas de las amenazas cibernéticas que torpedean a la industria española sin que esta haga mucho por protegerse.

En 2014, el Instituto Nacional de Ciberseguridad gestionó alrededor de 18.000 incidentes contra ciudadanos y empresas. Entre enero y abril de este año, ha gestionado cerca de 19.000. El número exacto de ciberataques, indican los expertos, es difícil de determinar.

Pese a las crecientes amenazas, una de cada diez organizaciones industriales en España sigue sin evaluar de modo alguno sus riesgos informáticos, mientras que solo un 17% cuenta con un plan de gestión testado, según un reciente informe del Centro de Ciberseguridad Industrial. “Muchas empresas, si sufren ataques, no se enteran”, dice Arturo Ribagorda, catedrático del Departamento de Informática de la Universidad Carlos III de Madrid.

La mayoría de las empresas encuestadas en el estudio–que proceden de ámbitos diversos de la industria como el eléctrico, el financiero, el alimentario o las manufacturas– son de gran tamaño, con más de 500 trabajadores y una facturación superior a los 200 millones anuales. Más de la mitad considera que sus directivos están “muy poco” concienciados respecto a las ciberamenazas o que su nivel de sensibilización es “normal”.

“Eso quiere decir que un alto porcentaje no lo está”, afirma Miguel Rego, director general del Instituto Nacional de Ciberseguridad. “Todavía hay que hacer un gran esfuerzo en inversión y mejorar las capacidades internas”.

Esfuerzos de concienciación

Rego coincide con otros expertos, sin embargo, en que los esfuerzos para integrar a la ciberseguridad en los entornos industriales van en aumento. “Diría que el mensaje es positivo”, afirma. “Hay una tendencia clara a que las grandes compañías estén progresivamente más concienciadas y estén impulsando internamente medidas para mejorar el nivel de control”.

De hecho, ocho de cada diez empresas pretenden tomar medidas de ciberseguridad en el próximo año, con el 61% de las organizaciones contemplando acciones en los próximos seis meses.

En comparación con países como EEUU o Reino Unido, España está menos desarrollada en materia de ciberseguridad, pero su situación geopolítica la convierte en un blanco menos recurrente, dice Adolfo Hernández, subdirector del think tank español THIBER. “Ni somos Israel ni somos Irán ni recibimos tantos ataques como Estados Unidos o como China o como Rusia,” afirma. “Por extensión, en nuestra industria, si bien está potencialmente amenazada como cualquier otra, no tenemos una situación como la de los países que hemos comentado, que son más maduros pero también tienen más riesgos”. Asimismo, estos ataques no siempre se dirigen a España en sí, indica Hernández, sino que muchas veces el objetivo es asaltar a terceros.

Un informe publicado el verano pasado por la compañía desofwareSymantecindicaba, sin embargo, que España era el principal afectado por unaofensivadel grupo cibercriminal Dragonfly contra el sector energético, por delante incluso de Estados Unidos y Francia. Los atacantes "consiguieron poner en peligro una serie de organizaciones estratégicamente importantes con propósito de espiar y, de haber usado la capacidad de sabotaje que tenían en sus manos, podrían haber causado daños ointerrupción del suministro de energía en los países afectados", exponía el reporte.

La industria financiera, más sólida y madura en materia de ciberseguridad, solía ser el foco principal de los ciberataques, pero hoy en día ya no es la única en el punto de mira. “Ahora el foco principal no solamente es la industria financiera sino también lo que es el sector industrial tradicional”, dice Hernández. “Es una tendencia preocupante”.

La ley obliga a proteger las infraestructuras críticas

En el caso de las llamadas infraestructuras críticas, entre las que se encuentra la industria financiera o la energética, existe además de un interés profesional por la ciberseguridad una normativa que obliga a protegerse. La Ley 8/2011 de Protección de Infraestructuras Críticas establece medidas para la defensa de estos sectores. De la misma manera, la protección de los sectores críticos está incluida en la Estrategia de Ciberseguridad de España de 2013.

Es difícil conocer la autoría de los ataques, afirman los expertos, aunque las incursiones pueden provenir de organizaciones criminales tradicionales, que pretenden enriquecerse, de Gobiernos o de activistas políticos. Los motivos económicos son los más frecuentes, pero existe una tendencia alcista de ciberataques con otros fines más allá del lucro.

Se han dado casos en que los ciberataques han tenido efectos físicos, como el lanzado conel virus Stuxnet, que infectó centrifugadoras de uranio en Irán para retrasar el programa nuclear iraní a finales de la década pasada, o el sufrido por una planta de acero en Alemania en 2014, que destruyó equipos industriales.

'Las empresas son muy celosas, y no suelen comunicar que están siendo objeto de un ataque'

Junto con la necesidad de una mayor sensibilización en el seno de la empresa, el otro gran obstáculo a la ciberseguridad en España es la negativa por parte de las organizaciones industriales a comunicar ataques sufridos y compartir información sobre incidentes por miedo a que pueda perjudicar el negocio. “Las empresas son muy celosas”, dice Ribagorda, de la Universidad Carlos III. “Y no suelen, en tiempo real, comunicar que están siendo objeto de un ataque”.

Si una empresa no informa de que ha recibido un ataque, otras organizaciones del mismo gremio que se encuentren entre los próximos objetivos de un cibercriminal no podrán prepararse para afrontar la amenaza. Ribagorda afirma que, sin embargo, se están investigando formas para automatizar la comunicación de incidencias cibernéticas. “Ahí se está apostando mucho”, dice. “La banca, por ejemplo, está apostando mucho por tener una infraestructura que en tiempo real permita a un banco saber si está sufriendo un ataque, y me parece muy importante”.