España, tercer país más atacado del mundo, necesita reforzar la ciberseguridad de sus pymes
La ciberseguridad en nuestro país se enfrenta a desafíos como proteger las vulnerabilidades de la cadena de suministro, concienciar a la población o afrontar los riesgos que entraña la IA. La legislación podría ser la palanca para lograrlo
Cada año, empresas y organizaciones son atacadas sistemáticamente por ciberdelincuentes, desde compañías del Ibex 35 hasta pymes. Según el último informe de ESET, nuestro país se sitúa como el tercero más vulnerado globalmente. Entre las claves para entender esta situación, los expertos apuntan a que las pymes, como integrantes de las cadenas de suministro, son una de las principales puertas de entrada, aunque la legislación europea podría convertirse en un revulsivo para fomentar la responsabilidad, mejorar la a inversión y, en definitiva, reducir los riesgos. En paralelo, la inteligencia artificial se presenta como un arma de doble filo, ya que es capaz de incrementar la sofisticación de los ataques o de fortalecer las defensas.
Para abordar estas cuestiones contando con el análisis de los especialistas en la materia, El Confidencial organizó junto a Cipher una mesa redonda titulada El futuro de la ciberseguridad en España. Los participantes en la tertulia fueron David Fernández, CEO de Cipher; Elena García, EMEA Customer Security Officer de Microsoft; Daniel Gonzalo Gago, Chief Information Security Officer de Nalanda; y Jean Baptiste Aireau, Manager Cyber Consulting de AON.
El primero en tomar la palabra fue David Fernández para subrayar "la importancia de las pymes” a la hora de reforzar las medidas de ciberseguridad. ¿Por qué? “Porque son una parte fundamental en la cadena de suministro de las grandes empresas, pero son vulnerables al no priorizar la ciberseguridad”, apuntó. Para entender esta afirmación, matizó que "es importante concienciar para que sean responsables" y realizó un paralelismo con “la evolución de los riesgos laborales en las últimas décadas: ahora son criterios comunes para todas las organizaciones grandes y pequeñas”. Como solución, el experto señaló que la Directiva NIS2 —la legislación aplicable en toda la UE— “podría ser crucial para que los proveedores se lo tomen en serio”.
El CEO de Cipher explicó cómo se produce un ataque básico para evidenciar que "se debe reforzar también la seguridad física, mientras se pone el foco en las credenciales y accesos, ya que son elementos que se suelen comprometer más fácilmente”, aseguró. Además, alertó sobre los riesgos que entrañan “los dispositivos móviles, como coladero”. Para poner coto a este tipo de ataques, “basta con controlar aspectos muy básicos”. En relación con la revolución que trae aparejada la IA generativa, advirtió sobre “la posible manipulación de modelos” y propuso “combinar diferentes inteligencias artificiales con sistemas determinísticos para validar respuestas útiles en la batalla contra el cibercrimen”, expuso.
"Hay que reforzar desde la seguridad física, hasta las credenciales y el uso de los dispositivos móviles", David Fernández (Cipher)
Por su parte, Elena García puso un dato encima de la mesa para comenzar su turno: “España es el tercer país más atacado del mundo en estos momentos”, afirmó. No obstante, la experta aclaró que los datos que confirman esta posición en el ranking de ciberataques responden “al hecho de que existe una apuesta nacional que monitoriza y cuantifica. Es decir, no se puede luchar contra lo que no se ve”. En cuanto a los volúmenes que mueve el cibercrimen en el mundo, concretó que “si se tratara de un país, en estos momentos las cifras equivalen a la tercera economía del mundo y, además, sería la que más crece a nivel global cada año”.
Respecto a la irrupción de la IA, bajo su perspectiva “incrementa la sofisticación de los ataques”. Para hacerles frente, la EMEA Customer Security Officer de Microsoft remarcó que “ya existen tecnologías potentes que pueden hacer más eficiente la defensa frente a las amenazas internacionales”. Del mismo modo, la mencionada NIS2 “podría ser una verdadera palanca para fomentar buenas prácticas en ciberseguridad” y especificó que “es importante para reducir daños reputacionales y económicos en las empresas, más allá del robo de datos”.
Jean Baptiste Aireau coincidió en el análisis de sus compañeros y destacó que “España, al ser un país de pymes, tiene una debilidad estructural frente a ciberataques”. En su opinión, “NIS2 será un catalizador para la inversión en ciberseguridad, ya que obliga a notificar los incidentes en 72 horas, lo que aporta datos determinantes para solucionar esta cuestión tanto en España, como en el resto de Europa”. De hecho, consideró que “el impacto de esta legislación será similar al del Reglamento general de protección de datos”.
Continuando con su análisis, el Manager Cyber Consulting de AON aclaró que en los próximos meses y años seguramente vamos a ver una mayor concienciación por parte de las empresas, por requerimiento de la normativa, y esto derivará en mayores desembolsos destinados a controles de seguridad, pero también a sensibilizar respecto a estos riesgos”. Dado que este mercado crece constantemente, “es necesario aprender de lo que ya se hace en otros países y fomentar la colaboración entre empresas y también con las autoridades regulatorias”, precisó.
Ya en el turno de Daniel Gonzalo Gago, la reflexión quiso ir más allá: “Es cierto que hay que extender el concepto de responsabilidad compartida en la cadena de suministros, algo cada vez más tangible gracias a la ley que obliga a las empresas a tomar medidas concretas, pero también hay que entender que abrazando la ciberseguridad se transforman los negocios”, defendió. ¿De qué manera? “Por ejemplo, para trabajar con una administración pública desde el entorno de la empresa privada, se debe contar con certificaciones. Es decir, el negocio se ve afectado directamente por el esquema nacional de seguridad”, recalcó.
El Chief Information Security Officer de Nalanda explicó que "abrazar de forma descontrolada a la inteligencia artificial como ya está sucediendo en algunos sectores implica riesgos significativos”. Después comparó “la evolución de esta tecnología con el impacto que han tenido y tienen las redes sociales, otra tecnología que lo cambió todo”. De forma gráfica, planteó un escenario de batalla que ya está teniendo lugar “con la confrontación entre IA ofensiva y defensiva”.
El camino hacia una ciberseguridad madura
Mirando hacia el futuro, los expertos desgranaron en la parte final del encuentro los principales desafíos que se plantean en materia de ciberseguridad, pero también enumeraron algunas de las oportunidades que se presentan.
Así, David Fernández explicó que “existe una enorme oportunidad para España en lo referente a captación de talento, ya que hay un gran déficit de profesionales cualificados”. El representante de Cipher propuso “aprovechar el potencial de la FP” y “reducir los requisitos innecesarios en los empleos” para cerrar la brecha de talento. Además, recomendó que “Europa reduzca su dependencia tecnológica. En este sentido, se debe apostar por plataformas que impulsen tecnologías españolas y europeas”, reivindico.
"La ciberseguridad es estratégica para el negocio: para trabajar con la Administración se necesitan certificaciones", D. Gonzalo Gago (Nalanda)
Elena García enfatizó “la necesidad de integrar la seguridad en todos los niveles, incluidos los altos mandos, para abordar un entorno regulatorio más exigente y terminar con el déficit de talento”. En relación con la IA, insistió en “no adoptar tecnologías sin evaluar sus riesgos” y, en su lugar, “buscar socios adecuados para implementarlas de manera segura”.
En línea con lo apuntado por la representante de Microsoft, Jean Baptiste subrayó “la importancia que tienen los análisis de riesgos para el uso de IA en ciberseguridad” y advirtió sobre “el peligro que tienen las empresas que implementan IA sin considerar las amenazas”. Para avanzar en estrategias de ciberseguridad más maduras y efectivas, el experto recomendó “más concienciación y mucha colaboración”.
Finalmente, Daniel Gonzalo Gago retomó el tema de la concienciación para proponer “charlas en escuelas” y así conseguir “fomentar una educación más sólida y evitar problemas desde el inicio”. También insistió en lo determinante que pueden resultar “las homologaciones de los proveedores en proyectos de gran envergadura, por ejemplo, con accesos a través de biometría”. “Si bien no existe una solución perfecta en el mercado —recalcó para concluir—, sí se deben tomar las decisiones en materia de ciberseguridad siempre desde una perspectiva estratégica”.
Cada año, empresas y organizaciones son atacadas sistemáticamente por ciberdelincuentes, desde compañías del Ibex 35 hasta pymes. Según el último informe de ESET, nuestro país se sitúa como el tercero más vulnerado globalmente. Entre las claves para entender esta situación, los expertos apuntan a que las pymes, como integrantes de las cadenas de suministro, son una de las principales puertas de entrada, aunque la legislación europea podría convertirse en un revulsivo para fomentar la responsabilidad, mejorar la a inversión y, en definitiva, reducir los riesgos. En paralelo, la inteligencia artificial se presenta como un arma de doble filo, ya que es capaz de incrementar la sofisticación de los ataques o de fortalecer las defensas.
- El Confidencial sufre un ataque informático inédito destinado a modificar nuestra portada El Confidencial
- Transposición de la Directiva NIS 2: aspectos a tener en cuenta para cumplir con las nuevas normas de Ciberseguridad Alba Toledano
- Los expertos en ciberseguridad piden integrarla en la estrategia empresarial Tomás Muñoz M.