Javier Diéguez, director del Basque Cybersecurity Centre: “El Covid-19, como ‘WannaCry’, marcará un antes y un después en la ciberseguridad de las empresas”

El Covid-19 ha obligado a adaptarse a nuevos escenarios como el teletrabajo, para el que, en la mayoría de los casos, no se estaba protegido. Para minimizar el éxito e impacto de los ciberataques, el director del BCSC, Javier Diéguez, aconseja unas medidas a adoptar por empresas y trabajadores.

Basque Cybersecurity Centre es la organización encargada de promover y desarrollar una cultura de ciberseguridad, dinamizar la actividad económica relacionada con su aplicación y fortalecer el sector profesional. ¿Con qué preparación afronta la sociedad la crisis del coronavirus?

Muy pocas sociedades estaban mínimamente preparadas. Esta emergencia sanitaria ha provocado una necesidad de adaptación que se ha asumido con prisas y, en muchos casos, sin tener en cuenta la condiciones mínimas de ciberseguridad. Por parte de la industria vasca, hay indicadores que muestran un avance desde la creación del BCSC hace dos años y medio. En 2018 pusimos en marcha el primer programa de ayudas del Estado orientado a elevar el nivel de protección de la industria, con un total de 102 proyectos adheridos y una inversión de dinero público de 985.000 euros. El pasado 2019 se aprobaron 224 proyectos por 1,95 millones, es decir, se duplicaron en la segunda edición, lo que significa que cada vez más empresas y clústeres ven la ciberseguridad como una práctica esencial de negocio. Pero la mayor limitación para el desarrollo de la ciberseguridad dentro de las empresas es la falta de perfiles cualificados. Desde BCSC trabajamos con el departamento de Educación, centros de Formación Profesional, Universidades y asociaciones empresariales para tratar de mejorar este hándicap. La brecha de género también es relevante, con solo un 11% de mujeres trabajando en el sector. Avanzamos porque como sociedad estamos invirtiendo dinero y esfuerzo, pero sigue habiendo mucho trabajo por hacer.

¿Qué posición ocupa Euskadi en comparación con Europa?

A pesar del gap de talento, el avance en Euskadi es positivo y nos reconocen organismos como la European Cybersecurity Organization (ECSO), que incluyó a Euskadi como uno de los Smart Territories europeos, entornos en los que existe una apuesta por el emprendimiento y la innovación en ciberseguridad. Euskadi cuenta con una red puntera de activos y servicios de fabricación avanzada como Basque Digital Innovation Hub. También la OCDE nos invitó a su Global Forum sobre Digital Security for Prosperity, siendo Euskadi la única región europea representada en los paneles de esta conferencia. Somos una de las regiones más avanzadas en ciberseguridad en Europa y trabajamos en una propuestas para desarrollo de la ciberseguridad hacia verticales industriales junto regiones como Bretaña, Westfalia y Toscana.

¿Qué impacto económico se estima tiene el cibercrimen?

Desde una perspectiva global, existen diferentes estimaciones con relación a las pérdidas económicas derivadas del negocio del cibercrimen. De acuerdo con el estudio Economic Impact of Cybercrime-No Slowing Down, publicado por McAfee en 2018, se estima que el cibercrimen tiene un impacto mundial de 600.000 millones de dólares, siendo superior al del tráfico de drogas o tráfico de armas. En el ámbito estatal todavía no están disponibles los datos correspondientes a 2019, pero en el local sabemos que la Ertzaintza (policía vasca) gestionó 14.311 ciberdelitos, un 11,9% más que el año anterior. Y estas cifras son solo la punta del iceberg, ya que en muchos ámbitos todavía no es habitual que se reporten los incidentes.

¿Cree que se dispararán las cifras de ciberataques este 2020 en comparación con otros ejercicios?

En los últimos años estamos sufriendo un crecimiento dramático de los incidentes de ciberseguridad y nada hace pensar que esto vaya a ralentizarse, ya que nuestra superficie de exposición aumenta incontroladamente. La consultora Gartner estima que para el año 2021 habrá más de 25.000 millones de dispositivos conectados a Internet, dispositivos que en muchos casos están pensados desde una perspectiva funcional que no contempla la ciberseguridad, lo que supone un mayor riesgo y dificultad para estar protegidos. Aumenta la exposición, por tanto más probabilidades de ciberataques. Y en una crisis de estas características, donde intervienen tantos factores como el parón industrial, el sanitario, etc, al mismo tiempo, resultará muy difícil aislar el impacto económico debido exclusivamente a los ciberataques. Hay muchísimos ataques todos los días y debemos prepararnos para no convertirnos en víctimas. Que haya más ciberataques no es el kit de la cuestión, tenemos que perseguir que aunque aumenten sean menos exitosos y tengan menor impacto, Ciberataques va a haber siempre y cada vez más; hay que adoptar buenos hábitos que nos protejan.

¿Son los usuarios la parte más vulnerable del sistema?

Sin duda. Las personas son la esencia de la actividad de toda organización y la parte cuya transformación es más difícil. Por un lado, nos encontramos con profesionales y cuadros de dirección cuyos negocios no tienen tradición en el consumo y adopción de modelos digitales. No están habituados a identificar riesgos en leer correos electrónicos, navegar en internet o conectar dispositivos USB, y estas rutinas son los vectores más importantes de infección en las organizaciones. Por otro lado, profesiones como el desarrollo de software han volcado su atención en la funcionalidad, el rendimiento o la usabilidad, pero, generalmente, no están familiarizadas con las buenas prácticas para el desarrollo seguro, es decir, para proteger la aplicación frente a atacantes malintencionados. Desde el BCSC hacemos una labor continua de concienciación con sociedad, empresas, docentes, etc, con el objetivo de crear una sociedad más segura y contar con competencias digitales acordes con los retos actuales y futuros. El pasado año impartimos 219 jornadas de formación y concienciación en ciberseguridad en Euskadi, que llegaron a más de 4.000 personas.

¿Qué consejos y pautas puede dar a la ciudadanía para prevenirse de ciberataques durante la cuarentena?

La diferencia con otro momento normal es el nerviosismo de las personas y la inundación de información. Con el correo electrónico hay dos recetas básicas que siempre funcionan que son verificar la identidad de quién te envía un correo y si ese correo lleva a navegar a un sitio con un enlace, asegurarse de que las páginas a las que se accede son las oficiales. Basta con pasar el cursor sobre los enlaces de los correos antes de hacer clic para que nos enseñe hacia donde nos va a llevar. Es importante no caer en precipitación. Además hay que proteger la información personal antes de compartirla y valorar si es necesario, y no difundir información sin contrastar su veracidad. Tenemos que convertirnos en cortafuegos de los bulos que generan malestar, pánico o confusión en nuestro entorno y páginas como www.maldita.es, que compilan fakes news nos pueden ayudar. Asimismo, el BCSC está operativo para asesorar frente a incidentes.

¿Y cuáles son los riesgos a tener en cuenta por los equipos de TI a la hora de habilitar los medios para el teletrabajo?

Pasar al teletrabajo conlleva dos cambios relevantes sobre la manera habitual de trabajar desde la propia organización. Primero, porque se usan medios de la empresa desde fuera de las redes corporativas o medios propios del trabajador para conectarse a los sistemas corporativos y hay diferentes modelos de propiedad. El segundo factor, es que se produce una conexión a las redes internas desde el exterior del perímetro y utilizando redes públicas. Por ello, hay que establecer políticas sobre el uso aceptable de cada modelo de propiedad de los activos, con credenciales de acceso personalizadas. Además, hay que usar mecanismos de autenticación multifactor, con contraseña, tarjeta de claves y algún parámetro biométrico. Esta triple verificación es recomendable cuando se accede de fuera de la web, al menos la doble, y garantizar que los dispositivos empleados dispongan de versiones actualizadas y de mecanismos de actualización. A todo esto añadir la protección de los repositorios compartidos, el borrado seguro de información sensible, mantener la eficacia de las copias de seguridad, cifrar las comunicaciones, así como el almacenamiento local de los dispositivos utilizados. Una serie de controles básicos que hay que seguir manteniendo.

¿Cuáles son los ataques que más proliferan en estos momentos?

Está aumentando el phishing, el fraude en todas sus facetas, del correo electrónico fraudulento, y de la aparición de un buen número de programas maliciosos, que utilizan como pretexto el Covid-19, información o ayuda para investigar la vacuna, y tratan de pedirte un rescate o se quedan espiando. También se han disparado los registros de dominio relacionados con el coronavirus, utilizados para llevar a cabo las acciones anteriores. Las amenazas para los teléfonos móviles, en especial dispositivos Android, están siendo muy explotadas. En concreto, el ransomware CovidLock, pasa por ser una aplicación para rastrear información sobre el Covid-19, pero su función es bloquear los teléfonos hasta el pago de un rescate. Además, se han detectado ataques más organizados de grupos de ciberdelincuentes, las denominadas Amenazas Persistentes Avanzadas, en los que se ha suplantado a la Organización Mundial de la Salud con el objetivo de intentar sustraer información sensible o, incluso, solicitando una donación en bitcoins para contribuir a la investigación de una cura. Por otra parte, con el teletrabajo se están generando VPN (redes privadas virtuales) falsas con el objetivo de robar datos personales y empresariales. Y las estafas vía web se relacionan con la compra de kits de prueba de virus, páginas fraudulentas orientadas a la recogida de donaciones, o portales que venden todo tipo de productos en los mercados de Darknet (red oscura). Los casos de extorsión afectan incluso a los hospitales, con la constancia de un ataque en la República Checa.

Cuando todo pase, ¿qué aprendizaje cree se sacará de lo acontecido en el ámbito de la ciberseguridad?

La crisis actual va a cambiar muchas cosas del mundo tal y como lo conocíamos y también se redefinirán aspectos de la ciberseguridad. En el escenario post-Covid-19, creo que evolucionará la arquitectura de los sistemas consecuencia del teletrabajo. Las aplicaciones y redes deberán adecuarse para el acceso remoto y esto llevará a una mayor protección de los dispositivos utilizados. Las personas seguirán siendo el elemento más importante de las organizaciones, a la vez que su punto más débil frente a ciberataques. Por ello, habrá que concienciarlas en la protección de los activos de la compañía. Con todo esto podríamos asistir a un progresivo desplazamiento de la informática corporativa hacia modelos basados en la nube y también cambiarán los modelos de ataque de los cibercriminales. Pero gracias a ello, surgirán nuevas oportunidades para los proveedores de servicios o fabricantes de tecnologías de ciberseguridad, orientadas a securizar la nube. La experiencia post-WannaCry marcó un antes y un después en la presencia de la ciberseguridad en el ideario empresarial y esta segunda gran singularidad creada por el Covid-19 marcará un nuevo punto de inflexión. Las organizaciones deberán interiorizar que la ciberseguridad no es un problema informático, sino que es una innovación en la gestión de riesgos y solo serán competitivas las empresas que se protejan a sí mismas y a los clientes que compran sus productos y servicios.