Las claves de la ciberseguridad en las pymes de Vicente Díaz, experto de Google: "Los ataques con 'ransomware' nos han ayudado a cuantificar por primera vez qué se estaba protegiendo"

Google anunció este mes la creación de una nueva unidad de ciberseguridad con el foco puesto en infraestructuras críticas y pequeñas y medianas empresas, y ha realizado un estudio sobre la situación de la seguridad informática en las pymes españolas. 8 de cada 10 pymes no se consideran objetivos atractivos para ciberdelincuentes.

Estos datos, que a juicio de la multinacional son "bastante preocupantes", cobran especial relevancia en un momento en el que la pandemia ha trastocado la forma de trabajar de muchas personas. 

Según el sondeo realizado por el gigante del buscador, aunque el 80% de las pymes encuestadas considera que la ciberseguridad es "de máxima importancia", casi la mitad creen que su nivel de protección interna es "malo o muy malo".

Vicente Díaz es especialista en inteligencia de amenazas en VirusTotal, la empresa malagueña que fundó Bernardo Quintero y que protagonizó la gran adquisición de Google en España hace ya casi una década. En torno a VirusTotal, Google ha desarrollado un ecosistema de la ciberseguridad en Málaga que se verá impulsado con la apertura de un nuevo centro de excelencia en ciberseguridad allí en 2022.

Para contextualizar los datos de este nuevo informe de Google, Díaz ha compartido su experiencia y su opinión sobre el fenómeno del ransomware en una entrevista con Business Insider España. Los ataques son cada vez más sofisticados y, aunque hay rayos de esperanza en este entuerto digital, la situación sigue siendo espeluznante.

Las empresas hackeadas pagan los rescates de 'ransomware', los criminales invierten los beneficios en mejorar sus ataques, y este bucle no parece tener fin

"Puede ser". Díaz no puede confirmar su respuesta si se le pregunta si en España ya hay alguna pyme que se haya visto obligada a cerrar por culpa de un ataque informático. "Nos falta transparencia. Pero es probable que, en caso de que no se dispongan de copias de seguridad o si la empresa atravesaba una situación de necesidad, esa sea una realidad plausible".

Los ataques con ransomware son aquellos que emplean una herramienta maliciosa (el propio ransomware) para cifrar los archivos de sus víctimas. Colectivos de auténticos criminales informáticos perfeccionan día a día sus programas para introducirlos discretamente en las redes informáticas de sus objetivos.

Cuando estos se quieren dar cuenta, el ransomware ya ha dejado todos sus equipos informáticos inutilizados y con la información bloqueada. Si la víctima quiere recuperarlo todo y volver a la normalidad, tendrá que soportar la extorsión de los delincuentes y pagar un rescate en criptomonedas a sus propios verdugos.

Por eso, frente al fenómeno del ransomware (que puede dejar a las empresas fuera de juego) es crucial contar con mecanismos reactivos y capacidades preventivas. El hecho de que, según este informe de Google, 8 de cada 10 pymes españolas no se consideren objetivos atractivos para estos criminales es un error.

Crecen tanto los ataques indiscriminados como los personalizados

La razón la aporta el propio Vicente Díaz, de VirusTotal. Cuando se piensa en ransomware, uno se puede imaginar sofisticados ataques personalizados. Especializados. Muy pensados para impactar a una gran corporación. La realidad es que la inmensa mayoría de estos ciberataques en realidad navegan la red tratando de generar impactos indiscriminados sobre redes informáticas vulnerables.

"Es una percepción habitual. En general, nadie cree que cuente con un perfil especialmente relevante para un atacante. Sobre todo se da en empresas pequeñas, en las grandes empresas puede haber algo más de conciencia. Pero en las pymes se suele escuchar que no tienen nada interesante para un atacante", resume Díaz.

Pero es que estos "ataques indiscriminados" son "la gran mayoría". En el pasado, "estos ataques indiscriminados iban más a interceptar contraseñas. Pero, desde que surgió el modelo del ransomware, esto ha cambiado. Los ataques indiscriminados tienen un impacto mayor y un aliciente muy claro para los criminales: un beneficio económico inmediato".

"Queremos que en España haya un evento de ciberseguridad de 30.000 personas": el pasado, presente y futuro del mayor congreso hacker del país, contado por sus organizadores

"Es un juego de números" perverso ya que, aunque la percepción de que uno nunca es un objetivo atractivo para un ciberatacante "nunca ha sido cierta", ahora estos criminales tienen un beneficio claro. "Cuantos más objetivos logre un atacante infectar, más ingresos generará".

Por otro lado, los ataques personalizados también pueden ser una seria amenaza para las pymes españolas, recuerda Díaz. Las razones que esgrime son fundamentalmente 2: ahora es más fácil que nunca contratar herramientas de ciberespionaje y muchas de estas pymes pueden ser en realidad contratas de otras empresas, con lo que lo grave sería el impacto sobre la cadena de valor.

"El ciberespionaje está ahora al alcance de todos. En el pasado quizá solo unos pocos grupos tenían los recursos para desarrollar sus propias herramientas, robar datos, entrar en determinadas empresas. Hoy en día gran parte de esas herramientas son de acceso público y fáciles de utilizar, no se requieren grandes alardes", enfatiza.

Y los ciberdelincuentes no necesitan siempre que los objetivos sean "de alto nivel". "Los objetivos son cada vez más pequeñas y medianas empresas. Lo hemos visto en el pasado con ataques a hoteles, porque allí se hospedan personas de interés, o contra bufetes de abogados. Son ataques a la cadena de suministro en muchas ocasiones".

Por qué no han llegado las soluciones a las pymes

Para tratar de explicar por qué las pymes adolecen este problema de falta de ciberseguridad, Vicente Díaz esboza el siguiente escenario: "El problema es quizá la lentitud que se tiene para la adopción de ciertas tecnologías. El doble factor de autenticación no está implementado en muchas empresas porque todo requiere un tiempo de desarrollo hasta su adopción".

El doble factor de autenticación es sencillamente comprobar que las credenciales que un usuario está dando son las auténticas tratando de que este se identifique mediante el código que recibirá al móvil en un mensaje de texto o mediante algún sistema de reconocimiento biométrico, como el uso de su huella dactilar o de su propia cara.

"Esta medida es una de las que soluciona alguno de los problemas más básicos. No soluciona nada al completo, pero sí en gran parte", expone Díaz. Algunas de las técnicas en ciberseguridad más socorridas no son muy sofisticadas, pero en ocasiones basta "con poner un poco más alto el listón" para evitar "un montón de ataques".

Ni es solo prevención ni solo tecnología: claves para que las empresas empiecen a trabajar en su ciberseguridad, según el director del Centro de Operaciones de Seguridad de Mapfre

En las pymes, otra cuestión es la formación. "Todo el mundo es consciente, pero la formación no acaba de llegar en muchos casos" y su correcto despliegue evita todos los errores que puedan ocasionarse desde "el factor humano". Y agrega: "Puede parecer absurdo pero es que la mayoría de ataques siguen entrando mediante ingeniería social o con ataques que no son necesariamente técnicos".

La respuesta a muchas de estas necesidades es el dinero. ¿Por qué no ha llegado ese momento? "Todo necesita una inversión", confirma el propio Díaz. "Pero durante muchos años hemos cerrado los ojos a esta necesidad. En los últimos años nos lo han abierto de forma forzada", resume.

Díaz se refiere al fenómeno del ransomware, que ha puesto por primera vez números sobre la mesa. "Se ha visto que la ciberseguridad tiene un impacto directo", continúa. "El problema es que hasta ahora este asunto era difícilmente cuantificable. No se podía decir cuánto te has ahorrado al invertir en ciberseguridad".

"Pero ataques destructivos como el de los ransomware, con sus rescates económicos, han permitido cuantificar por primera vez las cantidades de dinero que se están protegiendo". Tanto por los rescates millonarios que a menudo piden los criminales informáticos como por todo el dinero que puede dejar de ganar una empresa que se vea obligada a paralizar su operativa durante un lapso de tiempo.

Un lapso de tiempo que puede resultar indefinido.

"Nos permite", en definitiva, "tener una visión más clara de los beneficios. Es una inversión que antes o después teníamos que hacer. Hay que hacerla con cabeza".