Cerco a los ciberataques: Europa impone normas de seguridad más estrictas a las empresas

Las empresas deberán reforzar sus medidas contra la ciberdelincuencia. Desde bancos a energéticas pasando por la administración, todas las empresas de sectores críticos estarán obligadas a reforzar su protección frente a las ciberamenazas tras el anteproyecto de ley que acaba de aprobar el Gobierno en cumplimiento de un mandato europeo que obliga a las compañías españolas y a las que operan en nuestro país a evaluar su riesgo, mejorar la seguridad de sus sistemas y notificar incidentes significativos también a los usuarios.

El Corte Inglés a través de un proveedor, la AEMET en Valencia, CCOO..., son los tres últimos ciberataques de los que tenemos conocimiento, todos ellos en los últimos días. El año pasado se batieron todos los récords en nuestro país. 

El 25% de todas las infracciones que se denunciaron ocurrieron por internet. En la red 8 de cada 10 estafas se ejecutan. Bancos, comercializadoras de energía, líneas aéreas, la administración..., ninguna empresa estratégica se libra. 

Un hackeo de datos puede hacer que los autobuses sean gratis en Burgos, por ejemplo, durante tres días como ocurrió el año pasado, o dejar sin energía a toda una ciudad, cosa que todavía no ha ocurrido, que sepamos. Paralizar los trenes o los aviones o dejar al descubierto nuestros datos más sensibles. Porque todas nuestras relaciones con los que nos administran o con las empresas que nos dan servicios son a través de internet. Estamos muy expuestos. Los países tienen leyes, normativas, que intentan protegernos. La Unión Europea ha mandatado a todos los territorios para que se unifiquen y se endurezca.

La rapidez con la que hemos digitalizado nuestras relaciones con la administración pública y con las compañías, dependencia absoluta que tenemos de los sistemas on line, ha abierto una peligrosa puerta que pone en jaque la seguridad de nuestros datos y nuestra intimidad. Los ciberataques se han incrementado un 50%, según distintas fuentes durante el año pasado, y ya no hay teléfono móvil o correo electrónico que no reciba mensajes sospechosos. Cada vez más sutiles, cada ver más depurados, los ciberdelincuentes estrechan el cerco y las compañías tienen dificultades para ir tapando los agujeros, esas puertas traseras por las que se cuelan en nuestras vidas y en nuestras cuentas corrientes las manos negras.

MÁS DEFENSA CONTRA LOS CIBERATAQUES

La Unión Europea, con esta directiva, la NIS2, pretende forzar a las compañías estratégicas a mejorar los sistemas de seguridad de grandes y pequeñas empresas. Debería estar ya traspuesta a las legislaciones de los países comunitarios, pero va con retraso.

En España, el Consejo de Ministros aprobó en enero el anteproyecto de ley de Coordinación y Gobernanza de Ciberseguridad, con tres meses de retraso. Pero todavía no ha ido al Parlamento que deberá tramitarla. En este anteproyecto se recoge el mandato europeo junto con otras medidas.La Unión Europea presiona a los estados para que esté en vigor antes del mes de abril.

La norma europea no contiene un catálogo de medidas de ciberseguridad “porque cada país y cada empresa tiene sus características”, nos explica Sancho Lerena, directivo de Pandora, una empresa española especialista en sistemas de protección. Pero esta normativa puede ser eficaz “porque amenaza a los responsables de los sistemas de esas empresas de que habrá consecuencia contra ellos, y así al estar amenazados personalmente se van a asegurar de tomar medidas reales, y además de esto hay una condición muy específica que es la obligatoriedad de comunicar en un breve espacio de tiempo (máximo 72 horas) de que ha habido un incidente de seguridad al organismo competente. Si eso no se cumple, si se intenta solucionar internamente, si intentas esconderlo debajo de la alfombra, si esto se descubre, el responsable de sistemas tendrá responsabilidad personalmente, incluso puede tener penas de inhabilitación profesional”.

GRANDES COMPAÑÍAS Y PEQUEÑAS EMPRESAS

La Agencia Europea de Ciberseguridad sostiene que solo el 27% de las empresas europeas cumple con los requisitos básicos que impone la NIS2. La falta de personal especializado es uno de los grandes problemas y en España la situación es incluso peor.

Según análisis de Pandora, los empleados especialistas en España crecen por debajo de la media de la UE  y están por debajo de la media de los 27 (4,4% frente al 4,8% de media).

Nuestro país se enfrenta a otro reto muy complicado: el tejido empresarial está conformado mayoritariamente por pequeñas y medianas empresas "a las que se sobrecarga con un gasto más. “¿Cómo vas a forzar a nuestras PYMES a comprar, por ejemplo, software americano cuando ya están al límite, para cumplir las leyes que han hecho en Europa?" se pregunta el experto. 

"Y aunque obviemos eso, la única solución que queda es montar un equipo de seguridad local que proteja a la empresa. Pregunta a las empresas cómo está esto de encontrar gente de informática competente: aparte de imposible, carísimo. Si se ponen muy tontos y les dicen que tienen que montar por ley un equipo de seguridad informática, la respuesta va a ser imposible. Yo me voy a montar la empresa a Bielorrusia".

La normativa europea obliga a las administraciones y todas las compañías grandes o pequeñas a establecer medidas de ciberseguridad. Sea un trasatlántico como AENA, por ejemplo, o una empresa pequeña de catering que le da servicio. Da lo mismo que tengan 100.000 o 50 trabajadores.

FORMACIÓN E IMPLICACION DE LOS EMPLEADOS

En todo este proceso, el papel de los empleados es fundamental. Sancho Lerena, recomienda sobre todo a las empresas medianas y pequeñas que adopten tres medidas básicas “tener un sistema de recogida de información unificado y monitoreado, para que sepas lo que tienes, qué información hay y en qué estado. Otro un sistema de protección en cada puesto de trabajo actualizado y conectado a ese sistema de vigilancia general. De esta forma, se evita el 80% de los ataques técnicos”. 

Es fundamental la implicación de cada empleado para abortar posibles ataques “No hay que olvidar que la mayoría de indecencias de seguridad vienen por falta de conocimiento de la gente que maneja un ordenador. Cuando recibe un correo que le pide que haga una transferencia, como lo envía su jefe lo hace sin preguntar, y puede ser un correero fraudulento. Ese tipo de ataques son los que más éxito tienen. No hay que ir a la ciencia ficción de un hacker en un garaje, no. Una llamada telefónica, un whatsapp, un SMS… lo que se llama ingeniería social, engañar a la gente y eso no hay software que te lo cubra. Solo la formación. Cada seis meses, solo dos horas para explicarle a la gente cómo actúan los malos. Debería ser obligatoria”.

LA RESPONSABILIDAD DE LAS OPERADORAS

La norma europea también contempla un aspecto importante: serán las operadoras las que tengan que demostrar que el consumidor ha sido gravemente negligente y que a consecuencia de ello, se ha producido un fraude. Ahora es al revés, son las víctimas las que tienen que demostrar que han sido estafados. “Por ahí están yendo las sentencias a favor de las víctimas -nos cuenta desde la OCU, José Carlos Cutiño- aunque a día de hoy existe un nicho de ciberfraudes en el que las autorizaciones son obtenidas mediante engaño que veremos cómo se van tratando por los tribunales, casos como el conocido del hijo en apuros”.

EL CONSENTIMIENTO POR ENGAÑO

Las compañías que son atacadas deben comunicarlo ahora mismo a la Agencia de Protección de Datos “en este caso los usuarios solo pueden autoprotegerse, pero en muchas ocasiones nos enteremos por los efectos. Nos encontramos con consultas de personas a las que han llamado conociendo perfectamente, por ejemplo sus contactos de telefonía, o su suministro eléctrico, o sus datos bancarios, solapando los números de teléfono de su proveedor. Esos datos que no han sido comunicados han servido para realizar ataques, además con unas condiciones de fiabilidad que sirven para que el usuario caiga en el engaño”.

Los tribunales están dando la razón a los estafados por el principio de “consentimiento por engaño”. Pero los ciberdelincuentes depuran prácticas y corren más que las leyes que nos protegen.

LA COMPENSACIÓN A LOS ESTAFADOS

Desde la OCU piden “un sistema de sanciones administrativas y de criterios de responsabilidad civil más potente, que realmente resulte coercitivos y que obliguen a las empresas a adoptar las máximas garantías aun sabiendo que iremos corriendo detrás de la pelota, probablemente el delito irá evolucionando pro delante de lo que evoluciona la capacidad de empresas y administración en protección. El decir hemos tenido una fisura de seguridad, tengan cuidado con sus datos, no es suficiente. Tiene que haber unas consecuencias para la empresa, una investigación rigurosa y una determinación de responsabilidades que no queden en el aspecto administrativo sancionable, sino que también se traslade al ejercicio de la responsabilidad frente a los perjuicios que se ha causado al usuario”.