ai3

ENTREVISTA CON FERNANDO ACERO

 

El coronel Fernando Acero Martín, director de Ciberdefensa del Ejército del Aire, ya era conocido en el mundo digital y en la red desde hace años, mucho antes de acceder a su actual cargo, por ser uno de los más importantes especialistas en seguridad digital de nuestro país.

A finales de este pasado mes de septiembre, pronunció una conferencia en la Academia de Artillería del Ejército de Tierra en el marco de la «I Jornada de Economía, Derecho, Seguridad y Defensa» en la que avisó de que la amenaza que puede hacer peligrar a nuestro tejido empresarial, particularmente a las pymes, es sumamente seria.

¿Tan mal estamos, Fernando?

Baste decir que España fue en 2018 el tercer país más ciberatacado del mundo. El 49% de todos los ataques de ramsomware se produce en Europa y la segunda plaza la tiene España. En el año pasado, 3 de cada 4 empresas sufrieron un ciberataque durante el segundo semestre. Y fuentes policiales aseguran que prácticamente el 100 por 100 de los ciberdelitos queda impune. Todo ello, en conjunto, tiene unas consecuencias muy serias que, además, no suelen alcanzarse a ver fácilmente de forma clara.

Un grave problema para las empresas

En todo caso, no sólo para las empresas: hasta el 8 de noviembre de 2018, las administraciones públicas sufrieron 32.294 incidentes de seguridad. Sobre los ataques a las pymes y sus consecuencias, no hay cifras oficiales pero esas cifras son, en todo caso, muy abultadas. Un alto número de pymes o no sabe que sus problemas han sido debidos a un ciberataque o simplemente lo saben y no lo dicen y lo cierto es que no tienen planes de contingencia. Y, encima, en ese entorno de duras sanciones por infracciones a la normativa de protección de datos, a muchas de las que les toque esa lotería no les quedará otra que cerrar.

Estamos ante la tormenta perfecta con ataques muy sofisticados, legislación muy exigente y sancionadora y pocos expertos en Ciberseguridad. Incluso hay pymes que son más medias que pequeñas, que ni siquiera tienen CISO (Chief Information Security Office, director de seguridad de la información) y que ni se han planteado realizar un simple análisis de riesgos para ver su exposición.

Pero ¿cómo puede pasar todo esto sin que las empresas reaccionen, yéndoles como les va en ello su propia vida?

Los americanos suelen decir que, en ciber, las empresas pasan por estas fases, un poco como si fueran las de los enfermos terminales que describiera Kübler-Ross (aunque, en este caso, algunas sobreviven):

a) Negación («a mí no me va a pasar»)

b) Pánico («algo habría que hacer, pero sin pasarse, que todo esto es muy caro»)

c) Falsa confianza («creo que lo estoy haciendo bien»)

d) Duras lecciones («he sufrido un ciberataque grave»)

e) Verdadero liderazgo

Lo malo es que muchas no sobreviven a la c

Vaya, que tenemos un problema gravísimo con el ramsomware

Es que el problema no es sólo el ramsomware. Además del ramsomware hay fugas de datos, robo de propiedad intelectual, manipulación de información de decisión, etc. Yo estoy viendo ataques muy sofisticados últimamente, y su solución no es tan sencilla como restaurar una copia de seguridad. Por otra parte, no todas las empresas pueden tirar de copias de seguridad: por ejemplo, empresas con sistemas de fabricación robotizada, cuando son atacadas por ramsomware, no hay copia de seguridad que valga, es necesario comprobar el estado de cada autómata uno por uno, para recuperar la fabricación. Hay procesos de digitalización que se están haciendo muy mal y eso tiene consecuencias muy graves. No todo es IT (Information Technology, pura y simple tecnología). Debes considerar, además, que muchas de las pymes que cierran por un ciberataque, por ejemplo, por robo de propiedad intelectual, ni siquiera saben que ése ha sido su problema.

¿Qué consejos darías, entonces, a las pymes y a los emprendedores para implantar en sus empresas siquiera unos mínimos razonables en materia de Ciberseguridad?

La Ciberseguridad se basa en la metodología  a b c d e.

a) Actualización permanente del software y firmware, para lo que todo el software y hardware ha de tener soporte del fabricante.

b) Bastionado, es decir tenemos que configurar los sistemas adecuadamente para que funcionen de forma segura y minimizar las consecuencias de un ataque.

c) Concienciación, es necesario que el personal conozca los riesgos y aplique de forma sistemática los procedimientos de seguridad.

d) Defensa activa, debemos ser proactivos y añadir elementos de seguridad específicos, como cortafuegos, software de seguridad, antivirus, sistema de copias de seguridad, etc.

e) Extender todas las medidas de seguridad a todos los equipos y dispositivos de la empresa, como móviles, tabletas, puntos de acceso wifi, ordenadores, impresoras, etc.

También debemos saber que las principales amenazas provienen de dispositivos extraíbles no controlados (discos duros externos, pendrives, teléfonos móviles conectados a puertos USB de equipos, etc), o pueden llegar a través de correos electrónicos con phishing o spearphishing y mediante páginas web maliciosas. El malware suele venir en archivos ofimáticos, especialmente de Word y Excel, o PDF, además de Java o Javascript, y de la mayoría de los archivos comprimidos, como zip, rar, etc.

Muchas gracias, coronel Acero, amigo Fernando, y de todo esto que has dicho aquí y ahora, y de otras muchas cosas que nos has dicho antes, habrá que sacar conclusiones. A bote pronto, pienso que algunos que se las prometían muy felices con el ahorro en recursos humanos que vaticinaban con las TIC verán ahora que el ahorro puede ser… negativo, bajo la necesidad de una muy importante inversión en ciberseguridad: nada se crea ni se destruye, solamente se transforma. Pero vamos a dejarlo aquí: las conclusiones habrán de ser el resultado de muchísima reflexión,  que cabe esperar que se lleve a cabo y no sólo por nosotros.

Javier Cuchí

Asociación de Internautas

https://www.internautas.org/html/10316.html