Nadie está a salvo. Los ciberdelincuentes no discriminan a sus víctimas por el tamaño de su empresa: atacan a las grandes corporaciones, pero también a las pymes y los autónomos, y lo hacen aprovechándose del eslabón más débil: las personas. Porque, como buenos profesionales del ilusionismo, no hackean nuestros ordenadores, sino nuestras mentes. De ahí que la ciberseguridad se haya convertido en un elemento estratégico, también para las pymes, para evitar pérdidas económicas y daños reputacionales y asegurar la continuidad del negocio.
Resumen de la jornada sobre ciberseguridad y pymes.
En colaboración con BBVA y Cecot, Guyana Guardian organizó una jornada, conducida por la periodista Mònica Hernàndez, en la que expertos en diferentes disciplinas analizaron el panorama actual de la ciberseguridad empresarial y las principales tendencias en protección digital. “La tecnología impulsa la competitividad y la eficiencia de nuestras empresas, pero también nos obliga a ser más conscientes que nunca de los riesgos del entorno digital”, advirtió Francisco Pla, director regional de BBVA en Catalunya, en la inauguración de la sesión. Porque, como agregó, las tecnologías emergentes amplifican estas amenazas y hacen que los mensajes maliciosos sean cada vez más creíbles.
El 80% de los ataques empieza por las personas, el eslabón más débil
Consciente de esta realidad, BBVA pone la confianza de sus clientes y la seguridad de sus operaciones en el centro de su actividad, y, por ello, cada año invierte en “innovación, procesos y talento para ofrecer una experiencia digital segura”, pero también invierte en formación y acompañamiento. “Formamos, concienciamos y acompañamos a los que confían en nosotros para que también sean protagonistas de su propia protección”, afirmó Pla. Además, resaltó que BBVA ha formado de manera presencial a más de mil pymes en materia de ciberseguridad y sus cursos online han acumulado más de 718.000 visitas.
Francisco Pla, director regional de BBVA en Catalunya, durante la inauguración de la jornada.
Puesto que un 80% de los ciberataques empiezan por un factor humano, la jornada prosiguió con el mentalista Santi Marcilla, quien, con unas interacciones con el público, demostró cómo los ciberdelincuentes se apoderan de nuestra mente, que es “sugestionable y manipulable”, a través de la ilusión. “Consiguen llegar a sus secretos desbloqueando información oculta”, advirtió el ilusionista, quien avisó de que todos podemos ser “víctimas del engaño”, aunque pensemos que lo tenemos todo bajo control.
BBVA forma, conciencia y acompaña a las empresas en su protección
“Cómo pensamos, cómo decidimos y cómo nos hackean la mente no es magia, es nuestro cerebro, que ve lo que quiere ver, escucha lo que quiere escuchar y luego rellena los huecos”, afirmó a continuación Sergio Colado, doctor en Psicología Cognitiva, ingeniero electrónico y divulgador científico, quien tomó el relevo de Marcilla en el escenario. Colado argumentó que, en la jungla digital en la que nos movemos, los hackers apagan nuestra atención y nos llevan a actuar rápido. “No necesitan invertir en infraestructuras, sino trabajar con nuestras emociones, como el miedo, la urgencia, la euforia o la vergüenza”, argumentó. A modo de receta, sugirió pararse a pensar y no tomar ninguna decisión antes de tres segundos; dudar y tener hábitos viables, porque, dijo, “la seguridad se alcanza con buenos comportamientos”.
El ilusionista Santi Marcilla mostró cómo los ciberdelincuentes aprovechan los sesgos de la mente humana.
La sesión prosiguió con una mesa redonda sobre ciberseguridad y pymes en la que participaron Begoña García, responsable global de Concienciación y Cultura de Ciberseguridad de BBVA; Carlos Seisdedos, CEO de Magneto INTelligence; David Galeote, CEO de ICDQ, y Marc Samon, asesor en Telecomunicaciones de Cecot. Los ponentes convinieron en que las pymes deben integrar la ciberseguridad en su organización.
Prueba de que nadie está a salvo es el caso de ICDQ, que hizo bueno el refrán en casa del herrero, cuchillo de palo. ICDQ, una entidad de certificación que ofrece servicios de ciberseguridad, ha sido objeto de varios intentos de ataque, este año, que, por suerte para la empresa, no llegaron a fructificar. “Pero el susto te lo llevas”, admitió Galeote, quien aseguró que, como lección aprendida, “la ciberseguridad no es un tema técnico, sino organizativo”. Ahora, ICDQ la ha implantado como un elemento transversal en toda la organización. “Profesionalizar la ciberseguridad ya no es opcional, sino estratégico”, declaró, no sin antes detallar todas las medidas que se han tomado, también de concienciación de la plantilla, para levantar barreras.
Sergio Colado, doctor en Psicología Cognitiva, explicó cómo los hackers manipulan nuestra percepción.
En este sentido, García señaló que un hecho relevante en BBVA ha sido poner la formación y la cultura de la ciberseguridad al mismo nivel que la tecnología. La responsable Global de Concienciación y Cultura de Ciberseguridad de la entidad financiera aseguró que para las pymes todavía es más importante reforzar ese factor humano, puesto que no siempre cuentan con los recursos tecnológicos ni con equipos especializados en ciberseguridad. “Tenemos la responsabilidad de poder compartir nuestros recursos, conocimiento e inteligencia y ponerlo a disposición de todo el mundo”, afirmó García, tras señalar que BBVA acompaña a las pymes con consejos y buenas prácticas. En este sentido, hizo referencia a la plataforma Coursera, en la que están colgados packs formativos en ciberseguridad, que son gratuitos, y anunció que se está trabajando en cursos específicos para pymes. La entidad también realiza sesiones formativas diseñadas para clientes concretos y múltiples campañas de concienciación sobre las últimas tendencias, los modus operandi o las amenazas más recientes.
Desde Cecot, su asesor en Telecomunicaciones aconsejó centrarse en la gestión del phishing y los ataques por ransomware, un software malicioso que cifra los archivos de un usuario o bloquea su dispositivo para exigir un rescate a cambio de restaurar el acceso. Y si esto sucede, avisó, jamás hay que ponerse en contacto con el hacker ni, por supuesto, pagar. A su juicio, la principal barrera que tienen las pymes para implementar una política de ciberseguridad, además del presupuesto, es la falta de conocimiento, pensar que eso no les va a suceder a ellas. Y esta sensación, explicó, influye en que el responsable de IT no tenga una posición destacada en el organigrama de la empresa. Las tres soluciones básicas que recomendó Samon es contar con un antivirus, un firewall, ambos no elegidos por precio, sino por las necesidades que deben cubrir, y un sistema de back-up robusto y automático.
Oriol Alba, asesor de Telecomunicaciones de Cecot subrayó la importancia de reforzar la protección frente al phishing y el ransomware.
García también explicó de forma detallada cómo BBVA usa la IA en diferentes frentes para detectar fraudes y proteger a los clientes, mientras que Seisdedos advirtió que, de la misma manera que la IA es una aliada en la lucha contra la ciberdelincuencia, los cibercriminales también la usan para aprovechar una vulnerabilidad intrínseca derivada de nuestra vida virtual. Dejamos mucha información en redes sociales y eso, declaró, provoca que los ataques sean muy personalizados, por no hablar de que usamos la misma contraseña en el trabajo que en Facebook. Para el CEO de Magneto INTelligence, en ciberseguridad no hay que ser reactivo, sino que la única forma de avanzar y garantizar la supervivencia de los negocios es ir un poco por delante.
El cierre de la jornada corrió a cargo de Oriol Alba, secretario general de Cecot, quien puso el acento en señalar que las pymes no solo son un objetivo real, “sino fácil”. Y, concluyó, “ser pequeño no es excusa para no prepararse”.
Un paso en la buena dirección
El establecimiento de medidas para combatir las estafas de suplantación de identidad a través de llamadas y mensajes fraudulentos, recogidas en una orden del Ministerio para la Transformación Digital y de la Función Pública del pasado mes de febrero, fue uno de los temas abordados durante la jornada. Estas medidas fueron calificadas como “un paso en la buena dirección” en la lucha contra el crimen organizado vinculado a las campañas de smishing y phishing. Nueve meses después de su entrada en vigor, se evidencia que el bloqueo de determinadas llamadas ha sido una medida necesaria, aunque todavía insuficiente, por lo que es necesario seguir avanzado.
También, para junio del próximo año, está prevista la entrada en vigor de las medidas relativas al bloqueo de mensajes y al registro gestionado por la Comisión Nacional del Mercado de la Competencia (CNMV). Según voces expertas, es clave acelerar su desarrollo y conocer cómo se van a materializar las restricciones y que, llegada la fecha, el registro esté plenamente operativo y cuente con la información necesaria para que los proveedores de servicios puedan actuar de forma eficaz y bloquear los mensajes.
El modus operandi de los delincuentes evoluciona de forma constante. Ya no siempre utilizan enlaces maliciosos, sino que en muchos casos redirigen a las víctimas hacia números de teléfono comprometidos. Por ello, es esencial disponer de procedimientos ágiles para notificar esos números a las operadoras y facilitar la investigación de su uso. Desde BBVA se defiende que solo mediante mecanismos de intercambio de información seguros, que permitan compartir datos relevantes con todas las garantías y salvaguardas necesarias, será posible anticiparse a las nuevas modalidades de fraude.
En este sentido, durante la jornada se subrayó que es necesaria una “colaboración real” entre instituciones, empresas, fuerzas del orden, plataformas digitales, operadoras y entidades financieras para hacer realidad la aplicación de estas normas “y obtener resultados tangibles”.