En 2021, el Instituto Nacional de Ciberseguridad (INCIBE) gestionó 109.126 incidentes, de los cuales 90.168 afectaron a ciudadanos y empresas; 18.278, a la Red Académica y de Investigación Española (RedIRIS); y 680, a operadores estratégicos. El organismo, dependiente del Ministerio de Asuntos Económicos y Transformación Digital, constató una reducción del 18 % con respecto al ejercicio anterior, cuando se constataron 133.155 casos.
Este decrecimiento, sin embargo, no parece extrapolable a la Comunidad foral. El pasado mes de mayo, en concreto, se dio a conocer que los ataques cibernéticos en la región habían aumentado un 70 % a lo largo de 2020 en comparación con los datos de 2019. El pasado ejercicio, además, este tipo de casos se duplicó con respecto al año anterior según se puso de manifiesto en un reciente encuentro celebrado en Tudela. A este escenario contribuyó, al menos en parte, el teletrabajo instalado masivamente en el seno de las organizaciones tras la irrupción del Covid-19.
La coyuntura actual obliga a todas las compañías -sin importar su tamaño ni su volumen de facturación- a ejercer un rol activo en la lucha por su propia seguridad en la red. Sobre esa necesidad giró este jueves la jornada ‘Cómo proteger nuestras empresas ante la extorsión digital’. El encuentro, organizado por Navarra Capital, contó con el patrocinio de Castañeda y Asociados y Chubb, así como con la colaboración de Fundación Industrial Navarra.
Diego Rodríguez (Chubb): «No hay dinero en el mundo que garantice la seguridad en la red al 100 %».
La cita, celebrada en el Colegio Oficial de Médicos de Navarra, fue inaugurada por Diego Rodríguez, senior cyber underwriter para España y Portugal en Chubb.
Durante su intervención, este ingeniero informático incidió en que ninguna organización, sin importar su tamaño, influencia o nivel de facturación, está exenta de sufrir ciberataques. «No hay dinero en el mundo que garantice la seguridad al 100 %», reconoció.
Esta realidad, sin embargo, no le impidió compartir algunas claves preventivas a tener en cuenta a la hora de formular protocolos de ciberseguridad. En primer lugar, resaltó la importancia de asegurar la protección de datos, poniendo el foco en aquellos «especialmente sensibles», mediante el cifrado.
Además, remarcó la necesidad de evitar el uso de contraseñas comunes, procurando que estas tengan «cierta longitud, de entre ocho y dieciséis caracteres», y se cambien periódicamente, «en un plazo de cuatro meses como máximo». En la misma línea, otra de las medidas que pueden impedir o suavizar un ataque es la ejecución de auditorías de seguridad y análisis internos del servidor, «a ser posible diarios».
SEGURIDAD EN EL TELETRABAJO
Seguidamente, hizo énfasis en la necesidad de restringir el acceso a los equipos remotos, valiéndose asimismo de tokens adicionales como llaveros digitales, softwares externos, soluciones biométricas o claves temporales «que lleguen al móvil» para garantizar un teletrabajo seguro. En este sentido, el experto defendió que la implementación de procedimientos de gestión de identidades, así como el posible uso de una herramienta PAM (Privileged Access Management), podrían contribuir al control de los sistemas.
Proteger los dispositivos conectados también pasa por evitar la obsolescencia de programas, «actualizando y siguiendo las recomendaciones de los fabricantes», manteniendo «una buena infraestructura de red» e implementando sistemas de cortafuegos y Advanced Persistent Threats (ATP).
Juan Antonio Palacio, Diego Rodríguez y María Castañeda, durante la jornada.
No todas las soluciones están en la red. Además de establecer planes de recuperación «que garanticen la continuidad del negocio» y de identificar cuáles son los activos críticos de cada empresa, el representante de Chubb recomendó la elaboración de copias de seguridad «offline , inmutables y con periodicidad establecida».
Por último, hizo un llamamiento a la «sensibilización y formación» dentro del tejido empresarial. «El ser humano es el eslabón más débil en esta cadena, por lo que es necesario que los empleados sepan cómo evitar errores comunes y alertar posibles ataques», apuntó.
José García (Policía Nacional): «Ninguna otra tipología delictiva ha aumentado en tanta cantidad y en tan poco tiempo».
Tras la presentación a cargo de Rodríguez, José García, comisario jefe de la Brigada Central de la Ciberseguridad en Madrid (Cuerpo Nacional de Policía), y José Antonio Palacio, jefe de la Brigada Judicial de la Comisaría de Tudela, reflexionaron sobre cómo es la relación entre las fuerzas de seguridad y el tejido empresarial ante la detección de un ataque cibernético.
El paradigma de la ciberdelincuencia, a juicio de García, ha cambiado significativamente en los últimos años. «El INCIBE da un servicio concreto a empresas y particulares, pero desde el Ministerio del Interior se manejan otros datos», aclaró. «Durante el año pasado y entre todos los Cuerpos de y Fuerza de Seguridad del Estado -detalló el funcionario-, se recibieron 305.00 denuncias por ciberdelitos, llegando casi a triplicarse en comparación a 2020. Hablando desde mi experiencia en la Policía, donde llevo casi treinta años, ninguna otra tipología delictiva ha aumentado en tal cantidad y en tan poco tiempo».
Seguidamente, Palacio cuantificó la magnitud de este problema en la Comunidad foral. «En Navarra estamos por encima de los 4.200 casos de ciberdelincuencia», aseveró. Una cifra «que se aleja mucho de la que presentan otras comunidades autónomas», pero que, al mismo tiempo, «debe valorarse teniendo en cuenta la población del territorio».
Posteriormente tuvo lugar un coloquio en el que participaron Rodríguez, Palacio y Rodríguez junto a Alfonso Ramírez, director de Sistemas en Virto Group. Precisamente, este último desglosó los retos a los que se enfrenta el grupo de alimentación navarro, que cuenta con fábricas en España, Francia, Polonia y Estados Unidos. «Se nos complica la comunicación de personas que hablan diferentes idiomas. Allí es donde más estamos trabajando, en concienciar y educar», reconoció.
La jornada fue clausurada por María Castañeda, gerente de Castañeda y Asociados, que mostró su agradecimiento tanto a los organizadores y colaboradores del evento como a los asistentes. «De este encuentro podemos sacar varias enseñanzas a aplicar para evitar que nuestras empresas sean víctimas de un ataque digital», concluyó.
Entra aquí para leer más sobre empresa en Navarra.
