Puede parecer que nunca pasa, pero pasa". La directora general de Panda Security en España, Rosa Díaz, alerta de la constante amenaza que suponen los ciberataques para las empresas y de la poca concienciación que hay, sin embargo, en España. La CEO de una de las empresas de referencia a nivel internacional en la lucha contra los virus informático fue la protagonista esta semana del último foro BusinessDMallorca que abordó la ciberseguridad en el core del negocio.

En la conferencia, Díaz fue presentada por el gerente de Prosegur en Balears, Carlos Botán, y por el redactor de Tecnología de Diario de Mallorca, David Arráez. En su transcurso, la responsable de Panda describió cómo actúan en la actualidad los hackers, las consecuencias que puede tener un ataque informático en la viabilidad de una empresa y que, sin embargo, las compañías en España siguen sin tomar la suficiente conciencia de la importancia de la ciberseguridad en su negocio.

"La ciberseguridad está en el core del negocio. Las empresas que cotizan deben tomar medidas", inició su exposición la directora general de Panda.

Según los datos que ofreció Díaz, España es el tercer país del mundo que más ciberataques recibe. "Por lo pequeño que somos en comparación con Estados Unidos, Rusia o Japón, somos un país muy goloso". Además, los ataques han crecido sustancialmente en los últimos años: de 13.000 ciberataques que se registraron en 2014, el año pasado se registraron ya 21.000, un incremento del cincuenta por ciento. En la misma línea, dio otro dato de mucho calado: "Una de cada tres empresas que sufrieron un ataque el año pasado, sufrieron pérdidas de más del 20 por ciento".

Este aumento se debe, según valoró Díaz, en la cada vez mayor dependencia de las empresas a la red y a la multiplicación factores de riesgo: "Cada vez tenemos más dispositivos, más dispersión y más itinerancia. Incluso el aumento del teletrabajo, de gente que trabaja con información de la empresa desde sus redes, nos expone más", describió la responsable de Panda.

Además, según explicó, otro cambio que se ha ido detectando es que si "antes la motivación de los hackers era su ego, ahora lo es la búsqueda del lucro. Buscan sacar dinero o tener datos que poder vender". "Ahora saben más y están constantemente investigando", alertó Rosa Díaz, a la vez que señaló que "por los 3 virus que había cuando Panda entró en el mercado hace 20 años, en 2017 estamos actuando ya contra 200.000 muestras diarias de malware nuevo".

Nuevas amenazas, nuevos productos

"Son muy insistentes. Si quieren entrar, no pararán de insistir hasta que lo consigan. Y si ven que las empresas grandes están protegidas, actuarán contra empresas más pequeñas, que a veces pueden ser proveedoras de otras más grandes y acabar teniendo el mismo impacto", avisó. "No quiero dar un mensaje de miedo, pero es una realidad", apuntó la directora general de la empresa de seguridad informática.

Para hacer frente a los nuevos tipos de malware, que muchas veces pasan desapercibidos para los antivirus, la responsable de Panda presentó el último producto de la compañía, el Panda Adaptive Defense, que describió como "un complemento para los antivirus" y cuya principal función es la detección y clasificación del malware nuevo. "En ciberseguridad nunca podemos hablar de seguridad al 100 por cien, pero aquí hablamos de un nivel de seguridad de casi el 100 por cien", defendió. "El antivirus es necesario pero no es suficiente ante el malware de nueva generación", planteó la responsable de Panda Security.

Entre los ciberataques más habituales, Díaz describió el Cryptolocker, el Phishing o la "Estafa del Ceo". El primero de los casos, el Cryptolocker, es un virus que entra mediante la apertura de un enlace de correo electrónico y encripta numerosos archivos del ordenador, para, acto y seguido, ofrecer su desencriptación a cambio de un pago mediante bitcoins. El segundo, el Phising, consiste en la apropiación de un mail corporativo para conseguir a través de el contraseñas o claves de tarjetas de crédito. Y el tercero, la Estafa del CEO, es la apropiación del mail de un directivo de una compañía para ordenar a un empleado de finanzas que haga una transferencia económica desde la cuenta de la empresa a la cuenta del hacker.

Para las empresas, sufrir un ciberataque puede tener consecuencias terribles. Como ejemplo, la responsable de Panda expuso el caso de Sony en 2010, tras el terremoto que sufrió Japón. Según explicó, la brecha de seguridad abierta por el seismo en los sistemas de la empresa tecnológica supuso pérdidas que doblaron las originadas por el terremoto. La brecha abierta permitió a hackers el robo de miles de contraseñas y claves de tarjetas de crédito a través del servidor de la red de la consola PlayStation.

Falta de concienciación

Frente a estas amenazas, Rosa Díaz lamentó que "el nivel de concienciación en España sobre los ciberataques es mucho más bajo que en otros países. Las empresas utilizan mucho producto gratuito, que es mejor que nada, pero que es insuficiente". Según datos ofrecidos por la responsable de Panda en España, pese a que en el país se dedica cada año 3´8 millones de euros en ciberseguridad, lo que representa un incremento del 18 por ciento en los últimos años, las empresas españpolas dedican tan solo un tres por ciento de su inversión tecnológica en ciberseguridad. A eso, señaló Díaz, hay que sumar que "en los últimos años, con la crisis, los departamentos de tecnología de las empresas se han reducido notablemente".

Díaz recomendó que la ciberseguridad "debe ser una de las tareas más importantes en los comités de dirección" y recordó que en mayo del año que viene entrará en vigor el Reglamento General de Protección de Datos de la Unión Europea que exigirá a las empresas medidas para proteger los datos de sus clientes. "Serán normas para proteger los datos y actuar ante empresas que no cumplan", explicó. A modo de ejemplo, detalló que las empresas requerirán siempre de autorización expresa de los ciudadanos para utilizar sus datos facilitados.

Otro de los asuntos que puso sobre la mesa la responsable de Panda en España es la falta de profesionales en el sector de la ciberseguridad. "Este campo necesita de mucha gente y hay un déficit importante de profesionales, cuando, sin embargo, este será un tema estratégico en el futuro", apreció, animando a los más jóvenes a estudiar carreras dirigidas a este sector, principalmente ingenierías.

Díaz señaló que los casos que se conocen de robos de información mediante ciberataques "son sólo la punta del iceberg", ya que la mayoría de veces no se denuncia para evitar el desprestigio de las empresas, pero que, sin embargo, con la nueva normativa europea, estas compañías deberán informar de sus ataques y, entonces, se podrá conocer el volumen real de ataques.