Rosa Díaz: "Hay dos tipos de empresa: la que ha sido atacada y la que va a serlo"

David Arráez. Palma

24·03·17 | 02:44

0
Noticia guardada en tu perfil
Ver noticias guardadas

Rosa Díaz en el interior del Club Diario de Mallorca. M. Mielniezuk

- ¿Está bien protegida la pequeña y mediana empresa española frente a las ciberamenazas?

-España es un país de pymes y lo cierto es que no están bien protegidas. Se están haciendo esfuerzos y empieza a haber mucha sensibilización en el sector debido a que cada vez hay más noticias sobre el tema, pero todavía se tiene que mejorar la seguridad en las pequeñas y medianas empresas en España.

-¿Qué productos pueden ser importantes para una pyme, además del típico antivirus?

-Panda Security es una empresa que trabaja desde productos para particulares hasta productos corporativos de pequeñas y grandes empresas. Y en el caso de las pequeñas, tenemos un gran trabajo de concienciación importante de cara a que mejoren en ciberseguridad.

-¿Cuál es la mayor problemática que se encuentra una pyme cuando tiene que asegurarse frente a ciberataques?

-La mayoría de pequeñas y medianas empresas se encuentran con el problema de que no tienen equipos que les puedan ayudar. En este mundo de la ciberseguridad, aunque nosotros llevamos ya 27 años trabajando y la compañía se fundó en 1990, sabemos que las pymes españolas no han invertido mucho en tecnología. De cualquier tipo. No ha sido su punto más fuerte. Esto hace que con los ataques que existen ahora, las pymes sean un objetivo muy interesante para poder acceder a grandes empresas.

-Es decir, las pymes pueden ser un objetivo y una especie de caballo de Troya.

-Hay muchas empresas que se usan como puente ya que son proveedores o clientes de grandes empresas y el ciberatacante entra en ellas porque es el camino más fácil. Nosotros como fabricantes ya estamos trabajando mucho en ese sentido, el de la concienciación.

-¿Qué tipo de virus cree que es el más peligroso actualmente?

-Cryptolock es uno de los ransomware que más daño están haciendo y tenemos que enseñar a las pequeñas empresas que aunque tengan copias de seguridad de todos sus datos, si te secuestran los datos, no puedes hacer nada. Cryptolocc lo que hace es que utiliza ingeniería social de manera que te mandan un email anunciándote que has ganado algo o que has recibido una multa y que debes pinchar en un enlace...

-Perdone que la interrumpa, pero, ¿todavía hay gente que pica en estas cosas?

-Sí. Hay un porcentaje de gente que pincha, y entonces el virus entra en el sistema y lo que hace es que te lo secuestra. Te secuestra los datos. Y a continuación te piden un rescate.

-¿Rescates por el secuestro de un ordenador? ¿En qué situaciones puede una pyme querer pagar por los datos de su ordenador?

-Hay casos como el de un colegio de Los Ángeles que pagó un rescate de 28.000 dólares tras ser víctimas de un secuestro informático. Y hay veces que los atacantes no te devuelven los datos. Nosotros hemos tenido el caso de una asesoría en Alicante que tuvo que cerrar, con veinte empleados detrás, porque perdió todos sus datos, es decir, todo su valor como empresa. Lo perdieron todo: todas las facturas, fichas de clientes. Todo. Es un gran problema el que tenemos y el gran reto es concienciar sobre la importancia de la ciberseguridad.

-Parece que este tipo de secuestros empiezan de forma similar al phishing, con un correo electrónico que te informa de un premio, etc.

-No exactamente. El phishing es otro tipo de engaño de ingeniería social. Tienes razón en que empieza con un email, pero lo que te piden es tu contraseña. Normalmente son emails que suplantan la identidad de una entidad bancaria. La apariencia es casi exacta a la de un banco, tu propio banco, y lo que hacen es enviar ese email a cientos de miles de direcciones de correo electrónico. Este email te está pidiendo las claves de tu cuenta porque ha habido un problema con ella. Evidentemente ese email se envía al azar y de todos los que lo reciben, siempre hay una serie de clientes de ese banco, y siempre hay alguien que cae porque parece que es tu banco. Y por eso se llama phishing, porque picas en el engaño. Y una vez pones tus datos te roban las claves.

-¿Qué porcentaje de su presupuesto debería dedicar una pequeña empresa a la ciberseguridad?

-Lo cierto es que no me atrevería a darte una cantidad. Esos presupuestos variarán según la empresa y sus necesidades. Pero por ejemplo, una empresa que facture 500.000 euros anuales, si hablamos de productos como un firewall, un antivirus y una protección frente a otras amenazas, estaríamos hablando de una inversión que no llegaría ni al 5% de la facturación. Es una inversión muy pequeña.

-Digámoslo de otra forma. ¿Están las pymes destinando suficiente presupuesto a su ciberseguridad?

-En la actualidad los presupuestos que se están destinando son muy pequeños. Nosotros nos hemos encontrado con clientes que usan antivirus gratuitos, es decir que ni siquiera están comprando un antivirus, algo que incluso a día de hoy es insuficiente ante las nuevas amenazas que están apareciendo cada día. Date cuenta de que en muchos casos estamos hablando de una inversión nula.

-Parece que no le gustan nada los antivirus gratuitos.

-Yo no tengo nada en contra de los antivirus gratuitos y entiendo que al final, si la empresa tiene que reducir costes y cada vez queremos ser más competitivos, esa es una opción. Pero hay que recalcar que esa opción no es suficiente. Para muchas empresas, las herramientas TIC se han visto más como un gasto que como una inversión, cuando realmente esas inversiones te ayudan a que puedas competir y tengas las mismas oportunidades que una gran empresa. Se trata de aprovechar las herramientas disponibles para mejorar tu negocio.

-¿Están entonces las empresas españolas mal protegidas frente a ciberataques?

-Hay un reto por delante. No están bien protegidas, principalmente porque hay mucho desconocimiento. La ciberdelincuencia es algo que existe desde hace pocos años y no hay tanto histórico.

-¿Puede provocar un hacker daños a una empresa que vayan más allá de la pérdida de datos o del perjuicio económico?

-En EEUU ha habido un caso de un hacker que secuestró un hotel entero. Literalmente. Se hizo con el control del sistema de todo el hotel y no dejaba salir a los inquilinos de las habitaciones.

-Parece que todo lo que ocurre sobre ciberdelincuencia pasa en EEUU. ¿Es que no hay ciberataques en España?

-Claro que sí. Lo que ocurre es que en Estados Unidos hay una ley que obliga a las empresas a denunciar este tipo de ataques y en España no hay ninguna ley de este tipo. Además, en España nos cuesta anticiparnos a las cosas nuevas que nos vienen, como ocurre en el caso de esta normativa que te he comentado. Aquí solo nos enteramos de un pequeño porcentaje, de la punta del iceberg ya que en España hay muy pocas denuncias porque la ley no obliga a denunciarlo. Solo hay dos tipos de empresa: la que ya ha sido atacada y la que va a ser atacada.

-¿Cómo han evolucionado los ataques informáticos en los últimos años?

-Te voy a dar un dato. En el primer año de Panda, en 1990, detectamos tres virus. En 2017, diariamente se detectan 200.000 muestras de virus. Hay días que tenemos picos de 500.000. Y todos son virus de nueva generación. Los ciberdelincuentes van un paso por delante de nosotros y eso provoca muchos más ataques de los que conocemos. Ten en cuenta que muchos ataques no se descubren nunca.