Previsión El tiempo en Sevilla para este Viernes Santo

Mesa de debate Grupo Joly y BBVA

El factor humano se convierte en la gran brecha para la ciberseguridad

El factor humano se convierte en la gran brecha para la ciberseguridad

Alguien coloca un código QR en la mesa de un bar. Piensas que es el menú, pero no lo es. Es un enlace que abre la puerta de acceso a tu móvil. Buscas empleo. Ves que ofrecen trabajo en un muro de una red social. Te piden un selfi y el DNI. Y abren una cuenta corriente por ti en el banco y piden, con éxito, que te envían las claves de tu tarjeta bancaria. Recibes un mensaje relativo a un movimiento de dinero en Bizum. Pulsas sin querer y sin ser muy consciente estás enviando dinero a un número desconocido. Recibes un 'sms' del banco. Parece de tu banco, porque continúa una cadena de mensajes ya recibidos. Le das al enlace y ya estás atrapado. Recibes un mensaje: te ha tocado un 'iphone'. Sabes, en tu interior, que es falso, pero piensas: ¿Y si me ha tocado? Le das al botón.

Son ejemplos, reales, de cómo la cuestión de la ciberseguridad no va solo de complicadísimos algoritmos ni de 'frikis' con capuchas y comedores de 'doritos'. Está en el día a día, los engaños pueden ser muy complejos, si, pero también sencillísimos. En su éxito o fracaso el factor humano es fundamental.

"Los sistemas de protección pueden ser muy buenos, el problema es el factor humano. En determinadas circunstancias, pinchamos lo que sea, por prisa, necesidad o urgencia, o por satisfacer determinados deseos y no quedar descolgados", afirma Gabriel González, fiscal delegado de Criminalidad Informática y fiscal adjunto en la Comunidad Autónoma de Andalucía del delegado de Protección de Datos de la Fiscalía General del Estado.

González fue uno de los participantes en la mesa de debate 'Ciberseguridad: reto presente y futuro para todos', organizada este miércoles por Grupo Joly y BBVA. Relató, por ejemplo, cómo estas brechas abiertas por los propios usuarios afectan también a las empresas. En un ejercicio meramente académico su departamento logró entrar en una ocasión en una central térmica de Tailandia y acceder a su panel de control y su sistema de ventilación simplemente consiguiendo la contraseña de un trabajador, que era tan simple como 'usuarioadmin'.

Sergio de los Santos, Head of Innovación y Laboratorio en Telefónica Cibersecurity & Cloud Tech, asegura que la "protección (frente a los ataques) debería ser más automática, pero no lo conseguimos, estamos lejos de ello". Y eso convierte a los ciudadanos en vulnerables, y especialmente a los jóvenes. "Al ser nativos digitales, no tienen que haberse peleado con la tecnología; no entienden nada de lo que hay debajo, no distinguen el concepto de 'sms', de remitente, de dominio, de un certificado. Y además lo quieren todo rápido y ya. Se creen más invulnerables". "Los jóvenes no tienen el atractivo económico de otros perfiles -añade Raúl Jiménez, director-gerente de la Agencia Digital de Andalucía- pero pueden alojar ransomware (programa de secuestro de datos) en el móvil hasta que lo tengas; este colectivo es el que más amenazas recibe".

Ingeniería social para engañar

La forma de actuar de los ciberdelincuentes tiene más que ver con la ingeniería social que con la habilidad técnica. Juegan con la psicología de los usuarios. "Es fundamental la concienciación -afirma Alejandro Javier Figueroa, responsable de Seguridad Corporativa y Ciberseguridad en BBVA España-; los bancos, al menos nosotros, no enviamos mensajes con enlaces; cuando haya sentido de urgencia en esos mensajes, hay que desconfiar de ellos, no hay que entregar jamás credenciales ni contraseñas a alguien cuya identidad no está verificada y hay que tener un buen antivirus y un 'software' actualizado".

El responsable de seguridad de BBVA asegura que en la entidad se chequea permanentemente la seguridad y si aparece una vulnerabilidad "se corrige rápidamente". Además, monitoriza todo lo que ocurre con los clientes, "con el objetivo de identificar patrones que se salgan de lo normal". "Vemos cómo se comporta, y así tenemos todos los elementos para saber si estamos ante el cliente verdadero o alguien que lo está intentando suplantar".

Por otro lado, y volviendo a la vulnerabilidad del ciudadano, Sergio de los Santos, el responsable del laboratorio de ciberseguridad de Telefónica, asegura que muchas veces se produce una reacción radical en contra de la tecnología. "El miedo paraliza. Ante las amenazas, podemos optar por no escanear nunca códigos QR o no ver mensajes. Es necesaria una mínima información, o si no vamos a conseguir miedo al uso  de la tecnología o desidia absoluta. Hay que formar, desde pequeños".

Raúl Jiménez, de la agencia digital andaluza, precisa que lo que hace falta es "sentido común digital" y actuar en lo virtual como se actúa en lo físico con puertas de doble llave o cierres metálicos. "Si tenemos unas normas mínimas, estaremos igual de protegidos que en el mundo físico", afirma. En este sentido, plantea que la Junta ya está elaborando vídeos para niños de quinto y sexto de primaria "para que cale el mensaje" de cara al futuro.

Las empresas, más concienciadas

Las empresas, a diferencia de los usuarios particulares, ya están tomando conciencia, poco a poco. Según explica Jiménez, de los 650.000 euros que invierten las pymes de media en tecnologías de la información, el 25% va a ciberseguridad. De lo Santos, el experto en ciberseguridad de Telefónica, asegura que no vale simplemente con poner las herramientas informáticas, sino que hace falta una vigilancia constante por parte de las personas encargadas.

No solo se debe invertir, además, en prevención de ataques sino también en su reparación, ya que hay que asumir que en algún momento se van a producir. El 44% de las pymes ha sufrido algún ataque y de ellas el 60% "han caído". "Muchas cierran y empiezan otra vez de cero ante esta situación", señala el director de la agencia digital andaluza.

En general, cuando los ataques ocurren, las compañías suelen preferir pagar y no denunciar, por la pérdida de imagen que supone y porque al final suelen recuperar los datos. Como señala De lo Santos, los atacantes "piden un dinero que saben que la firma puede pagar" y es tentador "pagar y recuperarse, un escape rápido".

También influye que, como señala el fiscal Gabriel González, solo el 20% de los delitos se resuelven. "Hay que avanzar en cooperación internacional, porque la ciberdelincuencia está globalizada y muchos delincuentes están fuera de España", afirma. Otro problema, añade, es que un caso suelto no tiene apenas significación judicial y tiene como destino el archivo o sobreseimiento, y lo normal es que se agrupen y se conviertan en macrocasos con cientos de estafados. "Qué juzgado asume eso, es un poco locura", asegura.

La cuestión no solo afecta al plano judicial sino también al puramente económico. "El riesgo a nivel económico es brutal -señala Manuel Alejandro Hidalgo, profesor de Economía Aplicada de la Universidad Pablo de Olavide-; hay un coste directo por el robo pero otro indirecto porque hay que dedicar muchos recursos para evitarlo". Se calcula que en 2018 la inversión en sistemas de ciberseguridad en EEUU ascendió a 15.000 millones de dólares -una cifra que "se habrá multiplicado ya varias veces"- y que el coste para la economía del país asciende en total a 100.000 millones de dólares. Cualquier compañía que sufre un ataque y cotiza en Bolsa "sufre hasta un 10% de caída". Y, lo peor, "existe la posibilidad de que algún ataque pueda apagar o derrumbar, por ejemplo, el sistema interbancario mundial. Podríamos estar ante otro 2008".

Un momento del debate en el hotel NH Collection de Sevilla Un momento del debate en el hotel NH Collection de Sevilla

Un momento del debate en el hotel NH Collection de Sevilla / Juan Carlos Vázquez

Donde hay riesgo hay oportunidad

Pero, vamos a lo positivo, donde hay riesgo y coste siempre hay oportunidad. Raúl Jiménez, de la agencia digital andaluza, afirma que el Gobierno andaluz está intentando que Andalucía "aproveche el fenómeno" para crear una industria de ciberseguridad. "Tenemos buenas universidades, estamos poniendo en marcha un centro de FP de ciberseguridad y tenemos un talento andaluz que crece en España y fuera de España. Grandes empresas están eligiendo la región, y no solo Sevilla y Málaga (pone el ejemplo de Evolutio, en Linares, especializada en servicios 'cloud'). Ante la eclosión del Internet de las Cosas y el 5G, "Andalucía tiene atractivo por la calidad de vida, sus infraestructuras, y, por qué no decirlo, por ser competitiva en costes laborales".

Andalucía se apoyará, entre otras cosas, en los fondos europeos en el marco de la estrategia para digitalizar la economía y competir con EEUU y China. El plan de recuperación español, según informa Manuel Alejandro Hidalgo, prevé 525 millones de inversión en seguridad, la mayoría, 420, para ayudar a las empresas, y el resto para formar profesionales, y también ciudadanos.

Comentar

0 Comentarios

    Más comentarios