Mario García (Check Point) resume los principales datos del 2019 en ciberseguridad
España se encuentra entre los países de la Unión Europea con mayor índice de riesgo por infección por malware, pero también necesita avanzar en la seguridad de entornos cloud, la adopción de la totalidad de las medidas del RGPD y la protección de los servicios esenciales.
En un encuentro con los medios especializados, al director general de Check Point en España y Portugal solo había una cosa que le preocupaba más que las estadísticas de ataques, y era la falsa ilusión que se encontraba entre esas empresas y ayuntamientos que visitaron durante todo el año y la respuesta general ante la evidencia de que “a mí no me va a tocar; si eso, para el año que viene que tendremos más dinero haremos un proyecto… Pero lo verdaderamente democrático son ahora los ataques de los hackers, porque no discriminan si eres una empresa grande o pequeña. Seas del Ibex35 o una pyme, te puede tocar. Durante 2019 se han producido 75.000 ataques solo en España, y les toca a los más débiles y en el momento más inoportuno. Algunos igual no han perdido dinero, pero sí han pedido clientes desde el momento que no les has sido útil y no has podido atender un pedido porque tu sistema estaba caído. El cálculo sin embargo es que cada ataque con éxito le cuesta a la empresa entre 25.000 y 60.000 euros; si es un pequeño empresario, significa que o deja de pagar las nóminas o tiene que hipotecar la casa, y en un país como este con hipotecas a 30 años… lo normal es que haya que cerrar el negocio. Y para tener éxito, al atacante le basta cinco minutos para con movimientos laterales esconderse en el sistema y permanecer invernado hasta que sea despertado de nuevo. ¡Y el tiempo medio de detección de un ataque es de 70 días!”.
Lo peor del año
Entre tanto, estamos en la cuenta atrás para cambiar de año y dejar atrás un 2019 que, en el campo de la ciberseguridad y como era previsible, ha dado un mayor índice de actividad delictiva. Según la empresa que dirige en España, estos son los aspectos más destacados en materia de protección de los espacios digitales y la lucha contra las ciberamenazas que se han encontrado durante 2019:
- Tendencia alcista a lanzar ciberataques contra las empresas españolas: según el informe “Threat Intelligence Report 2019” de Check Point, de media, las empresas españolas han recibido 436 ciberataques a la semana. Además, este mismo estudio señala que el criptojacking, un virus que se oculta en un dispositivo para minar criptomonedas, y el malware móvil, un software malicioso diseñado específicamente atacar a dispositivos móviles, son los tipos de amenazas que tienen un mayor impacto en las empresas españolas, con un 18,8% y un 18,7% respectivamente.
- España, en el top 10 de países con mayor riesgo de infección por malware: un dato que refleja el hecho de que todavía queda mucho por hacer para que las empresas estén seguras en el mundo digital. De media, en los últimos doce meses España (43,7) ha estado siempre dentro del top 10 de países de la Unión Europea con un mayor índice de riesgo por infección de malware, lejos de los resultados obtenidos por países punteros como Alemania o Gran Bretaña, entre otros. Asimismo, cabe destacar que junio (5º) y agosto (4º), son los meses en los que, según Check Point, España ha obtenido peores resultados.
- La seguridad cloud, una asignatura pendiente: así lo refleja el hecho de que, en los últimos doce meses, el 15% de las empresas españolas ha sufrido algún incidente de seguridad en la nube. Existe una tendencia alcista hacia la cloudificación o migración a la nube, pero las compañías están encontrando muchas dificultades para hacerlo de forma exitosa y, sobre todo, segura. Entre los principales obstáculos, destaca que las herramientas de seguridad tradicionales apenas ofrecen seguridad en este tipo de entornos, por lo que desde Check Point recomiendan adoptar un nuevo enfoque basado en políticas de seguridad sólidas en la adopción de soluciones de seguridad específicas.
- Todavía queda trabajo por hacer para adaptarse al RGPD: aunque ya ha pasado más de un año desde su entrada en vigor en mayo de 2018, las cifras de la compañía indican que todavía queda mucho trabajo por delante, y es que casi la mitad de las empresas españolas todavía no se han adaptado plenamente a esta normativa europea de protección de datos. Por el contrario, a nivel europeo el 60% de las empresas sí que contemplan la totalidad de las medidas del RGPD, un 8% más que los datos registrados para España. Los nuevos requerimientos técnicos surgen como la principal preocupación de los responsables de las empresas españolas.
- Las infraestructuras críticas siguen en peligro: tres de cada cuatro instituciones considera que las infraestructuras OT de los servicios esenciales son vulnerables, según los datos del informe “Incidentes de Ciberseguridad Industrial en Servicios Esenciales de España”, elaborado por Check Point y el CCI. Asimismo, cabe destacar que tan sólo un 20% de los encuestados califica la capacidad de respuesta en entornos OT como alta, un dato que pone de manifiesto los peligros a los que servicios esenciales como el aprovisionamiento de electricidad y agua, transportes o instituciones médicas se enfrentan. Cabe destacar además que las vulnerabilidades en estos sectores suponen también un grave riesgo para la seguridad y bienestar de todos los ciudadanos.
Lo que está por venir
“Acabamos un año en el que, una vez más, la falta de innovación y concienciación en las estrategias de protección de las empresas siguen siendo relevantes, puesto que limita sus capacidades para hacer frente a los peligros del mundo digital”, señala García. “El espectro de ciberamenazas actual sigue creciendo en cuanto a cantidad y variedad de ciberataques, pero, sobre todo, en cuanto al nivel de desarrollo tecnológico con el que cuentan. Por tanto, debemos seguir uniendo fuerzas para avanzar en la protección y securización de entornos digitales corporativos, así como concienciar acerca de la necesidad de adoptar enfoques y estrategias de ciberseguridad basadas en la prevención. En general, hay tecnología a raudales, tenemos gente con un talento brutal, falta si acaso un poquito más de dinero… y sobra esa sensación de a mí no me va a tocar”.
En cuanto a las previsiones para el 2020, “como el tiempo, que predecía un otoño seco y caluroso y ha sido más bien lluviosos torrencial, la ciberseguridad tampoco tiene la bola de cristal, pero lo que sí se puede afirmar y no cambia es que cada día aumentan más los ataques y cada vez son más profesionales”, contaba García. “Algunos lo entienden, pero lo grave es que no lo ven urgente. Siempre hay una excusa a mano: no me viene bien, ya he hecho algo, el año que viene… muchos se han arriesgado y no les ha salido bien la jugada. Así que yo vigilaría mucho cómo se usan los dispositivos móviles en la empresa y cómo abordamos la estrategia de ir al cloud”.