Las pymes que subestiman los riesgos tecnológicos y actúan como proveedores de grandes compañías son puerta de entrada a ciberataques a empresas del Ibex 35, según advierte Cisco y así se ha podido observar en casos recientes en España.
Los ciberataques no paran de aumentar en España, algo que no supone un caso aislado, sino que es más bien reflejo de una tendencia mundial y que entraña un alto grado de complejidad.
Así lo reflejan los datos del Informe de Seguridad Nacional, que asegura que durante el pasado ejercicio se registró una cifra récord de 107.777 ciberataques, un 94% más que en 2022, mientras que, los datos de las Fuerzas y Cuerpos de Seguridad del Estado también apuntan en la misma dirección: al comparar enero y febrero de 2024 con los dos primeros meses del año pasado se desprende que la cibercriminalidad ha crecido un 13,5%.
De esta manera, los ataques a las grandes empresas del Ibex ocurridos en las últimas semanas son solo la punta del iceberg de un fenómeno que adquiere cada vez más fuerza y relevancia a nivel europeo y global. Otra institución que apunta a la gravedad del asunto es el Centro Criptológico Nacional, quien ha registrado 940.776 cibercrímenes en los últimos nueve meses.
Aumento desde la invasión de Ucrania
En este sentido, los expertos apuntan que los ciberataques no han dejado de aumentar desde la invasión de Ucrania por parte de Rusia, y el director de la Agencia de Ciberseguridad de la Unión Europea, Juhan Lepassaar, ha llegado a afirmar que los ataques informáticos a la Unión Europea se han duplicado en 2024.
Tal es la escalada de este tipo de riesgo, que, ya en 2021, el presidente de la Reserva Federal clasificó los ciberataques como el principal riesgo para la estabilidad económica mundial.
Sin embargo, en la actualidad algunas empresas tienden a subestimar estos riesgos tecnológicos, lo que no hace sino acrecentar la gravedad del asunto, ya que, según los análisis, ocho de cada diez ataques cibernéticos que sufren las empresas están dirigidos a empleados, a través de 'malware' o 'phishing', práctica de engañar, presionar o manipular a las personas para enviar información a la persona equivocada.
Ataques a la cadena de suministro
"Si nos fijamos en las últimas noticias de los ataques que ha habido a grandes empresas, realmente son ataques a la cadena de suministro", es decir, a las pequeñas o medianas empresas que subcontratan las corporaciones del Ibex, ha señalado el director de ciberseguridad de Cisco España, Ángel Ortiz.
De esta manera, hay que entender que no se ataca directamente a la empresa cuyos datos han sido comprometidos o afectados, sino que se ataca a proveedores de esas compañías que manejan o que tienen acceso a los datos de esas empresas, ya que "son el eslabón más débil de la cadena".
"La gestión de la seguridad de la cadena de suministro, de los proveedores que trabajan con las grandes compañías, será una de las grandes asignaturas pendientes de estas multinacionales", ha explicado el experto, quien también ha hecho hincapié en que hay que proteger los datos "estén donde estén".
Estos ataques, que, según señala el director de ciberseguridad, cada vez están más "popularizados y masificados", pueden acarrear importantes "riesgos reputacionales" para las corporaciones, ya que se puede llegar a acceder a información estratégica.
¿Pero cuáles son las principales causas de que este tipo de amenazas sean cada vez más frecuentes? Ortiz ha explicado que existen varios factores, pero que destaca sobre todo la irrupción de la Inteligencia Artificial (IA), un "arma de doble filo".
Así, gracias a esta nueva herramienta, es posible "explotar las vulnerabilidades de las empresas en cuestión de minutos", cuando antes quizás podía llevar días o incluso meses. Es decir, "se puede automatizar un ataque frente a un agujero de seguridad que se haya encontrado, con lo que es muy fácil generar nuevas campañas de ransomware y generar nuevos ataques".
Sin embargo, el especialista ha señalado que las corporaciones también deben usar la IA para reducir el tiempo de respuesta a los ataques, ya que "no es posible garantizar" a las empresas que van a estar absolutamente 100% protegidas en cualquier escenario y que no van a conseguir entrar a sus sistemas de datos nunca.
A este respecto, Ortiz ha resaltado el concepto de "ciberresiliencia", que hace referencia a la capacidad de parar un ataque lo "suficientemente pronto", como para que no tenga consecuencias "desastrosas" en el sistema y antes de que comprometan datos sensibles.
Porque es una realidad que este tipo de ataques, en los que los hackers pueden llegar a extorsionar a la compañía hasta dos veces, tienen la capacidad de causar un daño "irreparable", comprometiendo incluso la continuidad del negocio. Sin embargo, el negocio que no ve en riesgo su continuidad y que no para de aumentar es el del cibercrimen.
Y es que tal y como todos los estudios, y el propio director de ciberseguridad de Cisco apuntan, si el cibercrimen fuese una economía mundial, sería "la tercera del mundo", tan solo por detrás de Estados Unidos y China. Por último, Ortiz ha resaltado el grado de profesionalización cada vez mayor de los ataques.
Tercera economía mundial
Y es que ya se trata de "empresas muy bien organizadas", por lo que, bajo la opinión del experto, "debemos tomar esa amenaza en serio, ya que nadie esta libre de recibir un ciberataque y todos pueden ser objetivos, aunque no sean una gran corporación".
En la misma línea se ha expresado el consejero delegado de Flameera, empresa dedicada a la ciberseguridad, Diego León, quien también ha hecho hincapié en que es crucial comprender que la ciberseguridad es "intrínsecamente asimétrica", ya que mientras el defensor, es decir, las empresas deben asegurar sus sistemas en todo momento, el atacante sólo necesita tener éxito una vez.
De esta manera, el directivo ha indicado que, a pesar de que las grandes empresas están invirtiendo altas sumas de dinero en ciberseguridad, se enfrentan a "complejidades considerables", como la adopción de nuevas tecnologías que introducen nuevos riesgos de seguridad, o la integración de compañías adquiridas, "lo que dificulta mantener niveles de seguridad consistentes a lo largo de toda la organización".
Con respecto a la regulación en este aspecto, a nivel europeo se siguen dando pasos adelante. "Por ejemplo, la gestión del riesgo de terceros es fundamental en la nueva Ley de Resiliencia Operativa Digital (DORA), que obligará al sector financiero a identificar a ciertos proveedores TIC como críticos y someterlos a estrictas normas de seguridad", ha detallado León.
"Las Pymes suelen centrarse en su actividad principal, lo que las lleva a menudo a subestimar los riesgos tecnológicos. Esta falta de concienciación provoca riesgos comunes, como son no actualizar sistemas vulnerables que pueden ser atacados, o una formación insuficiente hacia sus empleados, que incrementa la vulnerabilidad de estos ante ataques de phishing, fraudes, robo de datos y ransomware", ha relatado el máximo representante de Flameera.
"La realidad", ha aseverado León, "es que toda compañía que se preocupe por su ciberseguridad debería asumir que va a ser víctima de algún ataque; lo crucial será su capacidad para detectarlos, minimizar el impacto y recuperarse rápidamente".
Oleada de ciberataques
En las últimas semanas, Banco Santander, Iberdrola y la Dirección General de Tráfico (DGT) han protagonizado titulares por distintos ciberataques que han expuesto datos de millones de usuarios, muchos de ellos sensibles.
Todos estos casos son representativos de ejemplos de ataque a la cadena de suministro. Es decir, no hubo ataques directos a Santander ni a Iberdrola, sino a empresas terceras que tenían acceso a los datos y una copia de los datos de estas empresas, porque trabajan con ellas.