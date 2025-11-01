Marc Rivero López
Diego Fernández Tortosa
Sábado, 1 de noviembre 2025, 01:00
La ciberseguridad es una prioridad cada vez más importante para compañías de todos los sectores. De hecho, según el último Eset Threat Report, los ramsonware ( ... ataques que buscan robar datos) han aumentado un 15% durante el primer semestre del año, y ha tenido una especial predisposición hacia las pequeñas y medianas empresas. Este escenario es en el que trabajan expertos como Marc Rivero López, especialista en análisis de amenazas e investigador principal de seguridad en Kaspersky, que acudió al congreso de ciberseguridad industrial –IndustrySec– organizado recientemente por Ziur y la Diputación de Gipuzkoa, donde dio la ponencia principal bajo el título 'La importancia de conocer a tu enemigo'.
– ¿Por qué importa conocer al enemigo?
– Es importante porque, en base a experiencias y acciones que ha realizado ese actor en el pasado, es más fácil conformar una estrategia de defensa futura. Sabiendo un poco lo que ha hecho y sabiendo quién es, podrás saber cómo se mueve, cómo actúa y cómo perpetua sus ataques.
–La diputada general ha dicho que existen dos tipos empresas: las que han sido ciberatacadas y las que lo serán, ¿está de acuerdo?
– Yo comparto esa información y además te doy otra: el 99% de empresas ya han sido hackeadas y simplemente el 1% aún no lo sabe. Hoy en día todo el mundo es susceptible a una brecha de seguridad.
– ¿Qué son los ransomware y por qué se fijan en las pymes?
– El ransomware es un código malicioso cuyo objetivo es cifrar los datos de la máquina y dejarlos sin acceso. No es que el ransomware ataque más a la pyme por algún motivo en especial. Lo que realmente hacen dejándolas sin recursos es forzar el pago. Es decir, si yo dejo a una pyme inoperativa, porque teóricamente tiene pocos recursos para poder invertir en ciberseguridad ya que no es su nicho de negocio, el dolor de cabeza para quitárselo sería pagar rápido y olvidarse del tema. Es un sector muy lucrativo para ellos porque saben que es dinero fácil y rápido. Cuando un negocio de este tipo, que es un ente vivo –necesita moverse para poder facturar y poder operar–, se queda pararado, es cuando la matan.
– ¿Qué es necesario para hacer frente a esta situación?
– Colaboración e inversión. La colaboración se debe basar en compartir. Cualquier tipo de compartición va a ser buena, ya sea ofreciendo indicadores de compromiso, tácticas y procedimientos, o reuniendo conocimientos sobre adversarios que están tocando tu puerta. Hace falta más dinero y, sobre todo, invertir en inteligencia.
– ¿Por qué es importante apostar por la inteligencia?
– Es lo que le va a valer al empresario a tomar acción y estrategia en su organización. Si yo sé que el atacante va a aprovechar ciertos fallos, me encargo de vehicular la estrategia de defensa en esa línea. El tener inteligencia y el poder explotarla es lo que ayuda a ser más resilientes. Lo que determinará que, cuando hay una brecha, la empresa sea capaz de poder recuperarse lo más rápido posible. Y la diferencia entre los que lo hacen y los que no es notable: quien no lo haga, seguramente cerrará.
«El tener inteligencia y el poder explotarla es lo que va a ayudar a las empresas a ser más resilientes»
– ¿Qué disciplinas hay en la ciberseguridad?
– Son tres: la táctica, la operativa y la estratégica. La operativa se basa en poder hacer acciones inmediatas, como bloquear una IP maliciosa. La táctica sirve para organizar los recursos y dar respuesta a la amenaza. Y en la estratégica me encargo de ver cuáles son los actores y las amenazas que me van a poder afectar.
El sector industrial
– ¿Cómo se encuentra el sector industrial estatal?
– Es un sector que realmente puede ser muy lucrativo para los atacantes. Ya se están fijando en él y ya hay campañas específicas y actores que solo atacan los sectores de industria. Entonces es algo que realmente está en boga.
– ¿Cuáles son las motivaciones para atacar a una empresa?
– La motivación económica es clara. Cifrando con un ransomware los datos de una organización, la están forzando a pagar un rescate para recuperar el acceso a esos archivos. Cuando esa empresa se infecta con un troyano que roba sus credenciales –usuario y contraseña–, esas claves se venden después a un tercero que ya tiene un método de entrada garantizado. Además, todas las credenciales no valen lo mismo. Si conseguimos acceso a un hospital, será mucho más lucrativo que a una empresa de zapatos de barrio, por ejemplo.
–¿Qué tipo de infraestructuras en España son las más críticas?
– Las organizaciones que tienen infraestructuras críticas son todas aquellas que sirven a la sociedad, como lo puede ser un hospital o un centro nuclear. Estos negocios son los que realmente hay que proteger: si haces que caiga la red de hospitales, puede morir gente. Ese tipo de infraestructuras tienen que tener una dotación especial de seguridad y de requerimientos para protegerlas.
– ¿Cuáles son las amenazas emergentes?
– Una clara es todo lo relacionado con la computación cuántica. Vienen a romper todos los algoritmos de cifrado resistentes hasta la fecha que confiamos en que a nivel de computación no va a ser posible romperlo. También está todo relacionado con Inteligencia Artificial, deepfakes, desinformación...
