Las empresas de Gipuzkoa sufren intentos de ciberataques masivos cada vez más sofisticados

María Penilla, que esta semana ha asumido la dirección general de ZIUR –el Centro de Ciberseguridad Industrial de Gipuzkoa–, tras responsabilizarse en los últimos años de la dirección técnica del mismo, lo tiene claro: «Nuestras empresas, también las pequeñas, nuestras pymes, sufren intentos de ciberataques masivos, y cada vez más sofisticados, todos los días del año». «Eso es así, y conforme avance la digitalización, el traslado de información a la nube y la incorporación del 'Big Data' y otras tecnologías va a ir a más. Nadie está a salvo, y las pequeñas corrren el mismo riesgo pero con menos recursos», sentencia.

En ZIUR lo saben, por eso trabajan codo con codo con las empresas del territorio, que en general están aún muy 'verdes' en la materia, mediante ataques simulados o cursos de formación. Penilla reconoce que aún queda por hacer, pero también que «en estos cinco años de ZIUR, la concienciación ha mejorado».

Aún así, remarca, ese correo electrónico que llega a nuestra compañía con aparencia 'angelical' en forma de factura de nuestro cliente de toda la vida y que en realidad es una trampa para lograr «dinero rápido y sencillo» es el pan nuestro de cada día. Por eso es importante la labor de prevención. «Se puede pensar, ¿me va a pasar a mí, en una empresa pequeña de Usurbil? Pues sí. Sí que que pasa», insiste

«Lo hacen muy bien (los malos), hasta envían 'e-mails' en euskera con los que a veces resulta difícil no picar», señala. Eso, explica, por no hablar de que «la inteligencia artificial es una herramienta muy potente en sus manos, porque de alguna manera democratiza el acceso a códigos con los que delinquir, y permite hacerlo en menos tiempo y con menos esfuerzo».

Hay dos tipos de ataques, explica la responsable de la fundación promovida por la Diputación. Los dirigidos (contra grandes empresas, gobiernos o sistemas de salud), en los que «normalmente, al final logran entrar». Y los masivos, los que no tienen un destinatario predefinido y que suponen el 85% del total. Son estos últimos los que afectan a las empresas guipuzcoanas.

Primero, relata Penilla, los ciberdelincuentes entran en tu sistema gracias a ese archivo ajunto que alguien ha abierto o a ese link que algún trabajador ha activado sin pensar demasiado. «Hay que tener muchísimo ciudado», insiste la directora de ZIUR.

Una vez dentro, añade, «pasa un tiempo hasta que conocen la empresa, su forma de trabajar, el quién paga a quién y cómo, y entonces eligen cómo atacar». «El objetivo es siempre el mismo, dinero fácil, y ellos saben cuánto pueden pedir a cada cual por la información que roban e imnediatamente cifran. Si facturas un millón no te van a pedir 500.000 euros por liberarla», afirma.

El 'pellizco' más habitual a empresas como las guipuzcoanas viene a ser, apunta Penilla, de entre 20.000 y 30.000 euros. Toda una faena que, añade, piden pagar siempre mediante cryptomonedas en algún monedero virtual. Un abono que, por cierto, no es sencillo, tampoco legal, y para el que conviene pedir asesoramiento. «La segunda vuelta de tuerca viene después, cuando te chantajean diciéndote que van a publicar información sensible de tus clientes o proveedores», dice.

ZIUR mantiene un estrecho contacto con las empresas guipuzcoanas, con las que ha desarrollado varios programas específicos, como uno que tiene abierto con la máquina-herramienta.

Otro aspecto importante, desvela, es la regulación europea, que impone poco a poco la obligación de que los sistemas y hasta los productos de nuestras industrias sean ciberseguros. Y junto a esto, la formación.

«En Gipuzkoa y en Euskadi tenemos un ecosistema público-privado de ciberseguridad muy potente, que es la envidia, pero hace falta talento. Hace falta más formación reglada, sobre todo universitaria», concluye Penilla.

• Temas
• Ciberseguridad