“Tenemos que decirles a los empresarios si dejan las empresas en manos de hackers” - El Sol Digital
“Tenemos que decirles a los empresarios si dejan las empresas en manos de hackers”

“Tenemos que decirles a los empresarios si dejan las empresas en manos de hackers”

Sánchez y Crossa al frente de Cyberspatia

Vicente Almenara.- Juan Manuel Sánchez y Pablo Crossa han fundado Cyberspatia y andan en el empeño de ofrecerles a la generalidad de las empresas, con especial dedicación en las pymes, servicios de ciberseguridad que solo se echan en falta cuando ya tienes el problema. Los ataques informáticos ya son el pan nuestro de cada día, la medicina preventiva sería la solución. Pero esto hay que explicarlo, no todos lo entendemos. La pedagogía comercial y los recursos tecnológicos se dan la mano. Los dos socios hablan de su empresa.

¿Cómo establecéis esta empresa?, ¿cómo nace la idea?

Esta empresa surge hace poco más de un año a raíz de la relación que tengo con mi compañero Pablo por ser ingeniero informático experto en ciberseguridad, licenciado en la Universidad Aberdeen de Escocia, además yo controlo el tema de la protección de datos y la auditoría de sistemas desde hace bastantes años, por lo que unimos la parte tecnológica con la no tecnológica para dar un servicio completo a nuestros clientes. Hemos visto que existe una nueva oportunidad de negocio y mercado y tenemos la previsión de llegar a todo el mundo, ya que la seguridad parece que hasta ahora ha sido un artículo de lujo, pero hoy es imprescindible. Solo las grandes empresas son las que realmente hasta ahora han podido invertir en ciberseguridad y nosotros queremos que la ciberseguridad sea asequible y accesible. Nosotros tenemos algún producto que propicia, precisamente, esa accesibilidad a cualquiera; queremos poner la ciberseguridad y la protección de datos en manos de todos.

De ahí nació realmente mis ganas de realizar este proyecto, porque hay muchos expertos que a veces tienen una actitud un poco elitista y me parece que el sector de las pymes y los autónomos ha sido realmente ignorado hasta ahora y han tenido que solucionar los problemas ellos mismos sin ayudarles jamás. Queremos cambiar esto ofreciendo algo que pueda ayudar a este grupo que ha sido ignorado históricamente por esta profesión.

¿Cómo os abrís hueco en el mercado?

El mercado es muy complejo en el sentido de que la gente no sabe qué es la ciberseguridad ni lo que compra. Puedes decirle a alguien que compre una televisión, un coche… algo de lo que conozca el concepto, pero el tema de la ciberseguridad es muy difícil. Nosotros intentamos llegar a las empresas, en primer lugar, con unos canales directos ofreciéndoles los servicios propios que necesita, y por otro lado estamos relacionados con las asociaciones y colegios profesionales con aquellas personas que son capaces de ver que lo que se les está ofreciendo es algo que realmente lo necesitan y puedan recomendarlo. Para todo esto hay que llegar con conceptos muy claros, no podemos llegar con conceptos abstractos. Tenemos que decirles a los empresarios si dejan las empresas en manos de los hackers, si realizan copias de seguridad de forma periódica y donde las dejan si es que las hacen, si cifran la información que tienen en sus empresas, si tuviesen algún tipo de contingencia o, por ejemplo, un incendio y se destrozan sus equipos, ¡qué puede suceder!, ¿tendrían la capacidad para poder continuar?, ¿tendrían algún plan de contingencia para el negocio?, ¿qué capacidad de resiliencia tienen?

Ahora es de gran actualidad el reglamento europeo de protección de datos, ¿qué novedades plantea a la empresa española?

La máxima novedad del reglamento europeo de protección de datos es que desarrolla cuatro figuras nuevas: la transparencia, el concepto de accountability que es lo que llamamos en ciberseguridad responsabilidad activa bajo error, también desarrolla el nuevo principio de diseño y, por último, la seguridad por defecto. Desde el punto de vista de la ciberseguridad en sí misma, el artículo 32 del reglamento europeo de protección de datos te obliga a tomar medidas tecnológicas y organizativas adaptadas al riesgo de tu compañía. Esas medidas deben de contener al menos el cifrado de la información, debe de contener también las copias de seguridad o lo que se llama la dimensión de la seguridad, la confidencialidad y la recuperación de la información y también te obliga a revisar la información y las medidas técnicas de ciberseguridad. En el reglamento actual de protección de datos se hace hincapié en el concepto de accountability, porque tú mandas en tu negocio, haces la definición de tu propio negocio, eres el que realmente sabe qué tienes y lo que quieres, pues ¡hazlo bien! Porque sino la autoridad de control, que es la Agencia Española de Protección de Datos, te puede sancionar. Esa responsabilidad es bajo error, dicho en otros términos, como ejemplo, el coche puede ir a la velocidad que usted quiera, aunque el máximo sean 120 kilómetros por hora, siempre bajo su responsabilidad, ¡pero cuidado! No tenga un error, porque sino cumple las medidas básicas de seguridad le vamos a sancionar. Por lo que es muy importante el reglamento de protección de datos.

Este reglamento por primera vez requiere de alguna persona experta que asesore a la empresa a la hora de aplicar estas medidas. El reglamento de por sí las define como las medidas adecuadas ante el riesgo, pero deja muy abierto todo este aspecto. Históricamente, esto no ha sido necesario en la protección de datos y las empresas normalmente siguen con su dinámica de documentación, cuando la realidad es que cuando surja cualquier problema si no has tenido asesoramiento o algún tipo de examen o análisis de riesgo o una auditoría sencilla que muestre tus fallos y qué tipo de medidas debes tomar, te abres muy fácilmente a sanciones.

El reglamento europeo de protección de datos tiene dos vertientes, unas no tecnológicas, que son las políticas, jurídicas y organizativas, que es lo que normalmente cualquier empresa que veas va a adaptar, y la otra parte que son las medidas tecnológicas, que son las que nadie te adapta porque nadie tiene ninguna solución que sea capaz de cifrar, hacer copias de seguridad, defensa contra hackers, intrusismo, fishing… y hacer revisiones de seguridad, y esto es lo que nosotros ofrecemos, solucionar este tipo de problemas, y lo realizamos de forma completa.

Bajo una mentalidad conservadora de un autónomo que nunca ha tenido un problema, puede pensarse que si nunca le ha sucedido nada por qué le iba a pasar ahora… ¿Cómo le explicáis que necesita protegerse?

Este reglamento de protección de datos ha nacido porque los organismos legisladores han identificado ese problema, por ejemplo, en 2014 se detectaron unos 18.000 ataques declarados y denunciados al Instituto de Ciberseguridad, cuando la mayoría no se han declarado, porque la gente los supera ‘estoicamente’, y en el 2017 hemos subido a 120.000 ataques. La curva aumenta exponencialmente y cada vez más las personas son víctimas de estos ataques. Las empresas no se dan cuenta de que necesitan tener una seguridad mínima.

Los ataques serán a las empresas que realmente sean rentables de atacar… por lo que, ¿podríamos decir que las pymes y los autónomos son menos propensos a los ataques que una gran empresa?

Un hacker puede hacer dos cosas, invertir su tiempo y esfuerzo en intentar hackear una gran empresa recuperando o no su inversión o en 15 minutos hackear a una pyme o realizar un programa que hackee a un millón de empresas pequeñas en todo el mundo. Ya ese concepto de que el hacker es una persona que va a por ti, no existe, porque ahora mientras el hacker está cenando el programa que el ha creado está infectando a empresas por todo el mundo, esto ya no es un esfuerzo por parte del hacker, sino que son las máquinas las que nos están atacando constantemente. Se ha industrializado el ciberataque y por eso crece tan exponencialmente.

Nos encontramos con el autónomo o la pyme partiendo de la siguiente cuestión, en primer lugar, no tienen ni idea que se les está hackeando en ese momento. Esto es tan simple como tener una app que te muestra todos los troyanos que están pasando por tu sitio web. Realmente, existe un desconocimiento de que hay este problema y una falta de concienciación absoluta y, a su vez, una falta de interés total. Puede que no hayan sido victimas aún, pero todos somos potencialmente víctimas para un ciberataque. Tenemos que concienciarnos de que estamos constantemente siendo hackeados y de cualquier modo volvernos ‘paranoicos’ para darnos cuenta de que tenemos que tomar las medidas oportunas. Nosotros hemos resuelto recientemente cuatro hackeos de diferente naturaleza, aunque todos tenían el mismo hilo, esto es un robot que hace un barrido de miles de empresas y ve cuáles son las vulnerables para colarse en ellas.

A estos hackers, por tanto, les sale más rentable hackear a las pymes. Están empezando a migrar de las grandes empresas a las medianas y pequeñas.

¿Qué es lo que están haciendo las Administraciones públicas, los Cuerpos y Fuerzas de Seguridad del Estado… frente a esta amenaza?

En España tenemos una iniciativa de ciberseguridad muy competente respecto a otros países europeos. Tenemos una Administración que hace una labor esplendida de concienciación a través del INCIBE (Instituto de Ciberseguridad). Aparte de eso, la legislación está obligando a la gente a aplicar medidas de seguridad para intentar evitar estos ataques subiendo el nivel de seguridad de sus empresas.

Hay dos facetas importantes, una es que el INCIBE lo que hace es que de alguna manera proyecta una labor de educación y fomenta el aprendizaje en este tema para que las empresas puedan incorporar la ciberseguridad. Y el Centro Criptológico Nacional, que depende del CNI, tiene una función muy importante, que es la defensa de las infraestructuras críticas y ofrecen el correcto asesoramiento.

Lo que llamas prevención de alguna manera es una respuesta, porque la gente está siendo hackeada y hay algunos casos que son muy difíciles de remediar, es más, la única posibilidad de ‘solución’ es el rescate de datos. Ante estos casos, los organismos públicos lo que tienen que hacer es ayudar a que esto no vuelva a ocurrir. Esto es pura matemática y a veces es imposible encontrar una solución, por lo que hay que evitar que ocurra.

Una cosa es que el daño esté hecho y no se pueda remediar y otra cosa es que el que ha hecho el daño pueda ser detenido, no quedaría impune el delincuente…

Ahora estamos en un momento curioso con el tema de las criptomonedas y la labor policial a la antigua está siendo muy importante porque se está volviendo todo mucho más complicado. Sin embargo, vemos que consiguen localizar a bastantes criminales.

Creo que la Policía debe de tener una alta tecnología y que solo es producto de grandes Estados con grandes inversiones; o incluso grandes compañías que trabajan directamente para los Estados.

Y así es como muchas veces consiguen detectar a estos hackers o extorsionistas utilizando una tecnología que ellos poseen para localizar el origen de esos ciberataques y en estos casos se puede luchar contra ellos, sobre todo si es en Europa o América; y si se origina en países como Nigeria, por ejemplo, entrarían cuestiones quizás mas diplomáticas y sería más complicado interceder. La ONU está buscando ponerle el ‘cascabel al gato’ para ver de dónde salen la mayoría de los ciberataques. A ti te viene un ataque cibernético de Rusia, por ejemplo, y tú no puedes culpar al Estado ruso porque muchas veces no se origina en Rusia, viene de otro sitio.

La realidad es que ni siquiera los Estados se ponen de acuerdo en qué medidas deben tomar, ya no solo hablo de sancionar.

Nosotros buscamos ventanas y soluciones, pero los ciberdelincuentes siempre van por delante. Hablando del Ransomware que es el rescate del software, en el 2020 se prevé que los ataques del pasado año se cuadripliquen, sobre todo por las infraestructuras que queden obsoletas. En 2017 hemos tenido un Ransomeware que le ha costado al mundo 4.400 millones, pues esta cifra aumentará enormemente. Esto no tiene fin.

Los ciberdelincuentes descubren la nueva técnica para entrar y nosotros tenemos que responder a ella. Lo más importante es concienciar de forma proactiva a la sociedad, si nosotros no sabemos que este criminal tiene una forma de abrir las ventanas, pero tú siempre las cierras con llave, va a ir a la casa de al lado. Las cosas que puedes aprender a base de una auditoria te pueden ayudar a adoptar una actitud y a operar de una forma más segura. Hay que saber protegerse online y minimizar el riesgo de que pueda ocurrir, simplemente esto hace que vayas por delante de la gran mayoría.

El tema de la ciberseguridad es tan amplio que no solamente está en lo que es la seguridad informática, sino que abarca la defensa de la resiliencia empresarial, el cumplimiento legal y la formación. Estos son los cuatro pilares, desde nuestro punto de vista, y nuestra empresa se basa en darles soluciones.

 

Deja un comentario

El email no será público.