La mayoría de nosotros salimos a la calle con smartphones que ofrecen los mismos servicios que un ordenador, navegamos por la red y realizamos transacciones en cada vez más empresas sin ni siquiera pararnos a leer los permisos de seguridad. Con esta elocuente descripción, Gonzalo Fernández-Micheltorena, socio de Consulting GFM, quiso poner este jueves de relieve el mundo digital en el que estamos inmersos y al que nos han conducido los avances tecnológicos y las nuevas formas de comunicación.

Un nuevo paradigma que en su cara menos amable cuenta con efectos indeseados y que ha abierto las puertas a delincuentes cada vez más sofisticados. Fernández-Micheltorena fue uno de los expertos en seguridad informática y protección de datos que participaron en las jornadas ‘Ciberriesgo. Cómo proteger tu negocio si eres autónomo o pyme’ organizadas por Diario de Navarra y Summa Correduría de Seguros, socios en DN Vivir Seguros. A lo largo de dos sesiones y de la mano de cuatro ponentes, se abordaron tanto las amenazas a las que se enfrentan las empresas como las consecuencias que un eventual ciberataque puede acarrear en el campo de las responsabilidades con respecto a la información de terceros (proveedores, clientes, empleados…). También se repasaron los principales cambios que ha conllevado la aplicación del nuevo reglamento general de protección de datos y se ofrecieron algunas de las soluciones que se pueden implementar en los negocios para minimizar riesgos.

Durante la jornada, el cibercrimen (delitos en la red) se situó como una de las principales amenazas, junto al ciberespionaje, el hacktivismo, los desastres naturales y los errores humanos, para la seguridad de los sistemas de información de una empresa. El fenómeno del cibercrimen es global, con un coste anual para las empresas que un estudio de McAfee y el Centro de Estudios Estratégicos Internacionales (CSIS en inglés) sitúa en el entorno de los 520.000 millones de euros. En España, los delitos en la red, desde accesos ilícitos, a amenazas, falsificaciones o fraudes, no han dejado de crecer desde hace cinco años. En 2016, último ejercicio con datos disponibles, se registraron un total 66.586 a una media de 182 delitos cada día y casi un 60% más que los registrados en 2013 en el Sistema Estadístico de Criminalidad al que aludió José Antonio Moriano, director de Hiberus para la zona Norte durante su intervención. Pese a todo, los expertos reconocen que la ciberdelincuencia sigue sin ser una prioridad para las empresas. Muchas compañías, sobre todo las de menor tamaño, reconoce María Banderas Ortiz, gerente en Pamplona de la correduría de seguros Summa que ha creado un servicio de ciberriesgo para pymes, lo siguen viendo como algo secundario hasta que no lo sufren en sus propias carnes y no son conscientes de que están igual de expuestas que una empresa grande. “Basta con tener wifi para que haya una puerta abierta para ese posible ciberataque”, aseguró.

Durante su intervención, esta experta puso ejemplos reales de profesionales que han sufrido ciberataques. Entre ellos, un conocido abogado que preparando un juicio en el ordenador de su casa fue víctima de un secuestro virtual. “La pantalla se puso negra y le pidieron un rescate para liberar la información de su ordenador”. Afortundamente, detalló Banderas, el letrado había contratado un seguro de ciberriesgo y pudo solucionar el problema en poco más de cuatro horas. Menos suerte tuvo un buen amigo suyo, un conocido tatuador de Madrid, al que también aludió este jueves. El miércoles perdió la cuenta en la que colgaba las fotos de todos los tatuajes (a deportistas, políticos y personalidades de la vida pública) que había realizado en los últimos diez años y que utilizaba para promocionar su trabajo.

 

DE LA DIVERSIÓN AL DINERO

La pregunta que lanzó Moriano a los profesionales que acudieron a la jornada fue por qué cada vez se producen más delitos en la red si se emplean sistemas de información y comunicaciones cada más vez seguras y el marco legal es más exigente. “Es muy simple. Porque cada vez hay más ciberdelincuentes. Antes decidían atacar por diversión, pero ahora utilizan sus conocimientos de informática para obtener un rendimiento económico”, explicó tras recordar a los asistentes el ataque que sufrió en 2010 la web de la presidencia española en la Unión Europea.

Un ‘hacker’ consiguió a través de un blog colgar en dicha web una foto del popular personaje de humor ‘Mr Bean’.

La solución, coinciden, pasa por tomar conciencia del problema y afrontar el nuevo el escenario que se ha abierto con el nuevo reglamento de protección de datos donde se regulan los obligaciones que deben cumplir todos aquellos que traten con datos, y los derechos que tienen sus propietarios para decidir quién y cómo van a utilizarlos.

 

Con más de 10 años de experiencia y especializada en protección de datos y seguridad de la información, GFM Servicios ofrece acompañamiento a las empresas para adaptarse a la Nueva Normativa europea de protección de datos, un reglamento, hay que recordar, entró en vigor el pasado 25 de mayo y es de obligado cumplimiento para todos los países de la UE y para todos los responsables que traten datos de ciudadanos que residen en la UE. El incumplimiento de la protección de datos puede acarrear sanciones económicas de hasta 20 millones de euros.

De la importancia crucial de esa nueva normativa habló este jueves uno de los expertos de esa firma, Gonzalo Fernández-Micheltorena, quien recordó que una de las obligaciones que entraña en el caso de las empresas es la de adoptar medidas de seguridad. “Como empresa no sólo debemos cumplir sino tener la capacidad para demostrar que lo hacemos y ese es precisamente uno de los cambios que se han introducido”, explica. Habló del principio de información, “las famosas políticas de privacidad con la que seguro le habrán bombardeado”, y del de proporcionalidad para poder utilizar esos datos. También, de las garantías y derechos digitales de los trabajadores, por ejemplo, con el uso de los datos biométricos (la huella para controlar los accesos o el reconocimiento fácil). “Ofrecen mucha más información y sólo podrán almacenarse con el consentimiento del interesado”, dice. Los sistemas de videovigilancia interna también podrían originar algún que otro inconveniente.”No sería necesario recabar el consentimiento de los trabajadores para instalarlos, pero sí informar de todos los usos para los que se podrán utilizar”. La nueva norma también obliga a adaptar los convenios colectivos para regular nuevos derechos como el de la desconexión digital.

 

Con más de 20 años de experiencia en el sector de consultoría y nuevas tecnologías, José Antonio Moriano aprovechó su ponencia para explicar a los asistentes a la jornada las pautas básicas que deben seguir las empresas, con independencia de cuál sea su tamaño, para prevenir los delitos en la red. Entre ellas, aseguró, unas de las más destacadas es la de ofrecer formación a sus empleados sobre conceptos que aunque pueden resultar obvios, en la práctica no lo son. Como que deben “sospechar” de los mensajes inesperados que dicen ser “urgentes y confidenciales”, fijarse en la “redacción de los mensajes sospechosos”, extremar las precauciones a la hora de seguir enlaces o descargar ficheros adjuntos de correos, no insertar dispositivos externos desconocidos en el ordenador, por ejemplo, USB, o tener el software de seguridad siempre actualizado y activo. Recordó que el Instituto Nacional de Ciberseguridad (INCIBE) pone a disposición de empresas una línea telefónica gratuita de ayuda en #ciberseguridad: 900 116 117 donde pueden realizarse consultas en horario de 9.00 a 21.00 horas durante todos los días del año (incluidos sábados, domingos y festivos).

“Los que piensen que al ser una empresa pequeña están salvados quizá deban saber que hay robots que rastrean la red en busca de fallos de seguridad en los equipos”, advirtió para, a continuación, pasar a detallar algunas de las fórmulas bajo las que operan los ciberdelincuentes para, por ejemplo, recopilar información confidencial o encriptar ficheros para chantajear al usuario y obligarle a que pague: malware, virus, troyanos, gusanos, spyware, ransomwareu, spear phising, whaling, watering hole, adware y malvertising… Su exposición estuvo plagada de ejemplos con algunos de los ataques más sonados como el ciberataque que sufrió Telefónica en 2017 y que tuvo como protagonista al célebre ‘negro del WhasApp’. También aludió al ciberespionaje donde los protagonistas son los propios Estados y que, entre otras cosas, llevó a Holanda a contar a mano los votos en unas elecciones. Concluyó hablando de hacktivismo y de cómo anonymous había hecho una de las suyas “colándose” en la web de El Corte Inglés para filtrar sus gastos.

 

“¿Qué pasaría si te secuestran el ordenador, tus sistemas informáticos o de automatización? ¿O si perdieras los datos de tus clientes y alguien hace un uso fraudulento de ellos?”. Fueron algunos de los interrogantes que lanzó este jueves María Banderas Ortiz, gerente de SUMMA Pamplona, una correduría navarra con 40 años de andadura. Banderas quiso recordar a los presentes que “además de todos los daños que pueden causar los ataques o la falta de protección de datos en tu negocio, el empresario será responsable de los daños que pueda causar a terceros”. A los que, pese a todo, sigan pensando que ”eso en su negocio no pasa” les recordó que un amigo suyo, un trabajador autónomo, acababa de perder hacia escasas horas la cuenta en la que colgaba su trabajo desde hace diez años. Lo dijo, no con el ánimo de asustar, pero sí de dejar claros los peligros. Y de ahí, aseguró, la importancia de la prevención y de la contratación de seguros ante estos eventuales ataques porque, concluyó, “la responsabilidad civil que tienen contratada los negocios no cubre estos ciberriesgos”.

 

Para Javier Duque, socio de Delta Consultores, el reglamento de protecciones de datos ha dibujado un nuevo escenario en el que todo está interrelacionado. “Es algo que no ocurría hace una década y deberá pasar todavía un tiempo para que logremos dar con las soluciones”. Un escenario que para Duque es, no obstante, una oportunidad para decidir qué queremos hacer con la información que manejamos en nuestros negocios y cómo la queremos ordenar. Este experto en el área de protección de datos reflexionó durante su intervención sobre ese nuevo paradigma digital en el que “la información es difícil de evaluar y de tener la certeza de que la tenemos controlada. ¿Quién nos garantiza que la información que nosotros facilitamos no va a llegar a un destino indeseado? ¿Mi información está controlada? No sé si podemos poner puertas al campo, pero sí que se ha abierto un nuevo escenario que todavía debemos analizar cómo lo vamos a abordar”.