Félix Barrio (INCIBE): ciberseguridad para pymes y autónomos
[wpdreams_ajaxsearchlite]
Félix Barrio

Félix Barrio (INCIBE): ciberseguridad para pymes y autónomos

Lectura: 6 min | 20 Mar 21

La ciberseguridad se ha convertido en los últimos años en uno de los asuntos más críticos y de mayor preocupación para las empresas españolas, por las consecuencias tan negativas que puede tener para sus negocios recibir un posible un ciberataque. Por ese motivo, en nuestro blog hemos querido entrevistar a Félix Barrio Juárez, uno de los mayores expertos en ciberseguridad de nuestro país y Gerente del Instituto Nacional de Ciberseguridad (INCIBE).

Felix es Master en Ingeniería de Software y Sistemas, Experto Universitario en Dirección y Gestión de la Información y sus Tecnologías por la Universidad de Alcalá y Doctor por la Universidad de Salamanca. Ha desempeñado diversas posiciones en las Universidades de Burgos, León y Salamanca. Entre 2007 y 2014 fue Gerente en el Instituto Nacional de Tecnologías de la Comunicación y entre 2014 y 2019 en el Instituto Nacional de Ciberseguridad (INCIBE). Entre 2019 y 2020 fue director del Hub de Ciberseguridad del Tec de Monterrey. En la actualidad es gerente de Ciberseguridad para la Sociedad en INCIBE. Es profesor colaborador de diversas universidades y preside el comité técnico de normalización español de Ciberseguridad y protección de datos personales.

Felix, desde el INCIBE, ¿cómo valoráis el nivel de ciberseguridad de las pymes y autónomos españoles actualmente? ¿Qué aspectos deberían mejorar?

Desafortunadamente, existe una brecha entre las pymes y autónomos y las empresas de mayor tamaño que disponen de capacidad para invertir en ciberseguridad. El tercer informe 2020 de Accenture sobre ciberresiliencia de la empresa en España es contundente al advertir cómo podemos hablar de diferentes velocidades. Además, la crisis económica ha reducido en cifras globales la inversión empresarial en este ámbito, cuando es precisamente más necesario que nunca. La aceleración que la pandemia ha ocasionado en el desarrollo de la economía y sociedad digitales se ha evidenciado en la creciente dependencia de las nuevas tecnologías: el comercio electrónico, el teletrabajo, el ocio digital, han revolucionado el mercado y las empresas dependen más que nunca de invertir en dotarse de esta tecnología con un adecuado nivel de seguridad que proteja sus organizaciones y clientes. Comenzar con una evaluación de riesgos es el primer paso que cualquier pyme o profesional debe realizar para identificar por dónde empezar a dotarse de una ciberseguridad suficiente. Formarse y recurrir a ayuda de expertos es el segundo paso para avanzar en el proceso de diseño de la política de seguridad de nuestra organización. Desde INCIBE facilitamos gratuitamente orientaciones sobre cómo comenzar y qué pasos dar para abordar este proceso.

¿Cuáles son las principales amenazas a las que se enfrentan en Internet?

Cada año, hasta el 80% de las empresas reciben algún intento de ataque cibernético y hasta un 34% de esos ataques pueden ocasionar daños operativos a las mismas. Además durante la pandemia se ha incrementado el interés de los cibercriminales por las organizaciones que tienen menos madurez en su política de ciberseguridad. El pasado mes de abril, el prestigioso Sans Institute alertaba sobre el incremento de búsquedas por los ciberdelincuentes de organizaciones que estaban instalando aplicaciones de teletrabajo, porque saben que, en ocasiones, pueden haber realizado configuraciones defectuosas de las que poder aprovecharse. La extorsión mediante un tipo de ataque como es el ransomware, que es un software malicioso que encripta los equipos y sistemas del atacado y sólo facilita las claves para recuperarlos mediante el pago de un chantaje, es una de las formas de ataque más extendidas.

¿Quiénes suelen estar detrás de esos ataques y qué objetivo tienen?

Debemos pensar que detrás de los ataques cibernéticos, principalmente, vamos a encontrar organizaciones criminales que realizan masivos intentos de robo de datos y credenciales, fraude, extorsión y ciberespionaje. Operan desde terceros países, algunos de ellos donde el imperio de la ley brilla por su ausencia, por lo que resulta muy difícil conseguir la colaboración de las autoridades para localizar desde donde están operando y detenerlos. Pero también hay desaprensivos ‘de proximidad’, personas que aprenden a espiarnos, por ejemplo accediendo a nuestra wifi, y que pueden ocasionarnos problemas si somos, por ejemplo, un empleado o profesional que trabaja desde su espacio doméstico. Es importante mencionar también, que los ciberdelincuentes llevan a cabo ataques de una manera dirigida, a organizaciones o personas empresariales concretas con diversos propósitos, entre los que se puede destacar el bloquear la actividad de una organización o el conseguir grandes sumas de dinero engañando a perfiles estratégicos de las compañías.

Félix Barrio

Muchos autónomos y pequeñas empresas piensan que no van a ser atacados en Internet porque su negocio es pequeño, poco conocido o que su información/datos es de poco valor o interés para los posibles hackers. ¿Por qué esta falsa creencia puede ser muy peligrosa para su seguridad?

Los hackers malos, esto es los que se dedican al ciberdelito (los hackers buenos o blancos son los que trabajan para proteger a las empresas), suelen trabajar en organizaciones criminales. Incluso sabemos de organizaciones auspiciadas por gobiernos extranjeros, que recopilan masiva e indiscriminadamente información de todo tipo de organizaciones para robarles sus datos, a menudo con interés de extorsionarles pero también robarles su información de valor. Hace poco una pyme del sector textil descubría que un software malicioso instalado en los teléfonos móviles estaba enviando las imágenes de sus diseños de ropa a una IP localizada en el extranjero. Planos, información comercial, cualquier dato puede ser relevante para el crimen organizado, sobre todo si son datos bancarios, de medios de pago electrónico, que pueden pasar al mercado negro de Internet. En internet existen foros donde se pueden comprar tarjetas de crédito de personas y empresas de todo el mundo, con sus números y códigos de seguridad robados, entre 5 y 35 euros.

¿Qué pasos debería seguir una pyme o pequeño negocio a la hora de diseñar e implantar una estrategia y plan de ciberseguridad?

En primer lugar, realizar una evaluación de su riesgo tecnológico, es un análisis sistemático que les permitirá identificar por dónde tienen que empezar. A partir de ahí es posible identificar las prioridades, los responsables y los recursos, qué ayuda y medios necesitamos para protegernos y plasmarlo en un plan de ciberseguridad. Para que este nazca con buen pie es indispensable que los responsables de la pyme o del negocio estén plenamente comprometidos con la importancia de la estrategia de ciberseguridad. Especialmente crítica es la formación básica de los usuarios de nuestros sistemas, que adoptan las prácticas adecuadas. En INCIBE orientamos en nuestra sección ‘Protege tu empresa’ sobre cómo elaborar políticas de ciberseguridad de modo diferente para cada perfil de empleado en la organización.

Desde el INCIBE lleváis mucho tiempo desarrollando actividades y proyectos enfocados a concienciar, ayudar y asesorar a empresas y autónomos de nuestro país en materia de ciberseguridad. ¿Cuáles de esas iniciativas destacarías y cómo podemos encontrarlas?

Desde nuestro canal especializado en empresas, ‘Protege tu empresa’, abrimos diferentes canales de orientación y apoyo. Nuestro objetivo es que ningún profesional, ni organización se quede a las puertas de la ciberseguridad, ofreciendo información y recursos gratuitos, así como orientaciones específicas, incluyendo un amplio catálogo de oferta de servicios en España que ayudarán a resolver cualquier necesidad por parte de la industria y empresas de servicios.

La concienciación y formación continua se conjuga, asimismo, con los servicios de alerta y avisos que, mediante suscripción y acceso a nuestros blogs y redes sociales, permiten estar al día sobre las amenazas y riesgos que se detectan constantemente en la red. En estos últimos años hemos apostado por desarrollar nuestros servicios de ayuda y orientación de modo sectorial, así por ejemplo, ofrecemos itinerarios orientativos e interactivos adaptados a sectores, como por ejemplo, oficinas y despachos de asesoría o abogacía, ya que cada perfil de negocio requiere tecnologías y servicios adaptados a sus peculiaridades y actividad.

Por último, si tuvieras que dar 5 consejos clave para las pymes y autónomos a la hora de proteger mejor su empresa en internet ¿Cuáles serían?

En primer lugar, realizar un análisis de riesgos, como hemos dicho, es una actividad de base para orientar todo lo que debemos abordar en nuestra organización.

En segundo lugar, formar y concienciar, no solo a nosotros mismos sino a nuestros colaboradores. La oferta de cursos y formación en ciberseguridad en España se ha incrementado en los últimos años de modo importante y en INCIBE disponemos de un catálogo actualizado de la oferta.

En tercer lugar, la prevención: recurrir a soluciones antivirus, firewalls, páginas de Internet y servicios de comercio electrónico que reúnan las condiciones de seguridad y calidad suficientes, recurriendo a proveedores contrastados.

En cuarto lugar, almacenar siempre y en dispositivos diferentes nuestros datos, en prevención de su posible pérdida, y mediante técnicas de encriptación y claves de acceso (contraseñas) que reúnan las recomendaciones de seguridad que ofrecemos constantemente desde INCIBE.

Y, finalmente, en caso de ataque, denunciar, acudir a profesionales y reportar nuestros incidentes, tanto si se trata de un ataque probado como si es solo una sospecha, desde los canales de denuncia policiales hasta el canal de ayuda 017 que ofrecemos desde INCIBE. No sólo nos ayudarán, sino que ayudaremos a evitar que otros sean también víctimas de lo que nos ha pasado a nosotros.

Muchísimas gracias Felix por compartir con nosotros tu visión, experiencia y consejos sobre ciberseguridad. Desde IdeasParaTuEmpresa.es queremos daros las gracias a todo el INCIBE, en especial al equipo de Protege tu Empresa, por todo vuestro impresionante trabajo por ayudar a los autónomos y pymes de nuestro país a mejorar la seguridad de sus negocios en internet.