Los ciberdelincuentes solo son culpables de un 23% de los ataques
El resto se debe a errores humanos, empleados descontentos, competencia desleal, incumplimientos legales o contractuales, falta de medidas técnicas o formación insuficiente, según expertos reunidos por el integrador Secure&IT
El mundo de la ciberseguridad está en el punto de mira de gobiernos, empresas y ciudadanos en estos momentos. Y no es para menos. El número de ciberataques creció hasta un 50% en 2021 y, de forma exponencial, los ataques de ransomware, los dirigidos a OT, IoT y a dispositivos móviles. También prolifera el conocido como “fraude al CEO”, el robo de credenciales, el phishing y el robo de información con chantaje. Es la conclusión de una jornada de debate organizada por el integrador Secure&IT y que llevaba por título “Ciberseguridad: ¿A quién nos enfrentamos?”. Como subraya, David Hernández, Inspector de la Policía Nacional y miembro de C1b3rWall, “hay además una gran discrepancia entre el número de ciberdelitos conocidos y aquellos que llegan a ser esclarecidos”
Durante la jornada, el director general de Secure&IT advirtió: “Van a seguir creciendo los ciberataques causados por los conflictos geopolíticos. Pero, además, aparece un punto importante: hay un mayor acceso a la ciberdelincuencia. Es decir, cualquiera se puede convertir en ciberdelincuente de una forma fácil. Esto se debe especialmente a la sencillez de las tecnologías y, desde luego, nos plantea una nueva e importante amenaza”.
No hay que perder de vista que España es uno de los países más ciberatacados del mundo. Pero, por el contrario, no se encuentra entre los primeros puestos en cuanto a inversión en ciberseguridad. Todavía es una de las asignaturas pendientes para muchos organismos y empresas, que viven en una falsa sensación de seguridad.
Según datos de Secure&IT, la actividad sospechosa se ha multiplicado y ya se registran 150.000 intentos de ataque mensuales. Salir de un ciberataque puede costar, de media, entre 60.000 y dos millones de euros. Pero, además de lo económico, tiene un impacto reputacional, operativo, sobre las personas, sobre el cumplimiento y sobre la estrategia.
También tiene cada vez más connotaciones legales. Como señaló Escarlata Gutiérrez, fiscal especialista contra la criminalidad informática, “la especialización de los operadores jurídicos en cuanto a las TIC es fundamental”. “Tenemos retos y desafíos muy grandes a la hora de investigar estos delitos. Hay un grado de impunidad muy alto. De hecho, en muchas ocasiones, ni siquiera se llega a denunciar, porque supone un daño reputacional muy grande para las empresas”.
“Hay un grado de impunidad muy alto”, asegura la fiscal Escarlata Gutiérrez
Existen múltiples motivaciones por las que cualquiera se puede convertir en una ciberamenaza: hacktivismo, ciberdelincuencia, ciberterrorismo, ciberespionaje o ciberguerra. Pero los ciberdelincuentes solo son culpables de un 23% de los ataques. ¿A qué se debe el resto? Errores humanos, empleados descontentos, competencia desleal, incumplimientos legales o contractuales, falta de medidas técnicas, formación insuficiente, etc.
De hecho, los factores que generan la mayoría de problemas en seguridad de la información son tres: la falta de valoración de activos, la falta de comunicación entre los departamentos y la escasa formación y concienciación de los usuarios. En muchos casos, la conjunción entre tecnología y seguridad se vuelve complicada y, en este momento, la sociedad se enfrenta a grandes retos para blindar su activos más valiosos, y estar preparados.
Los ciberdelincuentes solo son culpables de un 23% de los ataques. ¿A qué se debe el resto? Errores humanos, empleados descontentos, competencia desleal…
Y no hay que olvidar que cualquiera puede ser objetivo de los ciberdelincuentes, pero también que las amenazas van más allá y ocasionan pérdidas a las empresas, por los que, intencionalmente o no, debemos denominar ciberataques. Los expertos reunidos también recordaron que la empresa no es la única afectada por un ataque. Por eso es irresponsable y poco ético no aplicar medidas, cuando se pueden ver afectados clientes, proveedores, socios, empleados o ciudadanos de a pie.