donostia - La industria 4.0 ofrece muchas oportunidades a la empresa pero también exigencias. La interconexión a través de Internet de todos los elementos relacionados con la actividad expone a los negocios a un ataque cibernético que podría causarles un serio problema. El socio fundador de la firma Jakin Code especializada en la seguridad en las redes, Mikel Díaz de Arcaya, advirtió de los principales peligros y las precauciones en una charla dirigida a los empresarios en el Parque Tecnológico de Miramon en Donostia.

¿Cuáles son los ciberataques al tejido empresarial más comunes?

-Depende, sobre todo, del tamaño de la empresa. En el caso de las de menores dimensiones, ahora mismo se desarrolla una gran campaña que cifra todos los archivos y documentos de la compañía y pide dinero después para recuperarlos. Es un cryptolocker que se manda masivamente por medio del correo electrónico que no tiene por objetivo específico ninguna en particular y en el que están cayendo muchas empresas. En las más grandes sí se registran ataques dirigidos.

¿Y sus objetivos más habituales?

-Básicamente, hay tres tipos de malware. Uno de ellos se centra en que el atacante obtenga un dinero por descifrar los archivos. Otro busca propagarse al mayor número de víctimas posible. Un último malware tiene la finalidad de mantenerse oculto, no causar ningún efecto que la víctima pueda sospechar y robar información o realizar una acción concreta en un momento dado.

¿Qué errores comete la empresa de manera más repetida?

-La falta de concienciación. Las campañas de ransomware que cifran los archivos se reducirían muchísimo si las personas estuvieran concienciadas, y fueran conscientes de que ningún banco te va a pedir tu contraseña en un correo electrónico ni Correos te mandará un programa para bajarte una carta certificada.

El tejido empresarial vasco está compuesto fundamentalmente por pymes. ¿Pueden asumir las inversiones en ciberseguridad?

-Para tener seguridad, debes invertir el dinero necesario para que tu riesgo sea igual a tu gasto en seguridad. Si yo no invierto nada en seguridad me pueden robar 1.000 euros, si invierto 500 en seguridad reduzco el riesgo a la mitad y llego al punto de equilibrio, y si invierto 2.000 euros en seguridad no tiene sentido porque como mucho me van a robar 1.000. En función de tu riesgo tienes que invertir más o menos, guardando siempre una proporcionalidad. Una pyme, que tiene el riesgo de algo genérico, con concienciar a los trabajadores con una charla informativas tendría suficiente, no necesita gastarse miles de euros en soluciones de grandes empresas. Estas últimas, como bancos o eléctricas, en cambio, necesitarán invertir mucho más porque se enfrentan a amenazas más específicas.

¿Está el tejido empresarial vasco concienciado y protegido?

-Andan muy mal, y hay algunas que caen una, dos y tres veces. Las empresas pequeñas no son conscientes de qué riesgos hay, y como no lo son, nunca se van a proteger. Las grandes son conscientes de los riesgos y van a invertir mucho. Hay una brecha muy fuerte entre pyme y empresa grande.

Cuando todos pueden recibir un ataque.

-Todos. Según tu nivel, tendrás un ataque más o menos dirigido. El objetivo de los ciberataques es ganar dinero y, quien busca mucho, invertirá mucho tiempo en diseñar y lanzar una acción contra una gran empresa. Quien pretende un volumen menor, enviará un malware genérico a un elevado número de pymes esperando que un porcentaje alto acceda a pagarle por descifrar los datos. No es rentable atacar a dos pymes, pero a más sí.

¿Qué tiene que hacer una pyme para protegerse?

-Es más sencillo de lo que pueden pensar. Su nivel de riesgo se reduciría drásticamente con labores de concienciación entre toda la plantilla y con la aplicación de las actualizaciones de seguridad que ya incorporan los programas que tienen instalados y utilizan habitualmente. Y todo ello sin gastar dinero.