“Que tu atacante esté en Euskadi es como que te toque la lotería”

¿Las empresas vascas son conscientes de la importancia de la ciberseguridad?

-Yo diría que ha mejorado, pero todavía no está al nivel que debería. No son conscientes realmente, pero han mejorado mucho en los últimos años. Hace dos años igual solo eran conscientes de estos riesgos unas pocas empresas muy grandes. Hoy en día las medianas se están poniendo las pilas. Y nos quedan las empresas pequeñas, que al final, hasta que no les ocurre algo, no piensan que realmente necesitan invertir en ciberseguridad.

¿Una buena defensa está al alcance de las pymes?

-A las pequeñas empresas es algo que se les escapa de presupuesto. Normalmente estas compañías invierten en otra cosa. Por lo que he visto yo, hasta que no les ocurre algo, una pequeña intrusión, normalmente no piensan en la seguridad. Prefieren gastar el dinero en otras cosas. Es algo comprensible, por otra parte.

¿Cuáles deben ser las primeras medidas a tomar por una empresa que quiere empezar a invertir en ciberseguridad?

-Si puedes, contratar para tu empresa gente experta en la materia. Siempre aconsejo tener una persona que se dedique a hacer tareas de seguridad. Si se puede más gente, mejor. Pero si es una empresa pequeña, con una persona es un buen comienzo. Si no, siempre se puede uno apoyar en empresas especializadas. En Euskadi hay muchas empresas de ciberseguridad de confianza. En los tres territorios hay empresas que hacen estos servicios y te puedes apoyar en ellos. Hay que empezar poco a poco a hacerles caso, porque lo que te están diciendo es por tu bien.

Las empresas vascas sufren 2.400 ciberataques al día. ¿Es una cifra alarmante?

-Los números tampoco hay que verlos así. Hay mucho ruido en Internet de ataques automatizados. Normalmente esos ataques no son tan interesantes. Los problemáticos son los ataques dirigidos de alguien que va directamente contra ti como empresa. Porque hoy en día todos recibimos correo de phishing. Se lanzan millones de correos y te cae alguno a ti. Yo no los llamaría ataques, porque no son preocupantes. Los preocupantes son cuando un competidor o una nación te quiere espiar. Esos son preocupantes y hay pocos. No son tantos.

¿Se puede perseguir legalmente a quien lanza un ciberataque?

-Es muy difícil perseguir al atacante. Lo único que se puede hacer, y es como que te toque la lotería, es cuando el atacante está en Euskadi. También sería fácil si estuviese en España y algo más complicado si estuviese en Europa. Si está fuera de Europa, ya te puedes olvidar. Por problemas de legislación y jurisdicción es imposible, a no ser que sea un ataque muy grande. Con todos los ataques que hay en el mundo la policía no es capaz de pedir a otras naciones que le ayuden. En Europa, todavía. Pero si el atacante está en Ucrania, en Panamá, Argentina o Irak, es imposible. Te tienes que olvidar, porque legalmente no vas a poder hacer nada.

¿Qué impacto puede tener la creación del Basque Security Operation Center?

-Es algo que se debería haber hecho hace tiempo. Pero es buena noticia que se tenga en mente la ciberseguridad. Yo comentaba que aquí hay muchas empresas de ciberseguridad. Esto es como un polo de ciberseguridad y el Gobierno Vasco tenía que impulsarlo para poner a Euskadi como el líder en ciberseguridad. Potenciarlo como el entorno en el que más empresas hay. Algo parecido a Israel, que es el espejo en el que se mira mucha gente del sector. Espero que esto ayude mucho en muchos niveles. A las empresas les va a ayudar a que sean más fuertes. En nuestra empresa, por ejemplo, tenemos muchos problemas a la hora de contratar gente. No hay mucha gente experta en estos temas. Si hay más empresas y apoyos, habrá más formación y las universidades podrán centrarse en estos temas. Eso permitirá que haya más gente que trabaje en el sector.