Vitoria - Aunque la realidad refleja prácticamente a diario los problemas y las graves consecuencias que los cibercriminales provocan en empresas e instituciones cada vez que las atacan, la conciencia social continúa siendo aún demasiado baja. Por este motivo, Euskadi decidió hace tres años asentar las bases de lo que hoy es el Centro de Ciberseguridad Vasco (BCSC en sus siglas en inglés), un faro estratégico en el ámbito de la acción y la prevención ante posibles ciberataques empeñado además en impulsar entre la sociedad vasca una mayor cultura en favor de todo lo que rodea a la ciberseguridad. ¿El motivo? Tan sencillo como inevitable: la conectividad a Internet a la que está sometida hoy la industria y la sociedad es tan elevada que estas nuevas autopistas digitales son un reclamo más que apetecible para que los ciberdelincuentes puedan campar a sus anchas.

Que se lo pregunten sino a Correos, cuya cuenta en Twitter fue hackeada esta semana con la consiguiente pérdida de imagen para este empresa púbica y el coste de la operativa derivada de tener que solucionarla. O a los cerca de 900.000 vecinos de Tenerife que pocos días antes se quedaron a oscuras durante nueve horas como consecuencia, según la versión oficial, de un problema técnico en una planta de distribución eléctrica en la isla. Una versión, sin embargo, puesta en duda por fuentes especializadas en este campo. Por no hablar de la directora financiera de la EMT (Empresa Municipal de Transporte) de Valencia, víctima de una rocambolesca estafa de cuatro millones de euros al picar en el conocido como fraude del CEO.

Ejemplos mediáticos y recientes para contextualizar el empeño por parte del Centro Vasco de Ciberseguridad de sensibilizar, concienciar e implementar en el ADN de empresas e instituciones el concepto y las consecuencias de la ciberseguridad. Extremo que le ha llevado a diseñar un ambicioso programa de charlas y talleres entre diversos perfiles. Desde profesores de FP y alumnos hasta pymes, empresas y colectivos sociales, pasando por asociaciones profesionales, directivos o clusters. “La idea tiene que ser como la lluvia fina y calar poco a poco. Se trata de sensibilizar y concienciar al público más ajeno a esta corriente pero también, y especialmente, a los que lo puede sufrir en primera mano, elevar el nivel formativo de los profesionales que forman parte del sector”, reconoce Jordi Ubach, ingeniero de ciberseguridad y colaborador habitual de la firma alavesa Osane Consulting que esta semana impartió en el CETIC un taller específico dirigido a técnicos e informáticos.

los ataques crecen del 20% A juicio de este experto, Euskadi cuenta con un buen punto de partida en comparación con otras comunidades e incluso países, sin embargo continúa adoleciendo de un cierto espíritu preventivo, especialmente entre las pymes. “Es habitual que se cuestionen, dado su tamaño, quién va a querer atacar a una empresa tan pequeña, sin embargo la realidad y los datos indican justo lo contrario, pues son las vulnerabilidades lo que aumenta las probabilidad de ser atacadas”, asegura este experto. Según datos de Incibe (Centro de Respuesta a Incidentes de Seguridad), el pasado año fueron 722 los ataques sufridos en instalaciones críticas en el Estado y 16.000 los incidentes registrados en las empresas industriales, lo que da una idea del nivel de alerta en el que en estos momentos se encuentra el país (4 sobre 5). Así y todo, advierte el sector, la capacidad de respuesta por parte de una pyme ante un ciberataque está aún en una fase embrionaria, lo que explica el empeño del modelo vasco por la formación y la prevención.

Un empeño motivado además por el aumento que la conectividad global a Internet va a traer aparejado en todos los órdenes socioeconómicos, lo que sin duda constituye una fenomenal amenaza. “El incremento anual de ataques a las empresas es actualmente del 20% y todo hace indicar que va a ir a más”, alerta Ubach. Por si no fueran pocos los problemas, este mismo ingeniero detecta otro handicap de orden tecnológico que no ayuda en exceso como es la obsolescencia de los equipos. “Las empresas tienen, por lo general, equipos muy antiguos e imposibles de parchear y securizar si están conectados a Internet. Son equipamientos anclados en las décadas de los 90 y 2000 a los cuales se les han llevado a cabo auditorías con la sorpresa de que contenían virus en sus sistemas desde hacía años. Y claro, en este escenario las alternativas son muy pocas”, reconoce el experto.

Los motivos son varios. De un lado, porque no es fácil que convivan tecnologías tan distintas bajo un mismo techo, y de otra, porque no existen ventanas de mantenimiento suficientes para que una pyme, por ejemplo, parchee uno por uno todos sus equipamientos. “Por eso lo que acaba ocurriendo es que prima la producción sobre el mantenimiento virtual, que normalmente supone tener que parar las líneas de producción, con el coste que ello conlleva”, abunda el técnico.

el motor del centro vasco En este contexto de amenazas y falta de medios técnicos y económicos para ejecutar políticas de prevención, la figura del máximo responsable de la empresa cobra todo el sentido del mundo en esta endiablada ecuación. “Gran parte del éxito de este camino pasa por convencer al CEO, al director general o al gerente de turno para que ejecute un plan de inversión reconocible, total o parcial, y disponga una hoja de ruta que sirva para acotar el daño”, insiste Ubach.

¿Y cómo se convence a un empresario para que sea consciente de lo que se está jugando? “Si no te mueves sobre el terreno y le demuestras lo mucho que tiene expuesto y cuáles son sus vulnerabilidades, normalmente no te hacen ningún caso. En este sentido, con una pequeña auditoría de un sistema de producción es posible tumbar un sistema”, reconoce el experto.

A pesar de este escenario, a priori, tan amenazante, los expertos se afanan en lanzar un mensaje de tranquilidad en el contexto vasco, donde gracias al impulso del Centro de Ciberseguridad del Parque Tecnológico de Álava no solo se está creciendo en este sentido “a pasos agigantados” sino que el reconocimiento europeo del sector es, a día de hoy, una realidad. “Al menos en Euskadi, el tema de la ciberseguridad industrial ha salido a flote y está encima de la mesa, porque en otras comunidades como la catalana, que conozco de primera mano, el panorama es desalentador”, zanja el consultor catalán.

Asumiendo como un reto, por tanto, la capacidad de darle la vuelta a ese perfil reactivo que existe en Álava, el sector pronostica que el cambio llegará de la mano de los grandes clientes, dotados del músculo suficiente para exigir a su nómina de proveedores una de hoja de ruta específica en el ámbito ciber.