Uno de cada cinco delitos que investigó la Ertzaintza en 2021 se produjo a través de internet. De hecho, la ciberdelincuencia amenaza con posicionarse a la cabeza del ranking delictivo en todo el mundo. El cibercrimen mueve ya más dinero que el narcotráfico. Y es que, los ataques informáticos se han convertido en el reverso del proceso de digitalización, que ha experimentado un crecimiento sin precedentes en los últimos tres años con motivo de la covid-19. La explosión del comercio online y las plataformas de compra, la incidencia del teletrabajo o la digitalización del sector industrial han creado el caldo de cultivo idóneo para el cibercrimen. Si a esto le sumamos las importantes brechas de seguridad existentes aún en el ecosistema empresarial y de trabajo, el dilema está servido.
Según el último ‘Estudio sobre cibercriminalidad de España’, elaborado por la Dirección General de Coordinación y Estudios de la Secretaría de Estado de Seguridad, el peso de los delitos cibernéticos respecto al conjunto de la criminalidad pasó del 4,6 % en 2016 al 16,3 % en 2020. Por su parte, el servicio de vigilancia digital del Centro Vasco de Ciberseguridad (BCSC) ha contabilizado, solo durante el primer trimestre de 2022, un total de 255 ciberataques en Euskadi -con un crecimiento sostenido del 12 % mes a mes- y ha detectado 182.766 indicadores de amenazas. Estas últimas han derivado, finalmente, en 3.281 investigaciones de amenazas tempranas.
La estafa, el delito más frecuente
Según la Ertzaintza, en 2021, el delito más frecuente en lo que a ciberdelincuencia se refiere fue la estafa (se produjeron 14.338, un 7,8 % más que en 2019), seguido de la usurpación de identidad (651, un 120 % más que dos años antes), así como las amenazas y coacciones (584, el doble que en 2019).
Los ciberincidentes comunicados a lo largo de 2021 en Euskadi (un total de 1.373), casi triplican la cifra del año anterior. Estos datos, sin embargo, podrían quedarse cortos, ya que no todos los ataques e incidentes son reportados o denunciados por las empresas al BCSC u otras entidades competentes.
Ransomware: modalidad criminal en alza
El denominado ransomware, que es como se conoce al software malicioso que cifra los datos de una empresa para secuestrarlos a cambio de un rescate económico, supone una de las mayores amenazas para cualquier organización empresarial -e incluso Administración pública- en Euskadi y Navarra en este momento. Cada vez son más los ataques de este tipo, que pueden afectar a páginas web, sistemas operativos, bases de datos, etc., así como cada vez es mayor la complejidad de los mismos. De hecho, Euskadi mantiene el nivel alto de alerta en base a la proliferación de grandes amenazas y riesgos como este, con un impacto significativo en los sistemas.
El BCSC ha detectado 255 ciberataques y 182.766 indicadores en Euskadi de enero a marzo de 2022
Según el informe ‘Estado de la ciberseguridad en Euskadi’, elaborado por el BCSC con los datos del primer trimestre de 2022, el Estado español (con un 4% de los casos identificados a nivel internacional) figura entre los siete países con más ataques de ransomware detectados en ese periodo de tiempo. A la cabeza se sitúa Estados Unidos (51 %), seguido de lejos por Reino Unido (10 %), Canadá, Alemania e Italia (los tres con un 7 %), y Francia (5 %).
Los sectores más afectados son: fabricación e investigación de medicamentos; farmacéuticos y atención médica (19 %); y automoción, fabricación y cuidado de la salud (con un 13 %). Diversos estudios publicados por entidades privadas estiman que más del 60 % de las empresas afectadas por ransomware en 2021 pagaron un rescate.
Lamentablemente, hablar de ransomware es hacerlo de un ciberataque ya habitual, capaz de poner a prueba cualquier sistema de ciberseguridad. Junto a este, el malware y el phishing centran buena parte de la lucha en el sector empresarial contra los ataques a sistemas vulnerables.
Las principales amenazas
Invertir en seguridad
El auge de los ciberataques ha hecho del incremento de la seguridad en internet un objetivo estratégico de Europa, en general, y de Euskadi y Navarra, en particular. Y no solo en lo que respecta a la ciudadanía o a los organismos públicos, sino también, y especialmente, al tejido empresarial. Un estudio publicado por Deloitte este mismo año señala que el 94 % de las empresas estatales sufrieron al menos un incidente grave de estas características en 2021; sin embargo, el presupuesto de IT en ciberseguridad apenas era del 9,4 % de media.
El teletrabajo: Una gran puerta de acceso
La llegada de la covid-19 y su impulso urgente al teletrabajo agudizó aún más la vulnerabilidad de las empresas en materia de ciberseguridad. Muchos profesionales se vieron obligados a emplear sus propios sistemas y dispositivos informáticos para trabajar en remoto, y estos no garantizaban, en gran medida, la seguridad necesaria. A este hecho se sumó la falta de protocolos y de formación en materia de seguridad informática de las plantillas. No hay que olvidar que algunas de las grandes ciberamenazas, como el malware o el phishing, que hoy en día centran buena parte de la lucha en el sector empresarial contra los ataques a sistemas vulnerables, emplean el email como principal herramienta para su difusión. En otras palabras, el teletrabajo dejó mucho más expuestas, si cabe, a las empresas.
La vulnerabilidad en materia de ciberseguridad de las empresas es aún muy alta. Datos del Instituto Vasco de Estadística (Eustat) muestran que el 11,8% de las empresas vascas no contaban con ninguna medida de seguridad informática hace apenas tres años. Menos de la mitad del total tampoco disponía de herramientas de cifrado, identificación biométrica, copias de seguridad o red privada. Así pues, la pandemia sanitaria y la fuerte digitalización, que han incrementado los ciberataques en más de un 20 % a lo largo de 2020, se encontraron con sistemas de seguridad aún inmaduros y muy frágiles.
El coste medio de los ciberataques a empresas está cifrado en 105.655 euros, muy por encima de la media mundial de 78.409 euros
Hoy por hoy, la inversión en ciberseguridad no parece aún suficiente. Sin embargo, el precio que han de pagar las organizaciones por incidencias de este tipo, aunque sean puntuales, es cada vez mayor. El sexto ‘Informe de ciberpreparación 2022’, de la aseguradora Hiscox, sitúa el coste medio de los ciberataques en las empresas estatales en 105.655 euros, el doble respecto al año anterior y, según el documento, muy por encima de la media mundial, de 78.409 euros.
Así, no es de extrañar que cada vez se perciba más acuciante la inversión en soluciones eficaces contra los ataques informáticos. Todo apunta a que el gasto en medidas de prevención aumentará a lo largo de los próximos años. Al menos, así lo creen el 80 % de las empresas vascas según el BCSC. De lo contrario, algunas de ellas podrían incluso ver amenazada su continuidad. En este sentido, quizás Euskadi juegue con ventaja, pues está considerada ‘Smart Territory’ por su apuesta por la innovación en ciberseguridad. A pesar de ello, los desafíos son múltiples y apremiantes.
Ayudas a la ciberseguridad
La Agencia Vasca de Desarrollo Empresarial ha puesto en marcha un programa de ayudas a la ciberseguridad destinadas a fortalecer a las empresas industriales y de servicios contra los ciberataques y el robo de información sensible. El Programa Ciberseguridad Industrial ofrece subvenciones a fondo perdido de hasta 18.000€ anuales por empresa, así como la oportunidad de contar con un proveedor especializado. La fecha límite de presentación es el 14 de noviembre de 2022.
Las pymes, las más vulnerables
Las pymes y los autónomos están avanzando a marchas forzadas en el proceso de digitalización, un escenario al que llegan con muchas dificultades. Así que no es de extrañar que el tema de la protección de datos contra los ciberataques se considere una asignatura pendiente ya que el coste de un solo ataque informático podría suponer la ruina de más de una.
Según los datos del BCSC, un 88,2% de las empresas de Euskadi aplican medidas de ciberseguridad. Tienen el software actualizado en un 83% de los casos y utilizan contraseñas seguras (78%). No obstante, apenas el 6,11% realiza ‘backups’ externos, el 13,3% utiliza identificación biométrica, el 15,3% tiene contratado un seguro contra incidentes de seguridad, el 20,9% tiene una red privada virtual (VPN), el 26,2% tiene un cifrado de datos y el 37,8% control de acceso a la red. En Navarra, según los últimos datos del Instituto de Estadística de Navarra (Nastat) sobre el uso de tecnologías de la información y las comunicaciones y del comercio electrónico en las empresas, el 92,7 % de las organizaciones con diez o más asalariados utilizaba, en 2020, alguna medida de protección informática, pero ese porcentaje bajaba al 51,6 % en el caso de empresas más pequeñas.
Euskadi y Navarra en el ranking de CCAA: posiciones muy distintas
Según datos del OEDI (Observatorio Español de Delitos Informáticos), Euskadi se situó en 2020 como la quinta CCAA en ciberdelitos después de Cataluña, Madrid, Andalucía y Valencia, con 17.866 ciberdelitos registrados de un total de 287.963 de hechos denunciados. El fraude y las amenazas y coacciones fueron los más comunes. Navarra, por su parte, registró 4.465 hechos delictivos relacionados con las tecnologías de la información y las comunicaciones en 2020. Esta cifra supone un incremento interanual de casi el 40 %, sin embargo, sitúa a dicho territorio en el furgón de cola en lo que se refiere a ciberdelincuencia en términos absolutos, solo por delante de Cantabria, La Rioja, Ciudad Autónoma de Ceuta y Ciudad Autónoma de Melilla, según el Estudio sobre cibercriminalidad del Estado español. El aumento de la ciberdelincuencia a nivel estatal fue de casi el 32 % respecto al año anterior.
El mapa de la ciberseguridad en Euskadi
