“La posibilidad de un ataque ciberterrorista es mayor de lo que pensamos”

¿Cuál es el objetivo concreto del proyecto Camino?

-Investigar entre diferentes entidades de ocho países los posibles ataques cibernéticos. Son difíciles de combatir porque hace falta información y mucha colaboración. Investigar en ello ayuda a que las organizaciones puedan trabajar mejor entre ellas para combatir estos riesgos. Por eso, hacen falta personas formadas, preparadas y sensibilizadas. Además, deben existir tecnologías avanzadas para abordar este tipo de problemas. Es necesario estudiar aspectos regulatorios de leyes y trabajar las políticas y los procesos en los que tendremos que estar para abordar todas las medidas de seguridad.

¿Hay conciencia de lo que podría suponer el ciberterrorismo?

-Como no ha habido uno muy grande, no. En Internet ha habido robos de información y sabemos el impacto que puede tener desde el punto de vista de un fraude. Pero no hemos podido evaluar el impacto que puede tener en la sociedad, y las posibilidades son mayores de lo que pensamos. Cuando ocurra, hay que prevenir y pensar en cómo minimizar los efectos, que a veces es lo más difícil.

¿Le consta que haya gente preparada para realizar un atentado?

-Hay preparación porque las organizaciones criminales están muy presentes en Internet y hay mafias que tienen equipos técnicos fuertes, preparados, que investigan y analizan tecnologías para poder realizarlo. Esto significa que realmente hay movimientos que controlan las redes sociales, las tecnologías y preparan ataques utilizando tecnologías avanzadas. Sí existe una amenaza real detrás, otra cuestión es que haya una amenaza real final con una organización prácticamente planificada y organizada que tenga efecto. Pero las piezas están ahí.

¿Pueden atacar a cualquier tipo de organismo, institución o entidad financiera?

-Trabajamos para que las instituciones y las empresas estén protegidas y prevengan este tipo de ataques. El efecto que puede tener es muchas veces mayor de lo que se calcula porque viene en cadena. Dejar un sistema informático paralizado puede tener un efecto económico directo. Por ejemplo, dejar sin funcionamiento infraestructuras críticas de agua o electricidad supondría un efecto mucho mayor. Las tácticas de guerra como dejar sin agua a una sociedad tienen un efecto directo porque es una necesidad primaria. Este tipo de ataques pueden ocurrir y trabajamos para que las organizaciones puedan tener tecnologías, preparación y servicios que les prevengan de este tipo de amenazas.

Es decir, podrían atacar a través de Internet el sistema de abastecimiento de agua de una ciudad y colapsar la población.

-Teóricamente, sí. Son cosas que pueden ocurrir porque la tecnología lo puede permitir. Pero la preparación tiene que tener un tiempo: todo muy bien organizado, con unas tecnologías, un formato y una organización. Lo que pasa es que las empresas y las instituciones toman sus medidas y lo ponen más difícil. El camino es prevenir con medidas que podamos tomar sobre la marcha para hacer que el impacto sea el menor posible.

Habrá empresas todavía muy vulnerables a estos ciberataques...

-El problema está en ser una empresa-objetivo, es el peor caso que hay. El coste de invertir en seguridad tiene que ver con el riesgo que tiene tu negocio. Si está muy basado en la informática y en Internet será mayor la dedicación económica. Cuando hablamos de virus y malware, por ejemplo, podemos tener problemas, pero cuando se trata de ataques dirigidos y permanentes, preparados y organizados para obtener información de espionaje industrial o, incluso, atacar una institución, hay que estar mucho más preparado aún. En ese caso, tienes que tener una prevención mayor y, para eso, estamos menos preparados. Tenemos una madurez menor.

¿Pueden acabar con una empresa?

-Tenemos casos en los que los directores generales de organizaciones importantes han tenido que dimitir y su cotización en bolsa ha bajado simplemente por un ciberataque. Si el efecto es muy grande, tiene efectos devastadores en una empresa.

¿En qué punto se encuentra Euskadi en cuanto a ciberseguridad?

-Es difícil valorarlo, pero en Euskadi tenemos empresas de ciberseguridad especializadas y punteras, y eso es un valor que tiene efecto. Somos uno de los países donde se trabaja fuertemente en ciberseguridad, pero aún hay mucho que hacer.

¿Qué recomendaría a una empresa o institución que quiera evitar un ataque ciberterrorista?

-Las organizaciones necesitan trabajar con un buen asesoramiento, tomar decisiones por fases, evaluar los riesgos e invertir, si no, es difícil tener seguridad. El riesgo está directamente relacionado con el negocio.

¿Hay compañías y organismos muy vulnerables que optan por no introducir esta seguridad?

-Eso es constante. No actúan ni invierten hasta que les ocurre un gran incidente. Ahora empieza a cambiar la tendencia, pero se están utilizando más los sistemas reactivos que los preventivos. Tenemos que estar mucho más preparados para resolver lo más rápidamente posible los problemas que están ocurriendo y minimizar el impacto que dedicarnos a la prevención, pero lo ideal es desarrollar las dos. Hay que trabajar la prevención.

Pero no tomar medidas preventivas puede suponer pérdidas mayores si se sufre un ciberataque...

-Cuando estamos en modo reactivo actuamos respecto a los sistemas de seguridad que ya existen para obtener información y saber qué ha pasado. Si no existen esos sistemas, es muy difícil valorarlo y resulta complicado poner la protección. Lo que hemos invertido previamente en prevención va a servir siempre para lo que vayamos a hacer en la reacción.

Siempre creemos que las amenazas están lejos, pero puede ser el vecino el que las desencadene.

-Hay ataques masivos, que nos pueden afectar a todos, como malware e infecciones, y luego están los otros, que parece que no nos van a ocurrir nunca. Y puede ser alguien que se lleva información de la compañía a otro lugar en un pendrive o por espionaje industrial, como China, que es uno de los países que más lo hace. El acceso es totalmente informático, sencillo y difícil de perseguir, pero sí se puede combatir con medidas de seguridad. Se sabe que hay espionaje industrial chino a empresas muy fuertes en el mundo, incluyendo las vascas.