Selecciona Edición
Selecciona Edición
Tamaño letra

Cada vez más digitalizados, pero menos protegidos

El auge del teletrabajo por la pandemia ha aumentado notablemente los ciberataques, pero los escasos expertos en este campo no alcanzan a cubrir la demanda existente

Los ciberataques se han multiplicado por tres durante el confinamiento.
Los ciberataques se han multiplicado por tres durante el confinamiento.

Cuando la crisis de coronavirus nos convirtió, repentinamente, en una economía de confinamiento, muchos pudieron mantener su actividad gracias al teletrabajo, que pasó del 5 al 34 % durante el estado de alarma. Por encima de la seguridad, la prioridad fue mantener la producción, y eso abrió de par en par la puerta a la ciberdelincuencia, que en estas semanas ha llegado a multiplicarse por tres. No se trata de una amenaza nueva: en el primer trimestre de 2020, el número de ciberataques aumentó un 40 % a nivel mundial, según datos de IBM; y solo en 2018, España registró un total de 111.519 incidentes, de acuerdo con el Instituto Nacional de Ciberseguridad (INCIBE). Un 36 % de las compañías españolas fue víctima de un ciberataque durante los siete primeros meses de 2019.

La necesidad de profesionales es evidente y, sin embargo, la demanda sigue sin cubrirse: se calcula que, en 2022, 1,8 millones de puestos de trabajo relacionados con la ciberseguridad quedarán vacantes en todo el mundo, 350.000 de ellos en Europa. Unos números que se explican por la creciente digitalización de la sociedad: “Cada vez una mayor parte de nuestra vida está online: cuentas bancarias, ahorros, datos privados, opiniones políticas... Todo aquello que pueda ser usado para manipularte o perjudicarte, está en la nube, y si no está debidamente protegido, quedas en manos del atacante”, afirma Fernando Rodríguez, cofundador y Chief Learning Officer del Centro de Formación en Programación y Tecnología KeepCoding.

Las víctimas de la ciberdelincuencia

Otro motivo que justifica el aumento de la ciberdelincuencia, relacionado con el anterior, es el de la cantidad de información que exponemos. “Cuanto más volumen tenemos en formato digital, y más valor tiene para la ciberdelincuencia, más necesidad tenemos de un instrumento que ponga límites a esa actividad delictiva, y ese es el campo de la ciberseguridad”, explica Santiago Moral, director del Instituto DCNC Sciences de la Universidad Rey Juan Carlos (URJC), de Madrid. El razonamiento es simple: la ciberdelincuencia existe porque cada vez hay más que robar, cada vez tiene más valor, y hay una alta probabilidad de salir impune: “Es un delito muy rentable y por el que raramente alguien acaba alguna vez en la cárcel. Se hace de país a país y es muy difícil de perseguir”, añade.

Las pymes y los usuarios particulares constituyeron el objetivo principal de los ciberataques en 2018, con 102.414 incidentes en España. Y la crisis de la covid-19 lo ha acentuado: “El teletrabajo, un modelo totalmente nuevo para muchas empresas, está siendo aprovechado por los ciberdelincuentes para explotar vulnerabilidades y atacar los sistemas de las organizaciones que no estaban suficientemente preparadas para ponerlo en marcha”, asegura Susana del Pozo, directora de IBM Seguridad para España, Portugal, Grecia e Israel. Son oleadas masivas, constituidas por cientos de pequeños ataques contra objetivos poco protegidos, que requieren la intervención del usuario, según concluye el estudio Panorama actual de la ciberseguridad en España, elaborado por Google.

Pero ¿cuáles son las mayores amenazas de la ciberdelincuencia? “Depende del objetivo. Para las pymes, se trata de su continuidad. Hay unos volúmenes tremendos de ransomware [programas maliciosos que restringen el acceso a determinadas partes de un sistema informático, exigiendo un rescate para su liberación]. Y si te secuestran tu organización, no puedes operar”, argumenta Moral, también director de ciberseguridad e innovación en OpenSpring. Programas como WannaCry, que, en 2018, infectó a 300.000 ordenadores de 150 países, y causó pérdidas por valor de 3.500 millones de euros (1.000 millones más que el presupuesto nacional de educación) son solo una parte de un problema mucho mayor, ya que las pérdidas generadas por ciberataques ascienden al 0,8 % del PIB mundial (unos 534.000 millones de euros en 2017). El coste medio de cada ciberataque a una pyme es, según el mencionado estudio de Google, 35.000 euros, y el 60 % cierra seis meses después de haber sufrido uno.

En el caso de los ciudadanos, el principal problema es la privacidad, bien debido al robo de datos bancarios que redunden en compras ilícitas, o bien porque se vea violentado algún aspecto de tu vida que no deseas que se haga público, lo que puede dar lugar a extorsiones. “Eso, en la población adulta, no es un gran problema, porque la tasa de personas con una vida oculta no es tan grande; pero sí lo es entre los adolescentes y los niños, porque hay muchos casos de espionaje hacia los pequeños, te abren la cámara y te engañan para que envíes alguna foto”. Para minimizar estos riesgos, Internet Segura 4 Kids, de INCIBE, ofrece a los padres numerosos recursos de mediación para acompañar a los menores en el inicio de su vida digital.

Las formaciones clave en ciberseguridad

Formación Centro educativo Precio
Universidad Internacional de Valencia (VIU) A consultar
Select Business School 1.940 €
DCNC Sciences (URJC) 5.300 €
Universidad Europea / IBM 6.600 € (hasta el 30/06)
Tokio New Technology School A consultar
IEBS Business School 2.812 €
KeepCoding 6.000 €
Universidad Internacional de Valencia (VIU) A consultar
UNIR 2.210 €
Universidad Autónoma de Madrid (UAM) 5.900 €

La pandemia y los ciberataques

El aumento del teletrabajo durante las últimas semanas y los meses que vienen han puesto a trabajadores y empresas en una situación para la que muchas no estaban preparadas. Para empezar, porque ha aprovechado la necesidad de información de la población para intentar cometer fraudes contra los ciudadanos (phishing), pero también porque hay instituciones que han sido especialmente atacadas, como los hospitales, que en estos momentos de saturación no estaban tan pendientes de la seguridad de sus datos.

Por otro lado, se ha agrandado “la superficie de ataque” para la ciberdelincuencia, es decir, el número de recursos de una empresa que son susceptibles de ser atacados: “Si esta superficie aumenta, las probabilidades de un ataque con éxito también lo hacen. Al haber un gran número de profesionales trabajando desde casa, conectándose a Internet desde una red casera, probablemente mal protegida y con software anticuado, cada uno de esos empleados es un blanco en potencia”, asegura Rodríguez.

Recursos generalizados como el programa usado para mantener videoconferencias puede, por ejemplo, ser fuente de problemas; como también lo es el hecho de que, en estas circunstancias, “se termina de mezclar nuestro entorno digital personal y el profesional, y eso hace que los riesgos personales que podamos correr como ciudadanos, se entremezclen con los riesgos empresariales”, recuerda Moral. Usar un gestor de claves seguras como 1Password, cambiarlas cada tres meses y no compartirlas con nadie son solo algunas de las medidas que pueden tomarse para aumentar la seguridad del teletrabajo: “Es importante tener el router actualizado con la última versión de firmware, conectarse únicamente a una red wifi de confianza y, si es posible, a la VPN de la empresa. Además de asegurar que el antivirus está actualizado, también es recomendable contar con una autenticación multifactor siempre que sea posible, que nos permita confirmar el inicio de sesión a través de mail o mensaje de texto”, recuerda Del Pozo.

Los hackers éticos y otros perfiles

La escasez de recursos en el mercado hace que, en general, los numerosos perfiles de ciberseguridad que existen tengan una demanda elevadísima: desde aquellos de corte más legal, que trabajan aspectos relacionados con la privacidad y la Ley General de Protección de Datos (LGPD), hasta los profesionales que se dedican a garantizar la integridad de los sistemas de una determinada empresa. Son los llamados hackers éticos, entre los que sobresalen los “equipos rojos” (red teams) y los “equipos azules” (blue teams): “Los primeros son los encargados de atacar un sistema y encontrar sus debilidades, mientras que los segundos son como la antítesis de los primeros, y se encargan de la defensa frente a los ataques”, explica Rodríguez. “Lo correcto es que un mismo profesional trabaje en ambas áreas, alternando su papel. Lamentablemente, en España se sobrecontrata a los primeros y no se da la debida importancia a la defensa”.

Para Del Pozo, a día de hoy la ciberseguridad se aborda con una visión integral, “por lo que los perfiles que aportan una visión amplia de la seguridad y de su integración con el resto de funciones son y serán muy demandados”. Uno de ellos es el que proporcionan los arquitectos de seguridad, que son capaces de definir los escenarios tecnológicos en los que las plataformas de seguridad trabajan de una manera integrada con el resto de sistemas. “En un plano algo menos técnico, los consultores de seguridad son también muy requeridos, por su capacidad de alinear la estrategia de seguridad con los requerimientos de negocio”, añade.

¿Cómo estudiar ciberseguridad?

Criptografía, ciberderecho, informática forense, ciberinteligencia, hacking ético... De acuerdo con los catálogos actualizados en 2020 por el INCIBE, en la actualidad existen ya 129 centros educativos en España que ofertan numerosas formaciones relacionadas con la ciberseguridad, ya sean cursos de especialización, ciclos de Formación Profesional, grados o posgrados como los organizados por la Universidad de León, con la colaboración del INCIBE, o el máster en Data, Complex Networks & Cybersecurity Sciences de la URJC, que dirige Santiago Moral y que incluye ciberseguridad y ciencia de datos.

“Como todos los sistemas generan muchísima información, lo que hacemos es observar lo que está sucediendo para poder tomar decisiones muy rápidamente. Aplicamos inteligencia artificial y aprendizaje automático a los datos que están alrededor de la ciber, para poder reaccionar online”, cuenta Moral. El máster consta de cinco módulos que pueden cursarse en su totalidad o separadamente, según los intereses académicos o profesionales del estudiante: introducción a la ciberseguridad, programación en Python, un módulo de dos meses y medio sobre ciberseguridad que incluye criptografía y arquitectura de seguridad, ciencia de datos y prácticas.

Aunque el itinerario habitual contempla estudiar primero un grado que aporte la base técnica (ya sea por medio de una ingeniería informática o de telecomunicaciones) y luego un máster que aporte la especialización deseada, también hay espacio para muchas otras carreras: desde abogados y periodistas hasta, por ejemplo, economistas o sociólogos. “Por ejemplo, para todos los temas de difusión y concienciación, necesitamos buenos comunicadores. Un periodista, claro, no cogerá tu PC para securizarlo, pero sí será un experto capaz de comunicar de manera adecuada la problemática de la ciberseguridad”, sostiene Moral. “Pero también necesitamos economistas que sean capaces de entender los ciclos presupuestarios de la ciberseguridad, e incluso sociólogos, para entender la mentalidad de los atacantes”.

La formación en tecnología es, según los expertos consultados para este reportaje, de vital importancia para que un país pueda mantenerse en la vanguardia tecnológica. “Si la batalla por el hardware está perdida en Occidente (Oriente ha ganado por goleada), en el software, la inteligencia artificial, los servicios y la fabricación automática aún podemos dar la batalla”, apunta Fernando Rodríguez. No parece ser este el caso de España: “No hay un plan nacional de fomento de las disciplinas STEM o de las tecnologías en general. No se invierte nada en IA; no se hace nada por retener a los investigadores españoles, ni para atraer a los de fuera”, añade. IBM, por su parte, cuenta con varios proyectos centrados en ofrecer formación en nuevas tecnologías, como la plataforma gratuita Open P-Tech, para adquirir competencias clave, o la iniciativa Watson va a clase, para acercar la IA y las nuevas tecnologías a los alumnos y profesores de los centros de Bachillerato y FP de toda España.

‘Se genial en Internet’, una iniciativa para enseñar a los niños buenos hábitos digitales

Hoy en día, el aprendizaje de pequeños y adolescentes no depende solo de la familia y de los profesores, sino también de lo que consultan y consumen en Internet. Los menores disponen de una gran cantidad de información y recursos digitales, y por eso resulta esencial dotarles de todos los recursos necesarios para un uso seguro de la Red. “La educación digital es uno de los pilares fundamentales en la seguridad de los menores (…). Con este programa, se pretende llegar todavía a más niños y jóvenes para que esta formación sea más profunda y global”, señala Francisco Pardo, director general de la Policía Nacional.

El proyecto Sé genial en Internet es una colaboración de Google, la Policía Nacional, el INCIBE y la FAD para ayudar a padres y educadores a fomentar en los pequeños buenas prácticas que les permitan desenvolverse por Internet de una manera respetuosa, crítica y responsable. Incluye juegos educativos diseñados por expertos en seguridad digital y recursos para los mayores, todo articulado en torno a Interland, una experiencia lúdica interactiva que aborda cinco principios básicos en Internet: compartir con cuidado, no caer en trampas, proteger tus secretos, ser amable y, si se tienen dudas, siempre preguntar.

Se adhiere a los criterios de The Trust Project Más información >

Más información