La profesionalización de la ciberdelincuencia avanza con paso firme y alcanzará un nuevo nivel de madurez en 2024 debido en buena medida a la reciente aparición de tecnologías disruptivas como la Inteligencia Artificial. Con un tema tan candente y trascendente para la seguridad no solo de las empresas, sino también de la ciudadanía, una vez más, y van seis encuentros en los últimos tres años, Cepsa ha logrado reunir en torno a una mesa de diálogo a un nutrido grupo especialistas que han tratado de arrojar luz sobre los temas relevantes en la materia y los retos a los que se enfrenta la sociedad en la actualidad. El marco, el Club Oliver de la capital chicharrera; el tema en esta ocasión, La ciberseguridad, tu mejor aliada en la era digital.

La conclusión fundamental, como mensaje enviado al público presente fue que, si no se ha hecho, ahora es el momento de que las organizaciones inviertan en su seguridad, ya que los avances de los últimos años son solo el principio de un futuro en el que los ciberdelincuentes van a desarrollar métodos cada vez más sofisticados para lograr sus objetivos. Pero también se concluyó que hace falta mayor concienciación colectiva sobre la necesidad de la ciberseguridad.

El coloquio, moderado por el comunicador Miguel Ángel Daswani, se inició con la intervención de Javier Galindo, responsable de Ciberseguridad de Cepsa, quien, hizo hincapié en la necesidad de que tanto empresas como ciudadanos conozcan los riesgos a los que se exponen, así como las buenas prácticas para navegar de forma segura por Internet, al igual que los tienen en cuenta cuando se ponen al frente de un volante. En el caso del mundo cibernético, Galindo recomienda “Las tres P: Prudencia, Pensar y Proteger, con las que podemos mitigar la mayoría de los riesgos. Prudencia vigilando dónde navegamos; pensar antes de actuar cuando nos llegan archivos o enlaces, dudar si debemos hacer clic o descargar un adjunto; y proteger nuestra información porque en muchas ocasiones no sabemos quién la puede estar usando al otro lado del ordenador”.

Carlos Martín, Ylenia Lantigua y José Manuel Fernández-Sabugo.

Galindo repasó también las amenazas más frecuentes, en el panorama actual como el malware, el ransomware o la suplantación de personas mediante distintas técnicas como el phishing (email), vishing (llamadas de voz), o el smishing (SMS). Advirtió asímismo que hoy en día la Inteligencia Artificial (IA) ya permite suplantar a personas y que, ante cualquier duda, lo mejor es la doble verificación empleando un canal alternativo. Además, recomendó usar gestores de contraseñas para reducir la vulnerabilidad de los servicios que consumimos en internet “si en algún sitio se produce un ataque, como el reciente del banco de Santander, y los ciberdelincuentes acceden a alguna de nuestras contraseñas, la probabilidad de que esa contraseña les permita acceder a muchos otros sitios donde hemos usado la misma es enorme. Por tanto, la recomendación básica es no usar nunca la misma contraseña para diferentes sitios y usar gestores que facilitan crear una distinta muy segura para cada sitio”.

“Uno de los pilares de Cepsa siempre ha sido la seguridad en todos los aspectos, la física principalmente, sin embargo, a día de hoy, con unos 11.000 empleados enfrentados a diario a este tipo de decisiones, la ciberseguridad se ha convertido en una rama muy fuerte de la política de seguridad de la compañía, con charlas frecuentes a toda la plantilla, y con un equipo dedicado al diseño de arquitecturas seguras de red, y a la protección de nuestros entornos industriales”.

Por su parte, Máximo Hernández, responsable de Sistemas de Información de Cepsa en Canarias, explicó las distintas operativas de la compañía, en materia de ciberseguridad desde la perspectiva de las plantas industriales, distinguiendo las redes informáticas tradicionales de las redes industriales, que disponen de servidores redundantes resguardados en edificios bunkerizados. Hernández hizo hincapié en la Ciberseguridad OT (Operational Technologies) implementada en las plantas, “basada en un ambicioso programa que incluye arquitecturas seguras, monitorización continua desde el centro de operaciones de seguridad, nuevos procesos y procedimientos, y sesiones de concienciación en ciberseguridad específicas para el personal de nuestros sites”.

Javier Galindo ( izda.) y Máximo Hernández.

Mesa de diálogo

A continuación, se celebró la mesa de debate donde los participantes ofrecieron interesantes puntos de vista sobre cuáles consideran que son actualmente las principales amenazas cibernéticas y cómo se gestionan en los distintos ámbitos de la sociedad. También debatieron sobre cómo evitar fácilmente algunos riesgos mediante pautas básicas y, todo ello, a través de ejemplos reales y consejos prácticos.

Héctor Reboso, director de Binter Sistemas, aseguró que la ciberseguridad en las organizaciones con sistemas de información complejos es holística. Trabajamos en un marco de referencia, estandar internacional, marco de buenas prácticas. “En Binter hay un centro de operaciones de ciberseguridad, monitorizando todos los impactos, que intentamos detectar precozcmente y reaccionar antes de que ocurra”. “La seguridad cibernética confluye con la física, porque está demostrado que la gran mayoría de los ataques proviene del interior porque el ser humano es el eslabón más débil, y el hacker intenta optimizar el tiempo, si pueden suplantar a alguien le es menos fatigoso que estar horas explotando vulnerabilidades, de tal manera que le resulta menos complicado engañar a un empleado, para obtener accesos”.

Deepak Daswani, hacker, experto en ciberseguridad, conferenciante y formador, aseguró que hoy en día, cuando se sabe que sobre las empresas se ataca diariamente, el concepto que se está desarrollando no es tanto el de la alerta temprana sino la respuesta rápida ante los incidentes. Daswani quiso dejar clara la diferencia entre un hacker y un ciberdelincuente. “Mi libro se llamó “La amenaza hacker” porque se empeñó la editorial, porque si no, no se vendía, pero ya llevamos años diferenciándolo de la ciberdelincuencia. Un hacker es una persona curiosa. En internet hay mucha basura, como la hay en el mundo real, y el hacker, esa persona curiosa, es un concepto que se puede aplicar en todos los lados de la vida. Los hackers no éticos son ciberdelincuentes”.

Ovidia Soto, Héctor Reboso y Deepak Daswani.

Carlos Martín, gerente de los Servicios Informáticos del Instituto de Astrofísica de Canarias explicó por su parte que los centros de investigación son peculiares. ”La investigación requiere de mucha colaboración, son centros abiertos, y colaboramos con muchos centros e investigadores con diferentes niveles tecnológicos. Aunque hay medidas de seguridad básicas a nivel personal, aplicando el sentido común, ocurre que no puedes exigir a centros con los que te conectas en remoto que te explique cuáles son sus medidas y si siguen todos tus protocolos, por lo que realmente es una preocupación que un fallo en ese ámbito impida el uso de un telescopio, aunque sea durante un día, porque no poder observar una noche con uno de los telescopios puede significar la pérdida de cientos de miles de euros”. “Aunque tenemos un marco de referencia, un proceso integral que es circular y que tiene sus fases, lo que más me preocupa es precisamente que este trabajo deja de dar sus frutos en el momento en que una o dos o tres personas dejen de comportarse de manera segura. Es por eso que pienso que la seguridad es una postura colectiva”.

Preguntada por los riesgos de la IA con el alumnado, Ovidia Soto, profesora del Máster en Tecnología Educativa y Competencias Digitales de la Universidad Internacional de La Rioja, aseguró que no hay que prohibir la AI, sino usarla de forma responsable. “En mis clases uso grupos de trabajo donde empleamos la AI, que aporta soluciones como un grupo más. Al final del trabajo discutimos sobre qué aportaciones pueden hacer a las respuestas que nos ha dado la Inteligencia Artificial al problema planteado. Se trata de usarla de forma correcta y que suponga una ayuda”. Además, aseguró que “los nativos digitales no existen; de hecho, hay publicaciones que los llaman huérfanos digitales, hay que hacer mucha didáctica porque, aunque sepan usarlo de manera básica, están muy expuestos a los riesgos de la exposición innecesaria”.

Ylenia Lantigua, directora de Operaciones y Procesos de Hospiten, explica cómo ha ido variando el sistema de los hospitales la gestión de las historias de los pacientes, los servidores que ahora mismo tienen toda la información de sus pacientes se sitúan en Alemania, con backups en Holanda… “Equilibrar la operativa con la seguridad cibernética es un problema. Pero prueba de que hay conciencia en la población sobre los riesgos es que cuando enviamos un sms de confirmación de cita, solo el 30% de los pacientes pinchan en el enlace. Mientras tanto, nosotros tenemos que realizar operativas de doble y triple verificación porque recibimos a diario miles de ataques e intentos de suplantación”.

Por su parte, y como colofón al encuentro, José Manuel Fernández-Sabugo, director de Cepsa en Canarias, aseguró que la implantación de la ciberseguridad es un elemento fundamental de la política de seguridad de Cepsa y que, puesto que es un asunto colectivo, lo fundamental es explicar tanto a proveedores como a empleados el porqué de las precauciones que se les exigen. “El reto hoy en día es transformarnos. Tenemos que incorporar el color verde”, comentó haciendo un guiño al cambio que están realizando para la transición ecológica, “y para dar ese salto tenemos que continuar con la digitalización. Una refinería arroja al día 170.000 millones de datos, y cada dato es una ventana abierta para que alguien pueda hacer el mal”. Aunque afirmó estar razonablemente tranquilo por todas las medidas de ciberseguridad que se adoptan en la compañía, mostró su preocupación ante los comportamientos poco éticos y la ciberdelincuencia, “problemas ante los que hay que estar siempre en alerta”.