Aumentan los ciberataques en pymes catalanas: los expertos recomiendan denunciar y prepararse

Los ciberataques contra pequeñas y medianas empresas (más vulnerables ante estos delitos) han aumentado pero eso no se traduce en más denuncias, han explicado a Europa Press fuentes de la Generalitat, de patronales y expertos, que valoran la futura ley europea de ciberseguridad pero creen que las pymes deben activarse.

El informe que precede a la propuesta de la ley, que se prevé aprobar en comisión del Parlamento Europeo este noviembre para llegar al Pleno en 2024, explica que las pymes "son las menos preparadas y disponen de menos recursos para protegerse y son incluso menos conscientes de que pueden ser objeto de tales ataques".

También apoya esta reflexión el director de Tecnología e Innovación de Pimec, Andreu Bru, que asegura que en las pymes "falta sensibilidad y conocimiento de lo que representan las amenazas de la ciberseguridad, y, cuando no lo hay, no hay inversión y no es una prioridad".

Bru valora la iniciativa europea y también las ayudas públicas para la prevención, y sobre todo, las alegaciones que han hecho algunos países para defender la 'ciberseguridad gestionada', es decir, la conexión a una red central que reciba las alarmas ante un ciberataque, sin sustituir del todo a los tradicionales antivirus.

CUESTIÓN DE REPUTACIÓN

El directivo de la patronal catalana advierte de que la ciberdelincuencia es "un gran negocio", pero que solo 2 de cada 10 empresas denuncia (dice en base a datos que le han proporcionado los Mossos d'Esquadra), por miedo a que su reputación quede afectada.

Que la concienciación de las pymes es la base de la prevención ante estos delitos es algo que comparte el director Desarrollo Sostenible de Foment del Treball, Salvador Sedó, que indica que la patronal lo sigue muy de cerca porque les "preocupa mucho" pues afecta cada vez más a pymes, las cuales, a diferencia de las grandes, no tienen al día sus sistemas de prevención.

Sedó advierte de que "hay pequeñas empresas, una clínica dental o un restaurante, que manejan datos bancarios susceptibles de ataques", y hasta ahora las pymes creían que estos delitos no iban con ellas, por lo que tampoco sabían a quién acudir: por eso Foment, en contacto con la Agència de Ciberseguretat de Catalunya de la Generalitat, ofrece asesoramiento e instrumentos de prevención.

AGÈNCIA DE CIBERSEGURETAT

Precisamente desde la Agència de Ciberseguretat de Catalunya, su director, Tomàs Roy, ha explicado a Europa Press sobre las normas europeas: "Han pasado de regular las infraestructuras críticas de las que dependen nuestra sociedad --proveedores públicos-- a dar más responsabilidad a las empresas" para crear un ecosistema seguro donde se trabaje conjuntamente.

Roy cree que las pymes deben "activarse para garantizar su autoprotección. Ya no vale eso de que 'Eso no me pasará", y considera que hablar de los incidentes debe dejar de ser un tabú.

También recomienda a las empresas capacidad de gestión de la ciberseguridad, formación y actualización: "Vamos hacia un mundo digital más cuidado y ordenado".

Salvador Sedó (Foment) distingue entre los ataques que se traducen en chantaje (exigen un rescate o compensación económica por no divulgar datos sensibles) de aquellos que buscan la notoriedad del hacker.

Sedó coincide con Pimec en el aumento de los casos que afectan a las pymes y en los ciberdelitos que no se denuncian, principalmente el phishing, mientras que aquellos que comportan el bloqueo o la exigencia de un rescate sí se denuncian.

REGATEAR EN INVERSIONES 

El directivo de la patronal también considera que la futura legislación europea es un avance, al igual que el empresario y directivo de la Associació d'Empreses d'Informàtica i Tecnologies de la Comunicació de Catalunya (Aseitec) Carles Flamerich, que la ve necesaria: "Es mejor proteger que tener que recuperar, y para eso es necesario cambiar las maneras de trabajar, porque no hay concienciación de los peligros que representa la ciberdelincuencia".

Flamerich explica que las empresas más afectadas son las pertenecientes a los ámbitos de salud, alimentación, así como las administraciones públicas, y avisa de que los ciberdelincuentes "no son los típicos jovencitos; son muy inteligentes y causan pérdidas a las empresas de entre 50 y 500.000 euros".

Entre los casos que este experto ha atendido desde su empresa destaca el rescate de medio millón de euros en bitcoins exigido a una empresa atacada, y critica que, en un ámbito tan sensible, "se regatee dinero en prevención", cuando a su juicio, es necesario invertir en el análisis de la protección de la empresa, formación y tecnología.

El abogado experto en ciberseguridad y socio del despacho Círculo Legal Madrid, Felipe García, afirma que las empresas no están preparadas, sobre todo las pequeñas, porque "no han tenido en cuenta en su planificación estratégica un programa de prevención de ataques. No hay normalmente inversión ni estudios sobre el impacto de la ciberdelincuencia en su cuenta de resultados y su reputación".

A su juicio, lo más importante es invertir en programas de formación, ya que "en el 95% de los casos, son los trabajadores quienes evitan los ataques", y subraya que los clientes de las pequeñas empresas van a exigir cada vez más garantías de protección ante estos delitos.

También recomienda en primer lugar hacer un análisis del riesgo que tiene la empresa de ser ciberatacada, y poner el foco en procedimientos y medidas técnicas para protegerse.

OBLIGACIONES LEGALES

"Al final, las empresas están envueltas en múltiples obligaciones legales, como la protección de datos y de la propiedad intelectual, pero no se pone el foco en la ciberseguridad", advierte García.

El abogado considera que la futura norma europea es "sin duda, un buen primer paso, porque los Estados de la UE saben que, sin una protección estratégica, pueden ver atacados sus organismos oficiales. Ya no son solo ataques a pequeñas y grandes empresas".

Por eso, valora la resiliencia y las medidas para fomentar la cultura de la seguridad que promoverá esa ley en todos los sectores, tanto públicos como privados.