El gobernador del Banco de España, José Luis Escrivá, aprovecha su intervención en la inauguración del Aula de Ciberseguridad y Criptografía post-cuántica de INCIBE-UAX-UniOvi, "La ciberseguridad desde la perspectiva de un banco central", para dejar muy claro que los bancos están "muy preparados" para afrontar la avalancha de ciberataques.
Cita un estudio de IBM que asegura que el 18,20% de los ciberataques que se producen en el mundo tiene como objetivo al sector financiero. Y otro de Verizon: el número de incidentes que ha registrado el sector se ha multiplicado por tres desde 2017 hasta 2024.
"Esto no debe sorprendernos porque a medida que nos vayamos digitalizando y descansando más en instrumentos tecnológicos avanzados, es más lógico que tengamos incidentes y problemas que hay que gestionar", explica.
Pero insiste en que los bancos están "verdaderamente sensibilizados" de estos riesgos que suponen los ciberataques. Una encuesta de marzo de 2024, realizada por la Autoridad Bancaria Europea (EBA, por sus siglas en inglés), señala que el 80% de las entidades identifican el ciberriesgo como uno de las principales amenazas operacionales, un porcentaje que hace tres años era del 50%."Por eso los bancos están muy preparados", reitera.
Echa mano del Cyber Benchmark 2024 para proclamar que el sector financiero está por delante de cualquier otra actividad de la economía en cuanto a su nivel de madurez e inversión en ciberseguridad. "Es el sector que más invierte en ciberseguridad, que es invertir en hardware, software y, sobre todo, en capital humano", destaca.
Este esfuerzo va acompañado por el que realizan los propios bancos centrales y supervisores del sistema financiero. Porque el gobernador del Banco de España admite que el reglamento europeo DORA también supone retos significativos para los supervisores, que tienen que aumentar sus equipos especializados en evaluar riesgos tecnológicos y de seguridad: "Tenemos que acompañar también desde el lado del supervisor, saber cómo hacer pruebas de resiliencia, ser capaz de evaluar y conocer los sistemas de respuesta de las entidades, es todo un reto".
Semperis: los ciberataques aprovechan vacaciones y fines de semana
Por otra parte, Semperis, compañía especializada en ciberresiliencia basada en identidad, alerta de las sorprendentes lagunas en las defensas contra ciberataques por la reducción del personal de seguridad durante las vacaciones y los fines de semana. En España, el 75% de las organizaciones que sufrieron ataques de ransomware lo durante un fin de semana o festivo. Si bien es cierto que el 95% de las organizaciones de España mantiene un Centro de Operaciones de Seguridad (SOC) las 24 horas del día los 365 días del año, el 84% reducen su personal de seguridad en fines de semana y festivos hasta en un 50%. El motivo de esta reducción de personal de seguridad se debe, en el 65% de los casos, a la conciliación entre la vida laboral y personal.
"Durante las vacaciones y los fines de semana, las empresas no deben relajar sus defensas, sino que deben aumentar su vigilancia frente a los ciberataques. Los cibercriminales a menudo aprovechan estos periodos con personal reducido para lanzar ataques de ransomware. La manera más efectiva de protegerse frente a estas amenazas es mediante una mayor concienciación y un plan exhaustivo de respaldo y recuperación de los datos que se pueda implementar rápidamente cuando sea necesario“, señala Ray Mills, director regional para Iberia de Semperis
Los ciberataques son más frecuentes durante los periodos de distracción empresarial. Además de las vacaciones y festivos, acontecimientos como fusiones, adquisiciones o salidas a Bolsa. Así, el 39% de las empresas fueron víctimas de un ataque de ransomware después de un evento empresarial relevante.
“Durante eventos importantes, la prioridad de la empresa es completar el evento, no la seguridad”, indica Simon Hodgkinson, consejero estratégico de Semperis y exdirector de seguridad informática de bp.
En cuanto al tiempo que tardaron las empresas que sufrieron un ataque de ransomware en recuperar una funcionalidad informática mínima, un 23% de las organizaciones lo hizo en menos de 5 horas, el 49% tardaron entre 5 horas y un día, y un 2% de las organizaciones tardaron más de 7 días.
Pandora FMS: seis empresas del Ibex, atacadas
Hasta seis grandes empresas del IBEX 35 han sido víctimas de ciberataques en menos de un año. Seis compañías que confirmaron que la agresión había supuesto robo de datos y caídas de sistemas, lo que refleja la relevancia del ámbito de la ciberseguridad en el sistema nacional. “Y eso son solo ciberataques que resultaron exitosos, porque reciben muchos más”, indica un análisis de Pandora FMS.
Las compañías que han sufrido estos ciberataques son de diferentes sectores, lo que refleja que es su condición de empresa estratégica la que genera interés en los ciberdelincuentes. Por ejemplo, el Banco Santander. “El objetivo habitual suele ser el de pagar un rescate para reiniciar los sistemas y, en muchos otros casos, robar datos para de los usuarios para venderlos en el mercado negro”, explica Sancho Lerena, CEO de Pandora FMS. Al Banco Santander se suman grandes compañías como Endesa, Iberdrola, Repsol o Telefónica. Incluso Aena fue víctima recientemente al filtrarse datos de autoridades, reflejando el poder que tienen los datos y la importancia que supone para los ciberdelincuentes acceder a ellos.
La respuesta no es otra que la de invertir en sistemas y, muy importante, en personal cualificado. “En España existen soluciones lo suficientemente potentes como para reducir este tipo de agresiones”, subraya Lerena. “Falta invertir en sistemas que generen estabilidad en las infraestructuras y en personal cualificado”. Es habitual que las empresas cuenten con muchos sistemas anticuados que no crear el entorno seguro que se necesita. También que, al no tener los sistemas adecuados, la propia plantilla y el personal indicado acaban saturándose.
“Monitorizar los sistemas y tener una visión general de toda la infraestructura IT es fundamental. La tecnología permite ver si hay algún comportamiento inusual y así dar la oportunidad de anticiparse a un contagio masivo”, detalla Sancho Lerena. Además, la incorporación reciente de nuevas tecnologías como la Inteligencia Artificial mejoran aún más estos sistemas de control frente a ciberataques. “El ciberataque no sucede solo por un fallo de ciberseguridad, también por errores en la configuración o por propios huecos que deja la compañía en su infraestructura”. Los ciberataques sufridos por las grandes empresas españolas confirman lo que vienen alertando: que el entorno económico nacional debe aumentar su inversión y preparación para estas situaciones. La gestión de datos irá a más y la tensión geopolítica aumentará el riesgo de recibir este tipo de agresiones.
Seres, primera empresa española con certificado NIS2
Seres, compañía especialista en soluciones de transformación digital de los procesos de compras y ventas, ha sido reconocida como la primera empresa en España en conseguir el certificado de cumplimiento de la Directiva NIS2 (Directiva (UE) 2022/2555) de Applus+, marcando un hito histórico en el compromiso con la ciberseguridad y la protección de los datos de sus clientes.
La Directiva NIS2, aprobada formalmente por la Unión Europea (UE) en noviembre de 2022, tiene como objetivo crear un marco común de ciberseguridad en los Estados miembros, armonizando las medidas y los enfoques para proteger las infraestructuras digitales y ampliando el alcance de las obligaciones de seguridad a una variedad de sectores críticos, entre los que se encuentra el sector de la gestión de servicios TIC.
Esta Directiva requiere que las empresas adopten medidas más estrictas para proteger sus redes y sistemas de información, incluyendo la adopción de políticas de gestión de riesgos, medidas de seguridad técnica y organizativa, y la obligación de realizar auditorías regulares. También la exigencia de notificar incidentes de ciberseguridad en un plazo de 24 horas, cooperar con las autoridades competentes para fortalecer la respuesta ante ciberataques, evaluar y gestionar los riesgos a lo largo de la cadena de suministro e implantar programas de formación y concienciación para sus empleados sobre la ciberseguridad, entre otras obligaciones.
"En Seres, nuestra prioridad es la seguridad de nuestros clientes. Obtener el certificado de cumplimiento de la Directiva NIS2 demuestra nuestro compromiso de ir más allá de las exigencias del mercado en materia de ciberseguridad y proporcionar a nuestros clientes el entorno más seguro para la gestión de su información", afirma Luis López, director de IT Service y Seguridad.