La ciberseguridad está en la agenda de las empresas, pero, en su mayoría, no de manera proactiva. La implementación de un modelo preventivo, integrado y transversal y orientado al negocio es aún una asignatura pendiente para un gran número de compañías, generalmente pymes. A pesar de que la pandemia evidenció que muchas organizaciones tenían graves grietas de seguridad e hizo que empresas y autónomos tomaran medidas, hay hábitos que no se han modificado, como permitir o alentar el uso de los dispositivos personales -móviles, tabletas, portátiles- de los empleados para realizar tareas laborales, dentro y fuera del lugar de trabajo. “Con el uso de dispositivos personales, que no únicamente ocurre cuando se está teletrabajando -que también-, el perímetro del tráfico de los datos y la información se amplía y se generan puntos de acceso vulnerables”, expone Rosa Ortuño, directora de OptimumTIC. Como experta en la materia, Ortuño advierte de la ausencia de formación sobre ciberseguridad para empleados: “si es obligatorio formarse en riesgos laborales, el conocimiento sobre ciberseguridad es tanto o más importante para trabajadores y empresarios”, insiste la fundadora y directora de OptimumTIC, una empresa de servicios de gestión integral de la ciberseguridad (preventiva, gestionada y reactiva), de sistemas e infraestructuras y de asesoramiento en el cumplimiento normativo.

Pese a que después de la pandemia es más habitual que las empresas estabilicen sus sistemas de seguridad, “se quedan en la estricta vigilancia de los riesgos, si los hay, mediante la instalación de antivirus, entre otros, pero no construyen los muros de una real fortaleza de seguridad reactiva”, reflexiona Ortuño, a la vez que apunta a la necesidad de ir un paso más allá e instalar un anti-malware, que actúa contra un abanico más amplio de infecciones virales y, sobre todo, más actualizado. “Es una herramienta que todos deberíamos tener instalada en el móvil personal, lo usemos o no para el trabajo, porque cualquier persona con un móvil, un portátil, una tableta, es un objetivo para los hackers y un anzuelo para atacar sus datos (phishing); nos observan constantemente, están expectantes a que tengamos un desliz”, determina Ortuño, con un anti-malware instalado en su móvil personal; un ejercicio que “deberíamos hacer todos”.

En el caso de las empresas, que tienen decenas o centenares de dispositivos interconectados, "algo que irá a más con el IoT (Internet de las Cosas)", lo acertado es disponer de un proceso circular basado en mejorar constantemente los sistemas para reducir la superficie y los vectores de ataque a los que están expuestas. “Aunque el mejor escudo informático que pueden crear, insisto, es formar a la plantilla en ciberseguridad”, En OptimumTIC, este propósito se ha traducido en el diseño, instalación y supervisión de un Security Operations Center (SOC) que, con inteligencia artificial, se alimenta de los registros anómalos que pueden afectar a la seguridad de una empresa y que permite detectar cualquier tipo de ataque o comportamiento, sea normal o anómalo. En definitiva, se trata de contar con una infraestructura de seguridad de la información con herramientas cortafuegos (firewalls), sistemas de detección y prevención de intrusiones, cifrado de datos, autentificación de usuarios, políticas de contraseñas seguras, sistemas de copias de seguridad. Estas medidas hay que ir supervisándolas “para detectar posibles vulnerabilidades” mediante auditorías periódicas. Otra advertencia: la inmediatez -respuestas rápidas a mensajes o la consulta a links sin comprobar su procedencia, por ejemplo, también ha incrementado nuestra vulnerabilidad; “no nos fijamos qué es lo que estamos ‘aceptando’”.

España es uno de los países con más número de dispositivos activos vinculados al Internet de las Cosas (IoT), “lo que nos hace más vulnerables” y por lo que, desde las agencias de seguridad, “batallamos para que la Unión Europea determine que estos aparatos tienen que estar capados cuando salen al mercado”; como ocurre en los Estados Unidos donde todas las comunicaciones van con códigos cifrados; “en Europa los códigos son más vulnerables; Europa es un mercado inseguro, ha apostado por la informática friendly y muy distribuida”. Y España va a remolque, “aunque se ha avanzado mucho desde la ley de 2018 de seguridad de las redes y sistemas de información, pero no es suficiente”, añade. Los datos lo evidencian: España se sitúa como el cuarto país en Europa con más ataques al sector industrial, con un 26,3%, por detrás de Portugal, Estonia y Letonia, según el estudio ICS threat landscape report, elaborado por Kaspersky. Los scripts maliciosos y las técnicas de phishing fueron los ciberataques más frecuentes, suponiendo el 11,6% del total. Les siguen los troyanos, backdoors y keyloggers, con un 8,6%, y los de denegación de servicio, con un 7,6%. Los scripts se utilizaron para recopilar información, hacer seguimiento de actividad, la redirección a sitios web maliciosos o la descarga de software para minar criptomonedas sin que la víctima lo sepa.

Además, desde este 2024, en los Estados Unidos las compras online solo se pueden realizar si el usuario se autentifica -usa nombre, contraseña y valida su personalidad mediante otro dispositivo distinto al que usa para realizar la tarea informática-. La ley española de comercio electrónico también lo establece, pero marcó una moratoria y aún no es obligatorio, “un error”, según Ortuño.

Rosa Ortuño, fundadora y directora de OptimumTIC. / Toni Santiso / OptimumTIC

OptimumTIC, fundada en 2009, es partner certificado de una de las principales empresas estadounidenses de ciberseguridad Palo Alto Networks -presente en 150 países y con más de 70.000 clientes- y trabaja para otros fabricantes de software -estadounidenses e israelís- como Fortinet Netskope, Proofpoint, SentinelOne, Tanium, Recorded Future, BlueVoyant o GRC One Trust. La “confidencialidad” de su negocio le impide dar datos sobre los ataques más importantes que ha tenido que resolver.

En opinión de Rosa Ortuño, medir la ciberseguridad por su costo económico es un grave error. “Una compañía con 500 empleados puede tener garantizada su seguridad informática por unos 800 euros al mes, la horquilla estaría entre los 500 y los 1.000 euros mensuales, si trabaja con un proveedor de servicios, no únicamente de herramientas informáticas”, concreta Ortuño. OptimumTIC, a la que Ortuño autodefine como "una boutique tecnológica" que trabaja para el sector privado, tiene más de 60 clientes de la alimentación, farmacéuticas, comercio y moda -incluso la nupcial-, inmobiliarias o despachos de abogacía. 

En 2024, será un ejercicio de consolidación del negocio para OptimumTIC. La firma ha crecido mucho a raíz del aumento de la demanda pospandemia y “ahora toca estabilizar la plantilla en torno a una treintena de personas y crecer orgánicamente con la comercialización de los servicios y del Security Operations Center (SOC). Por ello, las previsiones económicas apuntan a una facturación de aproximadamente los 4,5 millones de euros y las cifras del segundo semestre de 2023 “apuntan que vamos bien”.

Rosa Ortuño, que se define como “evangelista, visionaria y defensora de la ciberseguridad desde hace más de 25 años”, realizó parte de su carrera profesional en los Estados Unidos y actualmente es presidenta de honor de CATEI (Asociación Catalana de Empresas de Tecnología e Informática), miembro de la junta de Dona TIC, presidenta del consejo asesor de GrausTIC, vicepresidenta de ISACA Chapter Barcelona, miembro de la DCA (Digital Catalonia Alliance enCiberseguretat), y colaboradora formadora en ESADE en materia de Ciberseguridad, entre otras responsabilidades.