Esta mañana la Asociación Española de Empresas de Consultoría (AEC), la patronal del sector, ha reunido a algunas de sus empresas asociadas, en concreto a once compañías junto a representantes del Instituto Nacional de Ciberseguridad (INCIBE) y del Real Instituto el Cano.
En este sentido, José María Beneyto, presidente de la AEC, ha inaugurado la jornada asegurando que "la seguridad de los datos, los sistemas y las infraestructuras críticas son un pilar esencial para la competitividad y la sostenibilidad de nuestras empresas y administraciones". Es en este punto donde, según él, las consultoras ofrecen su experiencia para anticiparse a los riesgos, aportar tranquilidad a la sociedad y desarrollar "estrategias de protección y resiliencia".
Félix Arteaga, investigador principal de Seguridad y Defensa en el Real Instituto Elcano, ha hablado sobre geopolítica, ciberdefensa y ciberdiplomacia. Ha lamentado la existencia de una "sobrerregulación" y ha pedido al estado que protega a las organizaciones no solo con ciberdefensa, sino también con ciberataque.
"El cumplimiendo de la RGPD le cuesta de media a una empresa pequeña como medio millón de euros y más de 10 a las grandes", ha destacado el experto.
A Arteaga le ha seguido Luis Hidalgo, responsable del gabinete de dirección de INCIBE. Su mensaje se ha centrado en la falta de profesionales del ámbito de la ciberseguridad.
También ha dado cifras respecto al año pasado: 700 hechos relevantes contabilizados, más de 83.500 incidentes gestionados, 22.000 empresas españolas afectadas, 56.000 ciudadanos impactados, más de 300 tiendas online cerradas por fraude y 621 casos de ransomware.
Las consultoras, ante los desafíos de los cibermalos
Posteriormente, han hablado once socios de la patronal. El primer bloque se ha dedicado a la integración de la ciberseguridad en la transformación digital de las empresas. La apertura la ha realizado Agustín Muñoz-Grandes, de Accenture. Su mensaje ha sido de alerta, ya que los cibermalos "ya no son hackers, son organizaciones, grupos de estados-nación. Los incidentes de regulación han afectado a la reputación, corización en bolsa, etc".
Xavi Gracia, socio responsable de Ciberseguridad de Deloitte, ha puesto sobre la mesa que los servicios esenciales, críticos y sectores relevantes están siendo objetivo de la ciberdelincuencia. "Se está intentando elaborar toda una serie de medidas que van más allá del CISO. Las comisiones de tecnologia están preguntando quién tiene la responsabiluidad ejecutiva en ciberseguridad, muchas veces las respuestas no llegan, hay un GAP importante", lamenta.
Desde Izertis, de la mano de su director de Defensa y Ciberseguridad, Joaquín Castellón, indican que el 70-80% de los ataques tienen la intervención humana como foco y que "todos podemos formar parte de un ciberataque". Además, insiste en que "cualquier plan de transformación digital debe tener un presupuesto del 15% en ciberseguridad".
Por último, José Manuel de la Puente, Cybersecurity & SecDevOps Manager de VASSS, ha insistido en que se debe de proteger la cadena de suministro para una seguridad integral y que falta gente con formación. "Nos estamos quitando los perfiles válidos entre nosotros, nos quitamos personal todas las semanas entre los socios que estamos aquí. Gente con uno o dos años están cobrando barbaridades ingentes, hace falta formación para que esto no pase", ha defendido.
El segundo bloque se ha centrado en cuáles son los ataques más habituales y desafiantes para las compañías. Desde EY han destacado como más del 90% de los ciberataques tienen una motivación economíca y cómo los ciberdelincuentes ya funcionan mediante organizaciones, como si fueran "una multinacional", con su propio departamento de RR.HH, de operaciones, financiero, etc. Además, aclara que su interés son las grandes empresas, pero también están virando a las empresas medianas y a dispositivos conectados de plantas industriales.
"Además, cada vez están más especializados. Participan varios grupos maliciosos en un mismo ataque, con unos que intervienen en determinadas fases y en otras no. Por último, hay grupos especializados en crimen como servicio. Las fuerzas del orden desmantelan con más éxito estos grupos criminales, pero las compañías deben invertir en ciberseguridad", dice José Luis Rojo, socio de Ciberseguridad en Consulting de EY.
Manuel Calderón-Palacios, director de Ciberseguridad de Inetum, menciona que los cibermalos son "persistentes con la ingeniería social. Se tiran dos años detrás para conseguir cosas". El CISO ha mencionado el caso de RansomHub, que ofrece malware como servicio para que pueda ser usado por estados y otros cibermalos. Así, ha citado que han tenido casi 200 víctimas en 2024, con España siendo el quinto país más atacado con 9 víctimas.
Para Rubén Muñoz, director en el área de Technology Risk y Ciberseguridad de KPMG en España, “los ciberataques corporativos vienen motivados principalmente por una finalidad económica o disruptiva. Nuestros equipos tienen la capacidad de prevenir, proteger y dar respuesta a estas situaciones y debemos trabajar en una dualidad digital con las compañías para evitar y dificultar ataques mayores”.
Por su parte, Álvaro Fraile, director de Ciberseguridad de Ayesa, ha insistido en que hay que saber comunicar qué estamos haciendo, qué está sucediendo. "No se trata solo de evitar amenazas, sino de reaccionar eficazmente cuando estas ocurren. Las empresas que invierten en ciberresiliencia garantizan su continuidad y fortalecen su posición frente a futuras crisis”, ha apostillado.
Tecnologías prometedoras, pero peligrosas
El último bloque se ha centrado en el impacto de la inteligencia artificial y la computación cuántica. Andrés de Benito, Head of Cybersecurity de Capgemini, ha lanzado el mensaje a las organizaciones de que actualmente la amenaza cuántica no está tan en día en boca de todos como si lo está el problema de la IA.
Sin embargo, cree que cuando sea implementada "nos vamos a encontrar en una situación de indefensión" y que el día que se materialice "no va a haber tiempo para actualizarse y protegerse".
Por eso, considera que las empresas deben pensar, saber en qué punto se encuentran, adelantar cómo de expuestas van a estar. Defiende que tienen que "empezar a prepararse desde ya. Nuestro mensaje es que empiecen a caminar ese recorrido lo antes posible y que toda su infraestructura sea criptográficamente ágil".
Desde Oesía insisten en que las empresas tiene que hacer uso de la IA "no solo para aprovechar sus beneficios sino porque los atacantes la usan. Ya han conseguido que los ataques sean más ágiles y sofisticados". Así lo ha señalado su director de Innovación en Ciberseguridad, Miguel Ballesteros.
Para Juan Carlos de Miguel, Associate Partner IBM Consulting, se deben establecer determinados filtados en la entrada y salida de los datos. "Hay consenso en que esto es y será un riesgo", apostilla. "Afecta a las identidades digitales, a cómo intercambiamos información con terceros. Debería estar en las mesas de los comités de dirección de las empresas", indica.