Tras las sanciones a Rusia, la administración, las infraestructuras críticas y los servicios básicos están en el punto de mira.
En 2021 se produjeron 40.000 ciberataques al día, un 125% más que el año anterior, según la empresa de soluciones de seguridad Datos101. Si bien el número de ciberataques ha aumentado sin cesar en los últimos años, algunos factores como la pandemia o la expansión del teletrabajo han contribuido al crecimiento exponencial en 2021, según los expertos. Ahora, en plena guerra entre Rusia y Ucrania, este riesgo ha vuelto a aumentar y la ministra de Defensa, Margarita Robles, anunció hace unas semanas que el nivel de alerta por ataques en el ciberespacio se ha elevado a 3 de 5 grados posibles.
La prevención sigue siendo la principal defensa frente a la amenaza de los ciberataques, y es aquí donde los abogados desempeñan un papel fundamental, sobre todo a la hora de adecuar las organizaciones al marco normativo de protección. Estas más de 50 normas se recogen en el Código de la Ley de Ciberseguridad, dividido en ocho grandes bloques, entre los que se encuentran la seguridad nacional, las infraestructuras críticas o la protección de datos.
Los sujetos obligados de estas normativas, son, como señala Jesús Yáñez, socio de ciberseguridad de ECIJA, la administración pública y sus proveedores, las infraestructuras críticas y los servicios esenciales. Precisamente estas entidades son el principal objetivo de los ciberataques dirigidos en respuesta a las sanciones impuestas a Rusia, afirma Jesús Iglesias, socio de Clyde & Co. Y desde el inicio de la invasión de Ucrania, han sufrido este tipo de ataques empresas de infraestructuras críticas como Iberdrola, entidades públicas como la Policía Nacional o la Agencia Tributaria, empresas tecnológicas como Microsoft y Apple, y la gran mayoría de los bancos españoles (BBVA, Santander, Caixabank, Sabadell Liberbank, entre otros).
Sin embargo, no son el único objetivo de la ciberdelincuencia. Siguen produciéndose ciberataques generalizados a gran escala, dirigidos a todo tipo de empresas, desde las PYME hasta las multinacionales. "En Rusia hay organizaciones dedicadas al cibercrimen que aprovechan cualquier conflicto para aumentar los ciberataques", explica Cristina Cajigos, directora de cuentas de Grupo Paradell Technologies, consultora especializada en riesgos digitales y corporativos. En cuanto al móvil por el que se realiza un ciberataque, Yáñez admite que puede ser muy variado, "desde un rescate económico hasta el acceso a información secreta o la venganza de un ex empleado que sabe que las medidas de seguridad de su antigua empresa son mínimas".
Cumplimiento normativo
Por todo ello, cada vez son más las empresas que cuentan con un programa de cumplimiento de ciberseguridad jurídica a través del cual, como explica Natalia Martos, fundadora de Legal Army, se identifican los riesgos y vulnerabilidades y se evalúa la probabilidad de un ciberataque. "Se realizan pruebas, se instalan controles para verificar su eficacia, se crea un depósito de pruebas y se generan medidas de mitigación", describe Martos.
Un control que, como indica Yáñez, pasa también por evaluar a los proveedores tecnológicos de la empresa en materia de seguridad e incluso exigirles contractualmente medidas eficaces. "Hay que negociar con ellos, las negociaciones que ya he impulsado no son fáciles, pero son necesarias. Esto no sólo nos ayudará a evitar posibles incumplimientos, sino que también servirá para demostrar nuestro compromiso y diligencia en esta materia", advierte.
En el caso de los Cajigos, también hay que prestar especial atención a la sensibilización y formación del personal sobre los riesgos. "El 90% de los ciberataques en las pymes se deben a errores humanos, lo que está muy relacionado con la concienciación y el entorno de trabajo", afirma. De hecho, las más comunes son las que implican ingeniería social, que Yáñez define como no explotar vulnerabilidades técnicas sino hacer creer a los usuarios que están introduciendo sus credenciales en sitios legítimos, lo que en realidad no es así. Se trata de casos de falsificación de la identidad de la empresa o de sus representantes con el objetivo principal de defraudar a terceros y obtener una ventaja económica. "Uno de los más comunes es la falsificación de facturas cambiando el número de cuenta al que debe hacerse el pago", advierte Iglesias.
Las empresas a las que se les roba la identidad "sufren terribles consecuencias, ya que sus clientes suelen ser objeto de robos y extorsiones de los que inicialmente pueden parecer responsables", afirma Martos. Por este motivo, el CEO de Legal Army recomienda a la entidad afectada que registre todos los datos del ciberataque y contacte inmediatamente con las unidades especializadas de las fuerzas y órganos de seguridad del Estado para contenerlo y, eventualmente, tras un proceso de investigación forense, tratar de averiguar quién está detrás. "Algo que es realmente complejo por la falta de trazabilidad de las acciones en el mundo cibernético", admite.
Por su parte, Cajigos añade los pasos que hay que seguir para mitigar los daños, identificar el origen del ataque así como las vulnerabilidades para poder solucionarlas e informar a la autoridad de protección de datos si se pierden datos críticos. Por supuesto, insiste en la prevención como aspecto clave. "Si se prepara la infraestructura para la detección de intrusiones, se tienen copias de seguridad descentralizadas con los datos críticos, un plan de recuperación de desastres y un plan de continuidad del negocio, el tiempo de respuesta será menor y el impacto del ciberataque será mucho menor", concluye.
Seguros Específicos
La contratación de un seguro de ciberriesgos, según Jesús Iglesias, socio de Clyde & Co, "ayuda a las empresas a responder y gestionar adecuadamente un ciberataque y reduce los daños financieros, legales o de reputación resultantes". Estas pólizas, explica el abogado, suelen incluir servicios de gestión de respuesta a incidentes y ofrecen un panel de diferentes proveedores, como técnicos, asesores jurídicos o empresas de relaciones públicas, para intervenir cuando se produzca el suceso. Normalmente, también cubren las sanciones administrativas que puedan imponer las autoridades de protección de datos, el reembolso de los pagos de rescate en caso de ciberextorsión o la posible responsabilidad civil del asegurado derivada del incidente.
Fuente: El País