Ingeniero informático, Pedro Serrano (Santander, 1963) vivió la eclosión de la ciberdelincuencia prácticamente desde los inicios de internet. Con una trayectoria de 30 años en el Banco Santander, en el que fue director de riesgo tecnológico de negocios globales y director corporativo del plan de contingencia tecnológico y operativo, en 2018 fundó con otros socios Cyber Security Management en Madrid. La compañía, que opera en todo el país y que comienza su incursión en América Latina, tiene experiencia en Galicia con la patronal de la conserva Anfaco, la Compañía de Tranvías de La Coruña, Intasa, Inveravante, Viña Costeira y con concesionarios. Con el proceso acelerado de digitalización en curso, Serrano incide en que ninguna compañía está a salvo si no analiza sus vulnerabilidades y se dota de los escudos adecuados para cazar a los jáqueres.
¿Entre las pymes gallegas hay conciencia de la necesidad de protegerse ante los ciberataques?
Estamos mejorando, pero la pyme gallega necesita concienciarse más. De hecho, estamos haciendo planes de formación en muchas compañías pequeñas en Galicia para que entiendan porqué la ciberseguridad no es un gasto, sino una inversión necesaria. Hay una clave que ata todo: el mundo conectado. Ahora mismo, cualquier firma que se define como pequeña trabaja con proveedores, clientes, con la Xunta, reguladores, bancos... Esto es, tiene un mundo conectado bastante grande. Y toda esa superficie es la que los malos utilizan para atacar. Hay que entender que todos somos susceptibles de ser atacados. Siempre digo que hay dos clases de pymes: la que dice que ha sido atacada y la que lo ha sido y no lo sabe.
¿Un ciberataque puede llevar a la quiebra a una pequeña empresa?
En un altísimo porcentaje. Diría que cerca del 90% de las empresas pequeñas que sufren un ciberataque acaban en cierre. ¿Por qué? Primero, porque al haber sido atacada le han causado una brecha en los datos de modo que todos los clientes a los que esa compañía presta servicio saben que toda su información está ya en la ‘Deep Web’. Esto implica que los malos ya están generando nuevos ataques sobre ellos. Por lo tanto, con esto se pierde la confianza de los clientes, que dejan de serlo. Se sufre un daño reputacional muy grande que impacta en el terreno económico. En paralelo, esos ataques paralizan a la compañía, pues al no estar preparadas no son capaces de volver a la normalidad. Tiran de lápiz y papel e intentan recuperar cosas, pero como los malos se las han encriptado o bloqueado, no las tienen, y al final, por esas dos razones llegan a la quiebra. La tercera cuestión es que muchos de los clientes se querellan contra ellos por el mal uso de sus datos. Todo esto mata a una pyme, pues no tiene recursos para afrontar todo lo que se le viene encima.
Hay dos clases de pyme: la que dice que ha sido atacada y la que lo ha sido y no lo sabe. Falta concienciación
Pocas pymes tendrán pólizas para asegurar este tipo de riesgos...
Claro. Una pyme entiende del seguro que le cubre un incendio, pero nunca piensa en hacer una ciberpóliza de la que poder tirar y tener cubierto, por ejemplo, todo el aspecto legal. Con eso prácticamente se están garantizando la continuidad de su negocio. Pero no lo hacen y creo que es por la falta de concienciación y conocimiento de las herramientas que pueden utilizar para asegurarse su continuidad de negocio.
¿Qué tipo de ciberataques a los que se enfrentan las empresas son los más frecuentes?
El phishing, el ransomware y el malware son los que más están impactando ahora mismo. Pero los avances que se han producido en la inteligencia artificial, unidos a la ingeniería social que facilita averiguar qué cosas se buscan en redes como Facebook permiten a los malos hacer ataques sin que uno se dé cuenta. Introducen en la empresa un programa con un virus para adueñarse de los datos.
¿Conectarse a cualquier wifi también conlleva sus riesgos?
Imagínatelo. Y sumemos al mundo conectado la movilidad. Por ejemplo, pongamos que ahora estoy en A Coruña y hablo por un móvil desde el que hago todas las reuniones con Madrid. Al llegar al hotel, me conecto a la wifi. Si no es segura, todos los datos de mi empresa me los van a robar a través de esa red. La movilidad exige una serie de cambios y la gente no los está abordando como debería. Me dicen: "no, si yo tengo un antivirus en la empresa". Y yo les contesto: "Y cuando llegas a tu casa y te conectas por la wifi porque te ha quedado una cosa sin hacer... ¿Qué protección tiene eso? Ninguna".
La inteligencia artificial unida a la ingeniería social permiten a los malos realizar ataques sin que uno se dé cuenta
¿Para una pyme qué inversión sería necesaria para contar con una estrategia de ciberseguridad?
Es muy variable. No es lo mismo una pyme de tres empleados que una de 50, ni una que tenga mucha tecnología frente a otra con poca. Realmente, con una auditoría y las soluciones, un proyecto de un año puede rondar los 10.000 euros. La gente asocia la ciberseguridad a un precio alto y no es correcto. Hay licencias que cuestan 30 euros al año. Es más cuestión de concienciarse y poner remedios.
¿Es necesaria una continua actualización de los planes de protección?
Cuando certificamos a una empresa en la ISO 27001, garantizamos un modelo de seguridad continuo en el tiempo. Cada vez que una compañía va incorporando elementos, máquinas o áreas nuevas, eso exige seguir trabajando para protegerse. La ciberseguridad es una forma de trabajo que hay que abordar como el resto de tareas que se ejecutan en la operativa del día a día.
