Dicen que hay dos tipos de empresas: las que han recibido ciberataques y las que los van a recibir. Nadie se va a librar por muchos cortafuegos que se pongan ya que las amenazas son cada vez mayores y mutan de tal manera que cuando se sabe controlar una aparece otra. Conseguir datos personales con los que comerciar -e incluso chantajear- es la gallina de los huevos de oro, pero no es lo único que se busca. Los hackers también intentan bloquear el funcionamiento on line de las compañías, revelar patentes, sustraer datos financieros, minar la reputación de una empresa o una persona... Atacan desde cualquier país del mundo, su rastro es difícil de seguir y no hay leyes mundiales contra la ciberdelincuencia. En Europa tampoco hay un código penal especializado. Solo normativas de protección de datos que se han actualizado y que han aumentado las sanciones, pero poco más.

Se parte de la base de que es prácticamente imposible librarse de un ciberataque -todas las grandes firmas mundiales han caído pese a que tienen a miles de expertos en nómina para evitarlo-, pero hay que intentar que, al menos, le pille lo mejor preparado posible. Ese fue el objetivo de la jornada Ciberseguridad: Riesgos, ataques y soluciones que organizó ayer en Málaga la Asociación para el Progreso de la Dirección (APD). La primera ponencia corrió a cargo de Luis Jiménez, subdirector general del Centro Criptológico Nacional, quien señaló que las empresas no son las únicas destinatarias de los ataques sino que los propios particulares, a través de sus teléfonos móviles, también están en el ojo del huracán. En este sentido, Jiménez recomendó no almacenar información personal en la nube sin tomar medidas de protección.

Alejandra Matas, directora del departamento de Regulación Digital de PwC España, lanzó varios mensajes a tener en cuenta. El primero es que es "importantísimo" que haya sensibilización interna en todos los departamentos de la empresa porque la responsabilidad no es solo del área de informática. "Muchas veces no son ataques de gran complejidad técnica sino despistes o falta de conocimiento en la organización", comentó Matas, quien pidió a las empresas que definan un protocolo de actuación en caso de recibir ataques ya que, entre otros aspectos, la normativa de protección de datos obliga a notificarlo públicamente antes de 72 horas. "La ciberseguridad tiene que estar en el ADN de la compañía", insistió esta experta, y explicó que, teniendo en cuenta que antes o después se va a ser atacado, hay que poner el foco en defender lo mejor posible la joya de la corona, es decir, "lo que nos duele más, todo aquella información que realmente puede comprometer nuestro negocio o nuestra reputación".

José Carbajo, responsable de ciberseguridad de Sopra Steria, adelantó que "se prevén más ciberataques en el internet de las cosas, extorsiones por denegaciones de servicio y para tener acceso a ordenadores portátiles para el minado de bitcoins". Este experto detalla que, en estos momentos, el 42% de las amenazas son "ocultas, desconocidas o emergentes", es decir, que no se sabe aún como luchar contra ellas, y que ese porcentaje coge cada vez más peso. Por ahora, la solución es aplicar un aprendizaje automatizado a las máquinas.

Nuevos riesgos y nuevos negocios. Uno de ellos es asegurar las consecuencias de los ciberataques. Diego Martínez, especialista de Aon España, reconoció que "los ciber riesgos evolucionan de forma constante y no hay ningún seguro que cubra totalmente", aunque cada vez hay más tipos de pólizas con un límite mayor de responsabilidad y que cubren más sectores. Hay hasta pólizas para cubrir la posible infidelidad de empleados.