A seguridade informática precisa de concienciación e formación continua
martes, 24 de xuño do 2025
O mes de xuño comezou coa celebración das Xornadas Tecnolóxicas R, que nesta edición titulada Mentes Dixitais centrou os seus relatorios na ciberseguridade, contando o evento coa participación de Susana Rey Baldomir, da Oficina de Privacidade e Intelixencia Artificial de R, polo que está a traballar en materias de máxima actualidade e sobre as que quixemos conversar con ela.
– Durante as Xornadas Tecnolóxicas conversaches con Silvia Leal sobre os desafÃos da seguridade informática na empresa. Como ves a situación actual? Estamos xa nun marco no que hai concienciación ou queda aÃnda moito por facer?
– Eu falarÃa dun concepto máis amplo, ciberseguridade no canto de seguridade informática. Porque isto non son só cousas dos técnicos, dos informáticos. Ciberseguridade é moito máis ca iso.
Queda moito por facer. Silvia dicÃanos que o 40% dos CEO das empresas en España estaban concienciados da importancia da ciberseguridade. Asà que un 60% non o está. E se a dirección non considera estratéxica a ciberseguridade non haberá recursos, nin cultura, nin estratexia na empresa neste eido. Porque todo isto vén marcado pola dirección.
Nas pemes, aÃnda peor. A meirande parte do tecido empresarial en España e en Galicia son negocios pequenos e medianos. E hai un gran descoñecemento do que significa realmente ciberseguridade e da importancia que pode ter no negocio. Cren, en casos abondos, que ciberseguridade é o antivirus que lles pon a empresa e que teñen que contratar un ciberseguro. Están, moitas veces, lonxe de entender os riscos reais aos que expoñe a súa compañÃa e as medidas efectivas que poden implantar.
Seica é falta de concienciación, de presupostos ou unha mestura de ambas as dúas cousas. Pero a realidade é que as pemes non mercan ciberseguridade, malia que as operadoras de telecomunicacións levamos tempo creando servizos adaptados as súas necesidades. E en moitas ocasións algunhas pemes pechan tras un ciberataque.
– No caso das compañÃas de telecomunicacións, entendemos que a ciberseguridade ten moitas faces, xa que tanto tedes que velar pola seguridade propia como da allea. Cal serÃa a máis complexa actualmente?
– A rede dun operador de telecomunicacións é tecnicamente moi complexa. Pero na miña opinión, o máis difÃcil é xestionar o factor humano. Non só no relativo á concienciación senón sobre todo á xestión mesma da ciberseguridade nas empresas. Todos os proxectos de negocio deberÃan levala incluÃda; se os responsables perciben a ciberseguridade como un custo a maiores, innecesario ou que frea o proxecto, se non lle ven beneficio, non vai saÃr ben. Pero unha empresa madura e responsable non pode ofertar produtos que poidan prexudicar os seus clientes, ás veces de xeito irreparable.
– Hai anos pensábase nas incursións informáticas como infiltracións para tomar o control remoto de sistemas, pero ultimamente vemos máis casos de secuestro de información e roubo de datos persoais. Estamos ante a constatación de que a información é o principal valor que teñen actualmente as empresas?
– Os ataques non os fai un rapaz dende a casa con suadoiro negro e carapucha. Hoxe trátase de redes delituosas, mafias de ciberdelincuentes con capacidades económicas e técnicas. E, como toda mafia, móvense polos cartos; e optimizan o seu negocio, indo a onde máis retorno de investimento reciben.
O secuestro de datos, co ramsonware, resulta moi rendible para estas agrupacións, cun investimento baixo por ataque porque as vulnerabilidades destas empresas son doadamente detectadas polos ciberdelincuentes. E seguen a facerse ataques deste tipo porque as empresas pagan os secuestros. E iso demostra dúas cousas: a xestión media en ciberseguridade non é axeitada, xa que con medidas sinxelas evitarÃase ter que pagar para recuperar os datos (back-ups remotos con provedores externos, por exemplo) e que os datos teñen un alto valor para os negocios pois, se non, non se pagarÃa.
– Ante as ameazas do ransomware ou do roubo de datos, están a tomarse as precaucións debidas? Que se coida máis, a protección contra ataques ou o replicado da información?
– Non hai unha medida única. O ideal é establecer niveis de protección para que quen ataque teña que saltarse varios no intento de chegar ao obxectivo: o foso, as murallas, a quen lle dás paso... como a defensa dun castelo. Capas de medidas para que non sexa abondo romper unha única e acceder. Se lles leva máis tempo e lles custa máis cartos, buscarán outra vÃtima máis fácil e desistirán.
PrecÃsanse medidas de protección previa para evitar que o ransom entre na nosa rede pero tamén medidas de back-up axeitadas para evitar que, se entran, perdamos a información. E inclusive un ciberseguro pode ser unha medida axeitada para asegurar que tes como apoiar economicamente a parada que para a túa empresa vai supor un ransom. En todo caso, se perdes para sempre os datos básicos do teu negocio, é posible que nunca poidas poñerte a funcionar de novo; e aà non aplica o ciberseguro.
– AÃnda que a resistencia ante os ataques é o que parece o máis esixible, está claro que a seguridade absoluta é imposible, polo que cómpre preguntarse se realmente os sistemas son resilientes. Tedes que insistir moito na elaboración de plans de continxencia para unha rápida recuperación ante un ataque?
– Como coeditora da GuÃa de ISMS Forum para a GuÃa [práctica] para la Gestión de Brechas de Datos Personales, conciencieime de que a ciberseguridade debe xestionarse como se fai para o máis tradicional modelo de Continuidade de Negocio.
Nos momentos de crise dun ciberataque todo son nervios e cometemos erros se non temos un protocolo de actuación. Cómpre definir plans de continxencia ou de xestión de ciberincidentes e tamén, por suposto, probalos para confirmar que o plan funciona.
– A lexislación obriga tanto a adoptar medidas como a informar de ataques, e dá a impresión de que suspendemos en ambos casos, porque se realmente se cumprisen as normas está claro que non existirÃa o ransomware.
– En realidade, nin informar nin cumprir as normas poden evitar os ataques. A seguridade absoluta é imposible; e se en Europa, en España en particular, non queremos perder o tren da economÃa dixital temos que estar dispostos a aceptar certos riscos.
O ransom seguirá existindo mentres resulte economicamente rendible para as mafias. Só rematará cando a xente deixe de pagar e non lles compense.
As administracións públicas con frecuencia reciben a información (de como se produciu o ciberataque e por que) pero non a comparten polas canles axeitados. Fana pública xerándolles, ás veces, danos reputacionais ás empresas ou directamente sancionan, o que lles desincentiva compartir esa información ás compañÃas.
– Como é posible que aÃnda vexamos casos como o de Carrefour, compañÃa á que veñen de impor sancións por un importe total de 3,2 millóns de euros tras 5 incidentes de seguridade consecutivos coa mesma técnica?
– En España, na miña opinión, estase a abusar das sancións en caso de brechas ou ciberincidentes fronte a outros paÃses da Unión Europea. E iso non axuda. Coñezo casos en que as empresas deciden investir menos en ciberseguridade e gardar os cartos para as multas. A economÃa dixital supón ciberincidentes pero a clave está en analizar se as medidas previas son axeitadas atendendo non só aos riscos para a compañÃa senón, sobre todo, para as persoas afectadas polas filtracións dos seus datos.
– Cal serÃa a clave para unha boa seguridade? Poderiamos dicir que o elo máis feble da cadea é o elemento humano e que por iso os meirandes esforzos terÃan que ir enfocados a unha formación continua?
– Cun axeitado plan de formación e concienciación podes conseguir que o problema se converta en parte da solución. Non ten que ser moi técnica pero si procurar implicación das persoas; ben porque leves as mensaxes á súa vida persoal (con empregados de certa idade falándolles de riscos para os seus fillos ou da xestión bancaria vÃa Internet, por exemplo), ben dende o punto de vista da posibilidade de peche da empresa, que lles prexudicarÃa igualmente.
E doutra banda están os provedores. As empresas dependemos da cadea de subministración e moitos provedores manexan os nosos datos. Se eles sofren un ciberataque é moi probable que nos afecte. Pero tanto as sancións como a perda reputacional van ser para nós; entre outras cousas porque os provedores non van ter capacidade de asumilo. Cómpre conciencialos e que acaden o mesmo nivel de seguridade que nós teriamos.
– Precisamente de cara a enganar ao elemento humano, agora o que se comenta moito é a ameaza que supón a intelixencia artificial. Estamos ante unha anécdota, ou realmente o uso da IA para enganar a consumidores e empresas está a ser masivo?
– Obviamente os malos xa están a utilizar a IA. Basta comparar as mensaxes de phishing de hai anos, que eran realmente malas, coas que se reciben agora.
É un tema de sentido común. Por moi boas que sexan as mensaxes creadas por IA, se sabemos que non debemos contestar, non contestemos ou, polo menos, dubidemos e contactemos cos nosos provedores para preguntar. Por moito que nos chame o noso xefe por teléfono para pedirnos que fagamos un ingreso raro e nos conte unha pelÃcula, aÃnda que sexa a súa voz (hoxe en dÃa é fácil de simular), fagamos unha chamada de confirmación antes de facer cousas raras.
– E o uso de ferramentas de IA dentro da empresa, non achega ameazas de seguridade de seu? A mera utilización da IA pode supor fugas de información?
– Os sistemas de IA gratuÃtos non son de balde realmente: empregan a información que lles proporcionas para aprender dela. E se aprenden, existe un risco elevado de que lle devolvan esa información a outros usuarios no futuro. O mellor é ter unha polÃtica clara de IA na empresa, saber cando se pode empregar cada tipo de IA ou cada sistema concreto. E concienciar o cadro de persoal de que os sistemas gratuÃtos non se poden empregar para información confidencial, sensible ou usando datos persoais. As empresas que renuncien á IA quedarán fóra do negocio en moitos sectores, pero deben incorporala con sentidiño.
Nas versións de pago para empresas destes sistemas xa temos outro tipo de medidas ofertadas polos provedores para asegurar que non se producen este tipo de fugas, como que os datos da empresa non se empregan no aprendizaxe do modelo, por exemplo.
– Pero no ámbito da ciberseguridade, ao igual que pode empregarse a IA para lanzar ataques, tamén ten bos usos. Está a resultar efectiva a intelixencia artificial para detectar intrusións e vulnerabilidades ou incluso para repeler ataques?
– A intelixencia artificial leva anos usándose en sistemas defensivos cuns resultados marabillosos, sobre todo na democratización do seu uso. Ao optimizarse os sistemas de detección e xestión de ataques temos xa solucións ao alcance de calquera empresa que hai anos era impensable polos custos asociados.
Convido a todas as empresas que crean que a ciberseguridade é cara a que lle pregunten ao seu provedor tecnolóxico de certo tamaño, porque podemos axudar moito grazas á IA.
– É difÃcil manter un equilibrio ente as ferramentas automatizadas mediante IA e a supervisión humana dos sistemas de seguridade?
– A IA xera alarmas e a raÃz delas pódense tomar accións automáticas para repeler ataques. Pero tamén se pode facer en paralelo ou en función do tipo de alarma previamente, un paso de revisión humana que sirve tanto para afinar o adestramento da IA como para afinar as accións en caso destas alarmas detectadas. Eu vexo máis problemas coa supervisión humana noutros eidos, onde non sexa tan fácil para un humano entender por que se produciu ese comportamento da IA.
– E no resto de usos da IA, é complicado atopar un equilibrio co uso de datos persoais? Estamos ante un problema técnico, ético ou legal?
–Máis que un problema é un asunto técnico, porque sen capacidades técnicas non facemos nada. Tamén é un asunto legal porque existe unha lexislación especÃfica e os sistemas que automatizan certos procesos empresariais poden acabar cometendo delitos por conta da empresa se non os xestionamos ben.
Por exemplo, xa hai casos de estudio nos que sistemas de IA destinados a facer ofertas comerciais poden aprender a enganar en certo modo para vender máis se non se implementan medidas axeitadas de control na aprendizaxe continua. Non é ciencia ficción, pode ser algo tan simple como que aprende que si non dá o dato do prezo completo, vende máis, por exemplo. E iso pode ser interpretado como unha estafa.
Pero para min é sobre todo é un tema ético. Existe lexislación europea, claro, pero tamén queremos seguir vivindo nunha sociedade democrática onde os nosos dereitos fundamentais se vexan protexidos. E iso implica non usar a IA para enganar a xente, para controlala, e evitar efectos negativos como pode ser a discriminación por calquera motivo... Deberiamos esixirlles os nosos provedores e empresas que empreguen IA e que o fagan seguindo criterios éticos axeitados.
– Ultimamente, cada vez que se fala publicamente do uso da IA, non paran de saÃr detractores denunciando os abusos e as ameazas para a propiedade intelectual e o emprego. Estamos ante unha nova revolución industrial ou simplemente ante un ámbito no que aÃnda non están claros os criterios éticos que debemos adoptar?
– Penso que podemos aprender dos erros sociais que supuxo a Revolución Industrial coa deterioración dos dereitos laborais e a explotación dos traballadores. Unha IA ética ten que a revisar o impacto no emprego e nos dereitos das persoas, e tamén na propiedade intelectual.
Malia todo, a IA é unha ferramenta marabillosa que xa está a salvar vidas. A súa capacidade de detectar enfermidades (que nin algúns radiólogos dos máis experimentados ven aÃnda) por exemplo, creo que nos vai dar moitas oportunidades.
Adóitase dicir que unha IA non che vai quitar o traballo senón que o fará outra persoa que veña de aprender a empregala.
– Para concluÃr, e volvendo un pouco á ciberseguridade, que mensaxe mandarÃas a empresas e profesionais que lle ven as orellas ao lobo e pensan que teñen que tomar medidas para evitar as consecuencias catastróficas que pode ocasionar un incidente de seguridade?
– Que para chegar á meta hai que poñerse en camiño. Deben pensar que lles vai pasar nalgún momento. E polo tanto, teñen que empezar dende hoxe a xestionar a súa ciberseguridade, o que supón moitas máis cousas que unicamente adoptar medidas técnicas. Analizar o noso negocio é o esencial: onde o temos, que riscos corre, que medidas podemos implementar..., etc.
Empezar coa tecnoloxÃa é empezar a casa polo tellado. Primeiro cómpre analizar, pensar, e como non temos cartos infinitos, investir con sentidiño.
