El director de Ventas y Distribución y del departamento de Líneas Financieras de la aseguradora Chubb, Santiago Sánchez Matas, alerta en el foro Desayuna con Inade-A Coruña de los 100.000 ciberataques que se producirán este año en España. De éstos, unos 300 serán a infraestructuras críticas.

«Los ciberriesgos no son un demonio, son un nuevo riesgo que está evolucionando muy rápido, hay que conocerlo, enfrentarse a él y mitigarlo», precisa. Pero deja muy claro que «los ciberdelincuentes mueven más dinero que el tráfico de drogas y el tráfico de armas juntos», lo que se debe a que esta opción es mucho más «barata».

Nadie se libra de los riesgos en Internet. Sánchez Matas recuerda que la Xunta de Galicia sufrió un ataque en 2013 que paralizó sus servicios en la red durante varios días.

«Somos el tercer país del mundo más atacado de los que publican cifras. Se prevén 100.000 ataques este año, 300 a infraestructuras críticas, el resto serán a pymes y a personas», subraya este experto. En 2015 esos ciberataques provocaron pérdidas por 14.000 millones de euros.

Reconoce que por mucho que se haga «siempre hay una parte del riesgo que no se puede controlar» y alerta sobre los posibles problemas que pueden llegar de un ataque en Internet. El primero es una «pérdida de beneficio o lucro cesante», por el parón de la actividad y «dejar de dar servicios a los clientes», pero también puede producirse «una pérdida de activos».

Para todos estos casos plantea una política de protección de riesgos que se vea acompañada con una póliza que cubra unas amenazas que evolucionan día a día.

Entre los tipos de ataque están los que suponen la entrada en un sistema, la encriptación de datos y la petición de un rescate a cambio de recuperarlos (ransomware). Otro tipo de ciberataque implica que una multitud de ordenadores ataque un único sistema, lo que crea tanto flujo que hace que el dispositivo atacado desconecte y deje de dar servicio.

Esto muchas veces se hace a través de lo que ha denominado «ordenadores zombis», que son de personas que «no saben que los tienen y se han visto atacados por un virus», que en «el 80% de los casos en España data de 2008» y que incluso sirve para que en estos dispositivos se guarden «contenidos ilícitos, como los relacionados con pedofilia y tráfico de armas».

El último tipo de ataque está vinculado a la «ingeniería social», que empieza con la clásica ciberestafa que implica la obtención de contraseñas a través de un correo electrónico que simula ser real.

El «más elaborado» llega después de una «investigación a través de redes sociales» a empleados de compañías que tienen acceso a cuentas y que reciben peticiones de transferencia «con engaños», pero que aparentan ser reales y acaban con dinero en cuentas irrecuperables.

Santiago Sánchez Matas precisa que, aunque en estos casos muchas veces «se habla de hackers», las principales vías que llevan a la pérdida de datos sensibles están en «empleados negligentes, empleados malintencionados, exempleados o pérdida de dispositivos».

“El ciberriesgo es una amenaza global y la mayor parte de las brechas de seguridad son internas, es decir, de los propios empleados”, afirma este experto. “La formación de los empleados es imprescindible para evitar este tipo de problemas”, insiste. “El 40% de las brechas de seguridad son causados por  las actividades fraudulentas de los empleados”.