25 May ¿Por qué las empresas viven con vergüenza los ciberataques y se los callan?
A las empresas que han sufrido ciberataques les cuesta hablar de ellos. Se los callan.
El director de Ciberseguridad de la Universidad Internacional de La Rioja (UNIR), Juan José Nombela y el profesor de Ingeniería Telemática en el Departamento de Ingeniería, Eléctrica, Electrónica y de Comunicación de la Universidad Pública de Navarra, Miquel Izal, coinciden en que la mayoría de las empresas suelen ver pocas ventajas en explicar que han sido atacadas y valoran los riesgos que hacerlo público tendrán en su reputación y en su cuenta de resultados.
“Yo soy más partidario de la transparencia, de decirlo, pero hay de todo”, afirma Juan José Nombela. “Hay empresas que, con total transparencia, lo dicen, lo más habitual es que nunca se diga, porque en ocasiones es la empresa la que queda mal delante de los inversores. No hay dudas, cuando se va a saber por la prensa, se dice. Si es algo que las empresas creen que no va a trascender suelen callarlo”, recalca.
Si el robo es de información no personal, estratégica o financiera, sin obligación legal de denunciarlo, depende de la filosofía del negocio.
Nombela insiste en que, si es un ataque tipo ransomware, como el que sufrió el SEPE el año pasado que es tan común, se ha de informar. “Lo han sufrido _asegura_ bastantes empresas, pequeñas y medianas. Les cifran los ordenadores y les hacen la doble extorsión, primero para que puedan recuperar sus datos y luego para evitar que puedan acabar en algún sitio desde el que cualquier persona pueda descargarlos”.
El Chief Information Security Officer (CISO) UNIR recomienda que pagar no sea la primera opción en un ciberataque. “En la mayoría de los casos _asevera_ no se van a recuperar los datos porque los ciberdelincuentes no quieren que les detecten y si se arriesgan a enviar la clave para descifrar datos hay una posibilidad de que se pueda detectar su procedencia y por otra parte, se podría repetir el ataque”
Para Mikel Izal, la primera razón de no hablar del ciberataque es la imagen. Son los empresarios que piensan que su empresa sale en las noticias como vulnerable, aunque el ataque haya llegado través de un proveedor.
“Se cuenta solo cuando se sabe que se hará público, en ocasiones lo explicarán los clientes. Muchos empresarios no lo hacen porque saben que van a perder imagen, que va salir dañado su prestigio y consideran que si no lo notifican no van a perder nada”, afirma.
Desde su punto de vista, “notificarlo puede hacer que los usuarios valoren que la compañía sea transparente, aunque son muchas las veces que la transparencia sale cara si daña el prestigio”.
Izal, apunta también que hay que elegir el momento de comunicar y hacerlo cuando se haya arreglado muy bien el agujero, de otra manera _dice_ “se están dando pistas”.
El Instituto Nacional de Ciberseguridad (INCIBE), gestionó desde su Centro de Respuesta a Incidentes de Seguridad (INCIBE-CERT), 109.126 incidentes de ciberseguridad durante el año pasado
Del total de esta cifra, 90.168 afectaron a ciudadanos y empresas, 680 a operadores estratégicos y 18.278 a la Red Académica y de Investigación Española (RedIRIS).