"Ni siquiera las empresas del Ibex tienen una estrategia sólida de seguridad informática", advierte Simón Roses Femerling, fundador y CEO de Vulnex, la única start up española que colabora con el Departamento de Defensa de Estados Unidos en el desarrollo de tecnología de ciberseguridad. Y recomienda invertir en ello, porque "toda información es valiosa para alguien".
¿Debe estar preocupada la empresa española por el ciberespionaje?
Toda empresa conectada al ciberespacio debería tomar las medidas necesarias para proteger su información. Lejos han quedado los días en que se decía: "Nadie nos quiere atacar". Hoy hoy en día, toda información es valiosa para alguien, que quizá esté dispuesto a pagar por ella, y los ataques en el ciberespacio son automatizados, es decir, todos los sistemas informáticos son atacados sistemáticamente, por lo que hay que preocuparse.
¿Son un blanco fácil?
En general, la protección en las empresas españolas está al nivel de otros países, aunque es cierto que falta una estrategia sólida de seguridad y más recursos humanos y técnicos. No se tienen en cuenta aspectos como la seguridad de las aplicaciones, por donde vienen la mayoría de brechas. La seguridad está mejorando, pero aún queda camino para recorrer.
¿No es entonces una prioridad ni para las grandes empresas del Ibex?
Dependiendo del sector, para unas más que para otras, ya que muchas están obligadas a tener una buena protección, aunque también al ser más grandes son víctimas potenciales de los atacantes. Es cierto que algunas empresas del Ibex han sido comprometidas por piratas informáticos, como multitud de grandes empresas en otros países.
¿Cuándo se detecta un fallo de seguridad o un robo de información?
En muchas ocasiones no se detecta o cuando se hace ya es tarde: algunos estudios estiman que los atacantes tienen acceso a los sistemas informáticos durante más de un año. Las brechas de seguridad se suelen detectar por diferentes motivos: la empresa cuenta con tecnología eficaz para detectar intrusos, los atacantes han sido descuidados o la empresa es informada por un tercero ya sea un cliente, otra empresa o por los FCSE.
¿Cuáles son las principales vulnerabilidades de las redes corporativas?
Los atacantes utilizan todo tipo de vulnerabilidades para conseguir sus objetivos como aplicaciones web inseguras, Apps en los móviles, redes WiFi, correo electrónico, etc.
¿Cuál es la mejor estrategia en cuestión de seguridad informática?
No existe una estrategia única, sino que debemos construir nuestra seguridad por niveles, lo que se denomina "defensa en profundidad". La seguridad debe estar a la altura de la información que queramos proteger.
Project Zero: el equipo anti-hackers de Google