Quizá el jefe de seguridad de aquel gran casino creía tenerlo todo atado. Quizá, al menos, pensaba que se había asegurado de blindar la seguridad para impedir el acceso de hackers a su red informática por las vías tradicionales. Lo que no podía esperar era que los criminales encontraran la vía de superar todas las defensas a través del termómetro de una de las peceras del casino, que estaba conectado a internet para regular mediante sensores la limpieza del tanque, la temperatura del agua y la alimentación de los peces.

Fue hace dos años, y ese casino estadounidense –su nombre no trascendió– sufrió el robo de 10 gigabytes (GB) de información confidencial con datos de sus mejores clientes. En esa ocasión fue a través de un termómetro, en otras ha habido ataques a través de los sistemas de aire acondicionado o de la red de calefacción controlados con apps. El ingenio para el mal no conoce límites.

Cualquier dispositivo con conexión a la red ya es susceptible de sufrir un ciberataque. Y a las puertas de la era del internet de las cosas (IoT), cuando se disparará el número de aparatos conectados a internet, las vías para encontrar brechas de seguridad amenazan con ser infinitas.

La ciberseguridad no es un coste, es una inversión. Lo que es un coste es la 'ciberINseguridad

El año pasado en España ya se superaron los 6,5 millones de aparatos conectados con líneas IoT, tras sumar más de un millón en un solo año y con la previsión de que la cifra crezca cada año a ritmos por encima del 10 %. Vehículos, sistemas de seguridad, sensores para gestión de infraestructuras, aparatos de teleasistencia a personas, electrodomésticos, aparatos de pagos bancarios…

En España se registraron el año pasado 38.000 ciberataques (un 43 % más), según los datos del Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia (CNI). La cifra se dispara por encima de los 120.000 ataques si se suman todos los incidentes de seguridad de diferente envergardura sufridos por empresas y particulares, según contabiliza el Instituto Nacional de Ciberseguridad de España (Incibe).

Ataques por la red con detalle del origen y destino.

Y ante esta situación de riesgo creciente las empresas se juegan mucho. Tanto que la protección ante el cibercrimen entra, poco a poco, en las estrategias corporativas de la compañía. "La ciberseguridad no es un coste, es una inversión. Lo que es un coste de verdad es la 'ciberINseguridad", sentenció Xabier Mitxelena, director de Accenture Security, durante su intervención este jueves en la jornada Ciberseguridad, elemento clave para la confianza digital, celebrado en Andersen Tax & Legal y organizada por El Independiente.

El roto al que se exponen las compañías en todo el mundo es enorme. Según un reciente estudio de la consultora Accenture, las empresas pueden perder 5,2 billones de dólares (unos 4,5 billones de euros al cambio actual) en los próximos cinco años por esa ciberinseguridad. Un cálculo elaborado contabilizando lo que se podrían ahorrar en inversión en ciberseguridad y la pérdida de negocio por eventuales ciberataques, entre otros factores. En el caso de España, la compañías nacionales se enfrentan a un impacto de 100.000 millones de dólares (uno 88.000 millones de euros) de valor económico entre este año y hasta 2023.

Más caro es perder la guerra

Las compañías españolas invirtieron el año pasado en torno a 1.200 millones de euros para protegerse ante la amenaza de los ciberataques, pero varias fuentes del sector de la ciberseguridad apuntan que esa cifra debería escalar hasta los 5.000 millones para ajustarse a las magnitudes de las grandes potencias. La inversión de las administraciones españolas en esta tarea se sitúa en el entorno de los 400 millones de euros, frente a los 2.000 millones que destina Francia o los 2.200 millones de Reino Unido.

"Es muy caro mantener un ejército, sí. Pero hay algo mucho más caro, que es perder la guerra", subrayó Miguel Sánchez, director global de Seguridad e Inteligencia del grupo Telefónica, en referencia a la necesidad ineludible de invertir en ciberseguridad. Aunque España y parte de sus empresas se queden cortas en la inversión destinada, se están consiguiendo resultados más que aceptables.

Es muy caro mantener un ejército, sí. Pero hay algo mucho más caro, que es perder la guerra"

Se invierte menos, pero los expertos sacan pecho y apuntan que quizá se invierte 'mejor'. "España funciona de manera más eficiente que otros países, pese a tener menos recursos y menos innovación. Quizá se debe a nuestro pasado, a nuestra experiencia en la lucha contra el terrorismo", explicó Sánchez, que antes de integrarse en Telefónica fue director de Inteligencia del CNI.

"Llevo años diciendo que es mejor construir un tanque menos, un avión menos y un barco menos e invertir más en ciberseguridad. No estamos invirtiendo tanto como otros países y aún así no estamos tan mal", secundó Mitxelena.

Sanz Roldán y García-Abadillo charlan durante el evento

El director del CNI, Sanz Roldán, habla con Casimiro García-Abadillo durante la jornada organizada por este diario.

El directivo de Accenture Security no da rodeos a la hora de referirse a la sensibilidad de los políticos por una cuestión tan trascendente. "Están muy lejos de la realidad", declaró, mientras lamentaba no haber oído a ningún líder de ningún partido político hablar de "transformación digital" con motivo de las últimas elecciones generales.

La reventa de 'armas' para hackear

"Esta guerra no se puede ganar, sólo se puede uno adaptar para sobrevivir", apuntó Gorka Díaz de Orbe, director de Seguridad de la Información de Bankia. Y si que se trata de una guerra en "la que ni siquiera tenemos identificado el enemigo" y, además, se mueve por terrenos digitales en los que se hace muy difícil de encontrar.

Aproximadamente sólo el 4 % de toda la información en internet puede encontrarse por las vías que utiliza el común de los ciudadanos. Sólo un 4 % es de acceso público y puede encontrarse mediante Google, Yahoo u otros buscadores. La inmensa mayoría de los datos, hasta un 90 %, forma parte de la denominada deep web (red profunda), donde se encuentra toda la información no indexada y a la que no se puede llegar mediante buscadores (datos legales, historiales médicos, intranets corporativas…).

Esta guerra no se puede ganar, sólo se puede uno adaptar para sobrevivir”

El 6 % restante de esa información online en la desconocida –para el gran público– dark web. Una red oscura que oculta la parte más turbia y a la que intencionadamente se busca que sea difícil de acceder. Información encriptada; lugar de encuentro de organizaciones criminales; plataformas de comercio online para vender sustancias prohibidas, de drogas a armas, y también herramientas para hackear.

Según relató Díaz de Orbe, en la web se pueden comprar paquetes completos para hacer phising (método para engañar a usuarios y que revelen información personal, como contraseñas o datos de tarjetas bancarias) por 1.500 euros; o cuentas bancarias falsificadas para actividades ilícitas por entre 380 y 600 euros; o tarjetas bancarias por entre 50 y 100 euros; o credenciales de acceso a banca online por entre 700 y 2.000 euros; o paquetes para tumbar webs mediante denegaciones de servicio por entre 300 y 5.700 euros dependiendo de la duración del ataque; o también se ofrecen los propios servicios de hacking por entre 100 y 600 euros. "Si esto es una guerra, en la web se pueden comprar las armas para que cualquiera, incluso sin conocimientos técnicos, las pueda usar", alertó el ejecutivo de Bankia.

Para ilustrar la importancia que la ciberseguridad tiene ya en el sector financiero, el representante de Bankia apuntó que las agencias de rating están preguntando cada vez con más intensidad a los bancos qué medidas y recursos destinan a conjurar el riesgo de eventuales ataques por la red. "La seguridad es parte del negocio". Y sin ella, quizá ya es imposible que haya negocio.