La transformación digital ha traído consigo una gran cantidad de beneficios, pero a su vez, la vida en una sociedad interconectada ha supuesto una serie de inconvenientes. La dependencia tecnológica actual y la conexión a Internet en gran parte de las áreas de la vida ha producido un aumento de los potenciales objetivos para el cibercrimen. Además, el desarrollo tecnológico actual también ha beneficiado a ciberdelincuentes que han conseguido realizar sofisticados ataques informáticos. Por ejemplo, los ataques ransomware se han convertido en los últimos años en una prioridad para las autoridades debido a su aumento y a su afán por obtener beneficio económico.

Este panorama incita a reflexionar sobre la importancia de proteger las redes y sistemas, así como la privacidad y los derechos digitales del ciudadano (Presidencia del Gobierno, 2017). Y en este sentido, apostar por la ciberseguridad supone la mejor forma de prevenir las consecuencias que pudieran tener los ataques informáticos.

Con este fin, se aprobó en el año 2013 la primera Estrategia Nacional de Ciberseguridad en España para abordar las vulnerabilidades que suponía el ciberespacio para la seguridad del país. En el año 2017 la Estrategia de Seguridad Nacional consideraba las ciberamenazas como una amenaza que compromete y socava la seguridad nacional junto con los conflictos armados, el terrorismo y el crimen organizado, entre otros (Presidencia del Gobierno, 2017). Con la aparición en el año 2019 de la Estrategia Nacional de Ciberseguridad se fijaron las directrices para conseguir los objetivos que se proponían en la Estrategia del año 2017. Garantiza el uso “seguro y fiable del ciberespacio, protegiendo los derechos y las libertades de los ciudadanos y promoviendo el progreso social económico” (Gobierno de España, 2019, p.34).

Ahora bien, ¿qué se entiende por ciberseguridad?

La empresa Kaspersky (2020) define la ciberseguridad como la práctica que tiene como objetivo “defender los ordenadores y servidores, dispositivos móviles, sistemas electrónicos, redes y datos frente a ataques maliciosos”. Esta definición deja claro que la ciberseguridad no es una práctica limitada únicamente a asegurar los equipos informáticos, sino que se dirige a cualquier dispositivo o sistema que pueda estar conectado a internet o hacia cualquier material de valor almacenado. De acuerdo con Kaspersky, la empresa Cisco (2020) también hace referencia a la ciberseguridad como la práctica destinada a proteger sistemas, redes y programas de los ataques digitales.

El Reglamento sobre la Ciberseguridad, incluye dentro de la ciberseguridad a todas las actividades necesarias para la protección de las redes y sistemas de información, de los usuarios de tales sistemas y de otras personas afectadas por las ciberamenazas.

El Centro Criptológico Nacional (2015) denomina ciberseguridad al conjunto de actuaciones orientadas a asegurar, en la medida de lo posible, las redes y sistemas de que constituyen el ciberespacio: detectando y enfrentándose a intrusiones; detectando, reaccionando y recuperándose de incidentes; preservando la confidencialidad, disponibilidad e integridad de la información.

De esta forma, la ciberseguridad no es un asunto baladí, sobre todo en el ámbito empresarial. Así, es bien conocido el ataque informático que sufrió Facebook en el año 2018 y que dejó al descubierto 50 millones de cuentas de sus usuarios. Su propio creador Mark Zuckerberg habló de un “problema de seguridad realmente serio” en el que los autores aprovecharon una debilidad en el código introducida en julio de 2017 en una nueva funcionalidad de vídeo (Ximénez de Sandoval, 2018).

Las consecuencias que puede tener un ataque informático para una empresa pueden ser devastadoras en lo que se refiere a tiempo, dinero, pérdida de información valiosa y prestigio. Por este motivo, en los últimos años el perfil profesional del experto en ciberseguridad es uno de los más demandados. Tal es la importancia en este ámbito que el Instituto Nacional de Ciberseguridad de España (INCIBE) ha elaborado y pone a disposición de las empresas un listado de productos, servicios y empresas en materia de ciberseguridad con el objetivo de mostrar el panorama español en esta materia y poner en contacto la oferta con la demanda (INCIBE, 2020). Además, también cuenta con guías específicas en materia de ciberseguridad para empresas con el fin de que se conozcan los riesgos y cómo actuar, por ejemplo, con un ataque ransomware (INCIBE, 2017). La formación y concienciación de los dirigentes de las empresas puede hacer mucho por la prevención de ciberataques en sus negocios.

De esta forma, al contrario de lo que se pudiera pensar, en el ámbito de la ciberseguridad no adquieren importancia únicamente los perfiles técnicos. Aunque en las definiciones propuestas se hable de protección, aseguramiento y defensa de sistemas, equipos, redes, etc., la ciberseguridad no es únicamente una cuestión de tecnología. El factor humano tiene una gran importancia en este ámbito. Las medidas de seguridad implementadas en un equipo particular o en una empresa, carecerían de valor sin la concienciación y la formación de los usuarios en materia de ciberseguridad. Si un trabajador es incapaz de identificar un correo electrónico con phishing, éste accederá a la información recibida y con toda probabilidad será víctima de este ciberdelito, aunque se hayan implementado las mejores medidas de carácter preventivo.

Esto es a lo que se refiere el Reglamento de la Ciberseguridad con el término “ciberhigiene”, haciendo referencia a aquellas medidas sencillas que, aplicadas con regularidad por los ciudadanos, las organizaciones y las empresas, minimizan su exposición a los riesgos derivados de las ciberamenazas.

No obstante, debido a la continua evolución y sofisticación de los ataques informáticos, las medidas técnicas implementadas pueden quedar obsoletas y no ser suficiente para evitar ser víctima de un ataque informático. En este caso, la ciberseguridad también tiene un papel relevante, ya que, desde una concepción amplia del término, no se trata únicamente de una práctica anterior al ataque informático aplicada a la seguridad de los ordenadores, sino que junto con la formación del usuario final también interviene en la recuperación de desastres (Kaspersky, 2020).

Por este motivo, es necesario saber cuál es la diferencia entre la ciberseguridad y la cibercriminalidad, ya que, aunque parezcan sinónimos tienen significados diferentes. La cibercriminalidad es definida en la Estrategia de Ciberseguridad de 2019 como “el conjunto de actividades ilícitas cometidas en el ciberespacio que tienen por objeto los elementos, sistemas informáticos o cualesquiera otros bienes jurídicos, siempre que en su planificación, desarrollo y ejecución resulte determinante la utilización de herramientas tecnológicas (…)” (Gobierno de España, 2019, p.25).  De esta forma, en el ámbito de la ciberseguridad los ataques informáticos constituyen amenazas contra la información o contra la infraestructura (INCIBE, 2015), mientras que la ciberseguridad, en resumen, es la práctica dirigida a evitar lo anterior o a gestionar sus consecuencias en el caso de que ocurra.

Finalmente, como conclusión, hay decir que la inversión económica y de formación en ciberseguridad puede ser clave en muchas ocasiones para evitar un ciberataque o al menos reducir las consecuencias que pudiera tener. Ser víctima de este tipo de incidentes puede llevar a la pérdida de grandes sumas de dinero y tiempo, sobre todo si se trata de una empresa, no siendo estas cantidades comparables con el menor coste que supondría invertir en medidas y planes de formación en este ámbito. Además, dado que no se busca únicamente un perfil técnico, los criminólogos/as tendrían cabida en el desarrollo de esta práctica, ya que poseen conocimientos sobre criminalidad que pueden ser aplicados en el ámbito de la ciberseguridad para prevenir estos ataques. Así, podrían complementarse ambos perfiles, porque de nada sirve el estudio en profundidad de determinados ciberdelitos sin la previsión de medidas y planes de ciberseguridad.

Bibliografía y referencias:

Centro Criptológico Nacional (2015). Glosario y abreviaturas: Ciberseguridad. Recuperado de https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-Guias_Generales/401-glosario_abreviaturas/index.html

Cisco (2020). ¿Qué es la ciberseguridad? Recuperado el 24 de enero de 2020 de https://www.cisco.com/c/en/us/products/security/what-is-cybersecurity.html

Gobierno de España (2019). Estrategia Nacional de Ciberseguridad 2019. Recuperado de https://www.dsn.gob.es/es/file/2988/download?token=K4T9k3hV

Kaspersky (2020). ¿Qué es la ciberseguridad? España. Recuperado de https://www.kaspersky.es/resource-center/definitions/what-is-cyber-security

INCIBE (2015). Taxonomía de soluciones de ciberseguridad. Recuperado de https://www.incibe.es/sites/default/files/contenidos/guias/doc/taxonomia_ciberseguridad.pdf

INCIBE (2017). Ransomware: una guía de aproximación para el empresario. Recuperado de https://www.incibe.es/protege-tu-empresa/guias/ransomware-guia-aproximacion-el-empresario

INCIBE (2020). Catálogo de empresas y soluciones de ciberseguridad. Recuperado de https://www.incibe.es/protege-tu-empresa/catalogo-de-ciberseguridad

Presidencia del Gobierno (2017). Estrategia de Seguridad Nacional 2017. Recuperado de https://www.dsn.gob.es/sites/dsn/files/Estrategia_de_Seguridad_Nacional_ESN%20Final.pdf

REGLAMENTO (UE) 2019/881 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad»)

Ximénez de Sandoval, P. (30 de septiembre de 2018). Facebook sufre un ataque que deja al descubierto datos de 50 millones de usuarios. Recuperado de https://elpais.com/tecnologia/2018/09/28/actualidad/1538153776_573711.html

Dejar respuesta

¡Por favor introduce tu comentario!
Por favor introduce tu nombre aquí