¿Qué cambios ha detectado en el sector de la ciberseguridad en los últimos años?
Lo que ha cambiado en cierta medida son los acrónimos, la manera en que denominamos las cosas. Sin embargo, el concepto en sí ya ha estado presente en los últimos 20 años, especialmente para quienes hemos trabajado y tenemos más experiencia en este sector. A lo largo del tiempo, lo que hoy conocemos como ciberseguridad se llamaba seguridad de la información o seguridad informática. Ahora, con la influencia de Hollywood, el término tiene otro contexto.
Antes, las cosas eran más analógicas y los cambios se producían a menor velocidad. Sin embargo, ahora los cambios van a la velocidad de la luz.
Esto favorece tanto a los “malos” que aprovechan la digitalización como una oportunidad para monetizar mediante ciberataques, como a las tecnologías disponibles para soportar esa digitalización. Estas tecnologías representan una oportunidad para el desarrollo de la sociedad digital y para todo lo que tenemos a nuestra disposición, pero también han evolucionado muy rápido, por lo que resulta difícil mantenerse al día y ser capaz de combinar ambos aspectos.
Diría que el contexto de la amenaza ha cambiado en cuanto a la velocidad de los cambios y la rapidez con la que evolucionan dichas amenazas. Antes, bastaba con hacer un plan director, una estrategia de riesgos o un análisis de riesgos, y era suficiente con plantearlo a medio o largo plazo porque el entorno era muy estático.
Es decir, medio o largo plazo significaba: “invierto y esto me va a durar tres, cuatro o cinco años”. Ahora, las compañías deben replantear su posición o su postura frente a los riesgos debido a la rapidez con que se producen los cambios, en ciclos mucho más cortos. Hemos pasado de evaluar cada tres años a hacerlo cada tres meses; es decir, cada trimestre hay que reevaluar si lo que se está haciendo está acorde con el nivel de riesgo que se desea asumir.
La compañía ha detectado un aumento del 43% de los ciberataques a operadores en España en 2024. ¿Cómo cree que han evolucionado estos ataques en lo que llevamos de año?
Los porcentajes siguen aumentando. Hay que tener en cuenta que cuando se aplica un incremento sostenido del 42% a lo largo del tiempo, se trata de un crecimiento exponencial. La tendencia continúa en ascenso, y se mantiene porque hay otros sectores que, tradicionalmente, han sido menos maduros desde el punto de vista de la ciberseguridad y han comenzado a abordar la digitalización de sus compañías para mejorar sus procesos productivos, su estrategia de go to market y competir mejor.
En España, estos sectores han entrado más tarde en el proceso de digitalización. Claramente, entrar más tarde en este proceso hace que ahora, al estar digitalizados, sean un objetivo apetecible para los ciberdelincuentes. Por eso se mantienen esos crecimientos en los ciberataques.
¿En qué sectores estamos viendo que hay más ciberatacados? Principalmente en sectores que tradicionalmente han invertido poco en tecnologías de ciberseguridad, como el sector de la alimentación, que es muy importante para nuestro país. Este sector abarca la producción, transformación y distribución alimentaria.
Por otro lado, hay sectores que tradicionalmente han sido más maduros debido a regulaciones que les han impuesto la necesidad de ciberresiliencia, como es el caso del sector financiero y el sector de seguros, regulados por normativas como DORA. Sin embargo, cada vez más actores se van incorporando al mercado de la digitalización, y por lo tanto estarán más expuestos a los riesgos cibernéticos.
A pesar de que las empresas cada vez elevan su inversión en materia de ciberseguridad, el número de ataques no deja de crecer. ¿A qué cree que se debe?
Si me pongo en la piel de un CEO de una empresa de alguno de los sectores que hemos mencionado anteriormente, que debe abordar la digitalización de la compañía para ser más competitiva, y además irrumpe en el mercado de la ciberseguridad intentando entenderlo para protegerse, veo que se enfrenta un reto importante.
El mercado de la ciberseguridad, entendido como el ecosistema compuesto por tecnologías, proveedores tecnológicos, proveedores de servicios y, por supuesto, los atacantes que siempre buscan la manera de causarnos daño, es un sector muy fragmentado. Además, es un sector muy atractivo para los fondos de inversión, para las inversiones y para la generación de startups.
Yo diría que es un sector algo fragmentado, incluso “roto” en cierto sentido, porque ha crecido muy rápido debido a la alta demanda de productos, soluciones y tecnologías de ciberseguridad. Cuando un sector crece tan rápido, se genera un cierto efecto burbuja. Por eso, cuando un CEO o un técnico intenta dotarse de herramientas, soluciones o servicios que mejoren su postura de seguridad y acude al mercado, se encuentra con más de mil proveedores, todos afirmando ofrecer lo mismo.
Entonces, surgen preguntas como: ¿por dónde empiezo? ¿Qué es realmente importante? ¿Qué no lo es? Esa es la fragmentación con la que nos enfrentamos actualmente. Por lo tanto, tomar la decisión sobre cómo actuar y qué camino seguir es en sí mismo un gran desafío.
Acerca del evento “Desafío NIS2” para preparar a las empresas. ¿Qué tres retos destacaría sobre la nueva directiva NIS2 para el sector empresarial?
Creo que, en definitiva, vivimos en la Unión Europea y siempre se nos critica por ser muy reguladores y proteccionistas con los derechos, pero pienso que esto hay que verlo desde una perspectiva positiva. La NIS2 es una directiva que representa una evolución muy significativa respecto a la NIS1, y que debe ser transpuesta en España en forma de ley. Considero que es una excelente oportunidad para garantizar el adecuado funcionamiento de la sociedad. Cuando ocurren determinados problemas, todo el mundo se alarma, pero lo importante es anticiparse y poner los medios necesarios antes de que esto suceda.
Normalmente, en ciberseguridad no estamos ante negligencias, sino ante un ecosistema de atacantes que
buscan atacarnos para obtener un beneficio económico.
Por eso, NIS2 establece medidas técnicas, organizativas y procedimentales muy concretas. Ya hemos vivido algo similar con la Ley Orgánica de Protección de Datos: recuerdo cuando las compañías de telecomunicaciones enviaban listines telefónicos a domicilio, algo que la Ley Orgánica de Protección de Datos eliminó para proteger la privacidad. Algo parecido sucederá con NIS2.
En primer lugar, lo más relevante es que NIS2 amplía el espectro de compañías obligadas a cumplirla, dividiéndolas en dos grandes categorías: aquellas esenciales para el funcionamiento de la sociedad y aquellas consideradas importantes, también vinculadas a este propósito. Este es un reto fundamental.
En segundo lugar, extiende el perímetro de responsabilidad de las compañías. Casi todas necesitan proveedores y cadenas de suministro, y la directiva otorga a la compañía principal la responsabilidad sobre toda su cadena de suministro. Ya no se podrá justificar un fallo alegando que “mi proveedor falló y causó una brecha de seguridad”, lo que podría, por ejemplo, generar desabastecimiento en sectores clave como el alimentario.
Por último, este marco debe estar incorporado a la cuenta de resultados de cualquier empresa, porque competir bien hoy implica no solo respetar la privacidad y los derechos de los trabajadores, sino también cumplir con los mínimos requeridos por la normativa en materia de ciberseguridad.
Hay que verlo como una oportunidad para competir adecuadamente en un mercado en crecimiento que estará cada vez más impactado por la ciberseguridad. Aquellas empresas que no estén preparadas o no se preparen para enfrentar NIS2, considerando además las sanciones administrativas que contempla el anteproyecto de ley, podrían quedar fuera del mercado.
Sobre la masiva filtración de datos que ha afectado a grandes tecnológicas como Apple, Google y Meta. ¿Cómo se evalúa la magnitud de este incidente comparándolos con otros ataques más clásicos que se han producido anteriormente? ¿Qué soluciones propondría para evitar este tipo de amenazas?
Creo que esto nos invita a reflexionar sobre el hecho de que estamos ante una guerra asimétrica. Tradicionalmente, en una guerra convencional, las grandes empresas o entidades tienen más capacidad para invertir en mecanismos de seguridad física y operativa. Sin embargo, en el ámbito de la ciberseguridad se da una paradoja: cuanto más grande eres, mayor es tu superficie de exposición, más extensa es tu cadena de suministro y, por lo tanto, más vulnerable puedes llegar a ser.
Este caso es un claro ejemplo: hablamos de gigantes tecnológicos como Meta o Google, a los que se les presupone una inversión infinita o casi infinita en controles de ciberseguridad, pero que, aun así, se ven expuestos. Porque, simplemente, el riesgo cero no existe.
Volviendo al contexto de NIS2, mi recomendación para evitar este tipo de incidentes es no limitarse a una “seguridad por cumplimiento”, es decir, no basta con cumplir una ley o una regulación y pensar que ya está todo resuelto. Eso puede ser suficiente a nivel de comité de dirección, pero necesitamos ir un paso más allá.
Ese paso implica mejorar continuamente la postura de ciberseguridad de las compañías. No se trata de hacer un proyecto puntual y pensar que el riesgo queda mitigado para siempre. Como comentábamos al inicio, las amenazas evolucionan muy rápido, las tecnologías también cambian a gran velocidad, por lo que es imprescindible reevaluar constantemente el nivel de riesgo.
Debe ser un proceso continuo y constante. Si no se hace así, tarde o temprano el atacante encontrará la vulnerabilidad y accederá a través de esa brecha, pudiendo causar un gran daño.
¿Qué estrategias marcarán la agenda en los próximos dos años en cuanto a nuevos productos, mercados y tecnología?
Tenemos que tener en cuenta el contexto geopolítico actual. Hasta ahora, el crecimiento del 42% que comentábamos se daba en un entorno más estable. Los ciberataques más comunes respondían a motivaciones económicas, ligadas a la economía sumergida. Sin embargo, con las guerras en diferentes regiones del mundo, la ciberseguridad empieza a ocupar un lugar prioritario como cuestión de Estado.
La amenaza de la ciberguerra se percibe ya como real, y eso se refleja en el debate público: los medios hablan cada día del aumento del gasto en ciberdefensa, especialmente en tecnologías de doble uso. A corto plazo, esto ya está alterando la agenda, con planes inmediatos para aumentar la inversión en defensa y cumplir compromisos internacionales. De los fondos previstos, una parte significativa (unos 1.000 millones de euros) se destinará a tecnologías de ciberseguridad.
Una gran parte de esas tecnologías están en manos de países ajenos a la Unión Europea, lo que plantea dudas sobre la soberanía tecnológica europea. Por eso, desde Prosegur Cipher apostamos por que esa inversión sirva para apoyar al ecosistema español: empresas y tecnologías propias que puedan estar al servicio de las administraciones públicas, Fuerzas y Cuerpos de Seguridad del Estado y el Ejército.
En Cipher llevamos más de tres años invirtiendo en el desarrollo de una tecnología propia, registrada como propiedad intelectual en España, y con la que ya estamos compitiendo directamente con grandes actores internacionales en mercados como el estadounidense. No lo hacemos por arrebatarles cuota, sino por construir una solución robusta, basada en talento y capacidades nacionales, que esté a la altura de los mejores. Eso nos obliga a mejorar constantemente y nos posiciona en una “primera división” tecnológica.
Este compromiso se refleja en nuestra solución XMDR, ya disponible y preparada para su uso tanto civil como defensivo, como parte de nuestro esfuerzo por contribuir a la seguridad nacional desde la iniciativa privada.
Tras la actualización de xMDR con IA generativa y big data, ¿qué beneficios han percibido las empresas en detección y respuesta a las amenazas?
Cuando desarrollas una tecnología como esta, el objetivo principal es prevenir, detectar y responder a ciberataques dentro de las compañías. Partimos de la base de que el 100% de seguridad no existe, por tanto, algún incidente va a suceder tarde o temprano. Lo importante es ser capaz de mitigar su impacto lo máximo posible.
Para ello, es esencial conocer a tu enemigo, entender contra quién nos estamos defendiendo. Esta lógica no es nueva para nosotros: es muy parecida a la que seguimos en el ámbito de la seguridad física, en otras divisiones de Prosegur. Igual que en ese terreno analizamos el modus operandi de quien intenta robar en una casa o un supermercado, aquí hacemos lo mismo, pero en un entorno donde las cosas suceden a la velocidad de la luz.
Sabemos que los ciberdelincuentes ya están utilizando inteligencia artificial para mejorar sus tácticas: lanzan ataques más rápidos, más cambiantes, más sofisticados. Por eso, debemos defendernos con las mismas armas. Nosotros utilizamos la IA generativa para identificar qué atacantes están realizando campañas más agresivas, y evaluar si estas campañas podrían afectar a una industria específica o a una empresa concreta.
Una vez identificamos de quién debemos defendernos, el siguiente paso es anticipar por dónde nos pueden atacar y cómo podemos detectarlo. Esta parte tiene que ser extremadamente dinámica y veloz, porque el panorama de amenazas cambia constantemente.
Y después, si efectivamente detectamos que estamos ante un intento de ataque, también nos apoyamos en IA generativa para que nos guíe sobre cómo responder.
Ahora bien, aunque la inteligencia artificial sea una herramienta muy potente, no sustituye al analista humano. Es un asistente, un amplificador de capacidades. En última instancia, la decisión final siempre recae en una persona.
Por poner un ejemplo, podríamos decir que, así como antes existía el “rincón del vago”, ahora herramientas como Chat GPT representan una nueva forma de ahorrar tiempo en tareas repetitivas. Pero en este contexto, la IA es un verdadero valor añadido. Sin embargo, el analista es el que toma la última decisión.
¿En qué consiste el Servicio de SPIP y qué ventajas aporta?
Como comentaba antes, tradicionalmente las empresas realizaban grandes análisis de riesgos y a partir de ahí definían un plan de proyectos que se ejecutaba en un plazo de tres, cuatro o cinco años. Eso corresponde a una forma de trabajar más analógica, que funcionaba en otro tiempo.
Ahora, estamos complementando nuestra solución de XMDR, centrada en prevención, detección y respuesta, con un nuevo servicio que pone aún más foco en la prevención continua: el servicio SPIP. SPIP es una evaluación continua de ciberseguridad que se basa tres pilares fundamentales.
La primera es que no queremos hacer el típico informe en papel, que al final es analógico, estático por naturaleza y que se queda ahí guardado. Lo que queremos es apoyarnos en tecnologías para que ese análisis sea dinámico, que esté vivo en el tiempo.
Lo segundo que hacemos es analizar las arquitecturas técnicas que tienen las compañías, y ver si están acordes con las mejores prácticas. Y aquí una referencia súper relevante, sobre todo en el ámbito de NIS, es el Esquema Nacional de Seguridad, que parece que se va a convertir en la referencia de lo que tienen que hacer las entidades.
Y el tercer elemento que usamos es cómo priorizar los proyectos y saber primero cómo de vulnerable soy.
Para eso combinamos un equipo de arquitectos de ciberseguridad y de red teamers o hackers para ayudar a priorizar los proyectos.
Esto es muy parecido a cuando tú quieres poner una alarma en tu casa. Esperemos que sea con Movistar Prosegur Alarmas, claro. Pero si tú quieres poner una alarma en tu casa, tienes que hacer un estudio de tu vivienda: dónde pondrías los sensores, los volumétricos, las cerraduras, las cámaras... Ese estudio tiene sentido porque tú en tu casa normalmente no cambias las habitaciones, porque físicamente es imposible. Y si las cambias, tardas meses hasta que terminas la obra y puedes reorganizar la seguridad.
Pero en el mundo digital eso no pasa. No hay construcciones fijas, no hay espacios estáticos. Todo cambia a gran velocidad. Entonces, lo que proponemos es hacer ese análisis de manera continua en el tiempo, y que cada vez que haya un desvío respecto del perfil de riesgos, lo puedas detectar a tiempo.
Por poner un ejemplo: imagina que decides abrir una ventana a un patio interior, una de esas que no llevan rejas. En el mundo digital eso pasa constantemente. Muchas veces en las compañías se abren “ventanas” que nadie controla. Y por muy bien que estés protegido en otras cosas, si esa ventana está abierta, tarde o temprano vas a tener una brecha de seguridad. Como las que hemos visto en algunos gigantes tecnológicos, que al final también están expuestos. Y ese es el reto. Eso es lo que queremos cubrir o aportar con este servicio a las compañías y a las administraciones públicas.
