“Hay ataques informáticos graves que no salen al a luz”

Aunque trabaja en Madrid desde hace más de 20 años, todavía vive en su San Sebastián natal. El consejero delegado de S21SEC, Xabier Mitxelena, tiene claro que su negocio, la ciberseguridad, va a ir a más. Nacida en los años noventa, la compañía que fundó es hoy una de las referencias nacionales en la materia.

¿Cree que las empresas son realmente conscientes de las amenazas que les acechan?

En general, no. Todavía se asocia demasiado la ciberseguridad al ámbito económico: fraude, robo de información de tarjetas, etcétera. La realidad es que los nuevos entornos y los conflictos globales nos enseñan que la actividad de las redes tiene efecto en nuestros negocios. Muchos de los ataques que sufren se desconocen. En Estados Unidos eso no pasa: las empresas cotizadas están obligadas por ley a informar sobre lo que les sucede. Todo apunta a que en Europa se va a empezar a hacer lo mismo, pero hasta entonces... Desde mi punto de vista, todavía estamos en un punto de concienciación alejado del óptimo.

¿De qué ataques no nos enteramos?

Hay robos de tarjetas, sustracción de credenciales... También se dan casos en algunos países de fallos de infraestructuras críticas como, por ejemplo, problemas con la distribución eléctrica. Aunque a menudo suelen ser errores informáticos. Somos un país atacado, y que también se usa para atacar. España está en el top 5 en el lanzamiento de ataques de malware [software maligno], junto a Estados Unidos, China, Rusia y Brasil. Creo que es un tema sensible y en el que estaría bien tomar medidas antes de que suceda algo gordo.

¿España es un país seguro?

En el ámbito físico, sí, de acuerdo con los rankings. En el ámbito lógico, en cambio, todavía queda mucho por recorrer. Yo le pondría un 4,5. Pero si me lo hubiera preguntado hace un par de años habría puntuado un dos. Hemos conseguido que la ciberseguridad esté en los procesos de negocio de las compañías.

¿Manejan datos sobre cuánto dinero al año cuestan estos ataques?

Es difícil de medir, pero las últimas estadísticas de 2014 dicen que la ciberseguridad cuesta billones de euros en todo el mundo, contando tanto los ataques como las medidas que se toman después. Un avance importante es que ya se mide, cosa que antes no pasaba. En el sector financiero se sabe que por cada credencial o claves personales que se roban se pierden unos 3.000 euros de media.

¿Cómo ha cambiado la ciberdelincuencia en los últimos años?

Ha evolucionado mucho. En 2004 o 2005 hablábamos de los hackers en sentido romántico. Ahora ya se trata de una industria organizada, que además gana mucho dinero. Los cibercriminales son profesionales, trabajan con sus propios expertos. Han llegado para quedarse, porque tienen muchos recursos para invertir en innovación. Esto es una carrera de fondo entre los buenos y los malos. Tenemos muy claro que solo podemos ganar en un entorno colaborativo, logrando que los sectores privado y público cooperen. Además de la colaboración, hay que asumir un cierto nivel de riesgo. La seguridad total no existe. Y hay que desarrollar modelos transnacionales. Muchos ataques implican a varios países a la vez. El gran problema que eso plantea es que hace falta una legislación común sobre el tema.

¿No tiene la sensación de estar luchando contra las olas del mar?

El eslabón más débil de la cadena es la persona. En todos los sistemas hay uno o más individuos con el 100% de las claves de seguridad. Si no está contento con la empresa, puede hacer mucho daño. Nada es perfecto, la seguridad total es imposible. Estamos expuestos a las olas, sí. Por eso hay que levantar una serie de muros. Se trata sobre todo de monitorizar y prevenir los riesgos. Sin un entorno colaborativo es imposible generar confianza.

¿Hasta dónde puede llegar la lucha por la seguridad de las redes?

Ciberespionaje, ciberdelincuencia y ciberterrorismo son términos que ya usamos todos. ¿Cuánta libertad puede haber? Ese es un tema muy complejo de gestionar. Lo más importante es que estemos concienciados, de ese modo se evita el 95% de los riesgos. Sorteos de viajes, premios, mensajes extraños de amigos... Hay que huir de todo eso. La capacidad de los malos de entrar en una organización, cambiar las claves de seguridad y quedarse dentro es infinita.

¿Cómo valora la industria española de ciberseguridad?

El problema es que la seguridad requiere inversión, privada y pública. Creo que en España estamos todavía en un 20% o 25% del potencial del mercado. La ciberseguridad es una preocupación que va entrando poco a poco en las grandes organizaciones y estoy seguro de que, antes o después, va a tener un crecimiento exponencial. No hace falta que haya un 11S para eso. En estos momentos Europa ya se está moviendo. La ciberseguridad es clave en la Agenda 2020 [que establece la estrategia de crecimiento de la UE para ese año]. No sé cuántos tanques y aviones hay que comprar, pero lo que es seguro es que hace falta más control sobre expertos en gestión de redes y de crisis cibernéticas.