El Foco

¿Están protegidas nuestras empresas?

Imaginen ustedes que su empresa sufre un ataque informático de carácter deliberado, es decir, un posible ciberdelito. Cuando quisiera ser consciente del problema, podría llamar al 091, incluso presentar una denuncia en la comisaría más cercana. Le costaría documentar las evidencias y, a veces, podría ocurrir que ni siquiera estas se pudieran recoger ni custodiar de la forma exigida por la ley procesal.

La respuesta a su denuncia o a su llamada a la Policía le dejaría, probablemente, una sensación frustrante: lo más seguro es que no se sintiera asistido del mismo modo que si el delito hubiera sido una intrusión física en sus oficinas. Y luego, busque un técnico cualificado que le solucione el desaguisado producido. Por tanto, la respuesta a la pregunta del título de este artículo es clara: No.

Las empresas no están suficientemente protegidas ante estas nuevas formas delictivas. Este es el reto al que debemos dar respuesta. El problema ya existe y avanza a una velocidad que nos obliga a hacer sonar las necesarias señales de alarma.

En las últimas décadas, y de forma exponencialmente acelerada, el desarrollo de la sociedad y de la economía globalizada ha hecho que dependamos absolutamente de la informática y de las telecomunicaciones. La realidad es que las empresas, las grandes, pero también las medianas y pequeñas, dependen casi al 100% del correcto funcionamiento de aplicaciones informáticas y de sistemas de telecomunicaciones para sus actividades.

Este nuevo escenario económico y social, supone enormes ventajas y posibilidades en el desarrollo económico. El mundo globalizado se hace accesible para todos. Los emprendedores tienen a su alcance cualquier posibilidad de intercambio comercial y, todos tenemos acceso a una gran cantidad de información acerca de cualquier rincón del planeta.

Pero, esas mismas facilidades también las tienen los malos, para entendernos. Este nuevo panorama ha hecho que aparezcan nuevos riesgos para las empresas, unos de carácter técnico, pero, los más preocupantes son los intencionados. Las consecuencias de estas amenazas suponen para las empresas afectadas importantes daños económicos, graves problemas en la reputación, incumplimientos de la obligación de custodiar datos de carácter personal, y la peor de todas, es la sensación de impotencia.

Tomemos conciencia real que, detrás de los ciberdelitos, están delincuentes o grupos perfectamente organizados, a los que todos, los afectados, pero en mayor medida, las instituciones que deben velar por nuestra seguridad, debemos combatir.

La veloz evolución de estas figuras delictivas, la complejidad del entorno en que se realizan, el de la informática y las telecomunicaciones, y el carácter ubicuo e internacional de los orígenes de esta moderna ciberdelincuencia, presentan un reto formidable al Estado. No solo hay que adaptar legislación penal y procesal a nuevas figuras (delitos realizados desde otros países, necesidad de captar las evidencias instantáneamente, etc.), también, se necesita un esfuerzo ingente de formación de jueces, fiscales, fuerzas y cuerpos de seguridad y, algo importante, de reclutamiento de especialistas para colaborar con estos colectivos.

En definitiva, es evidente que en España, como en prácticamente en todos los países, el Estado corre en una carrera en la que su vehículo es de los más lentos y además, ha salido con retraso.

En España en los últimos años se ha realizado un gran esfuerzo por parte de la Administración: publicación de la Estrategia Nacional de Ciberseguridad, creación del Consejo de Ciberseguridad Nacional, dependiente de Presidencia del Gobierno, creación de la Oficina de Coordinación de la Ciberseguridad, dependiente del ministerio del Interior, creación del CERT (Computer Emergency Response Team, Centro de recepción y difusión de información sobre incidentes y amenazas de ciberseguridad) de seguridad industria, en colaboración entre los Ministerios de Industria, Energía y Comercio y el de Interior, impulso al Incibe (instituto nacional de ciberseguridad, dependiente del ministerio de Industria, Energía y Turismo y soporte técnico fundamental del CERT de Seguridad e Industria), etc. Pero aún no disponemos de los procedimientos para responder adecuadamente ante estos delitos.

Según se recoge en el Anuario Estadístico del Ministerio del Interior de 2014, los ciberdelitos (según definición del Convenio de Budapest, ratificado por España en 2010) han supuesto el 2,28% de las infracciones penales con un incremento interanual del 17%. Pero, hay que tener en cuenta que el porcentaje de denuncias por ataques informáticos aun es muy bajo (ver el informe de ESYS en 2014: Necesidades y dificultades de comunicación de incidentes de ciberseguridad entre las empresas).

Estamos ante un reto formidable, pues, según la encuesta global de delitos económicos 2014 de PwC, el 25% de las empresas son víctimas de un delito cibernético.

Los informes de Interpol estiman que solo en Europa, el coste asociado a esta modalidad delictiva ha alcanzado los 750.000 millones de euros en 2013, y según el World Economic Forum, este tipo de delincuencia podría generar unas pérdidas económicas en todo el mundo de más de 9 billones de dólares en el periodo 2015-2020.

Por tanto, la lucha contra la ciberdelincuencia no puede seguir las pautas tradicionales de la lucha contra el delito en general. Amenazas simultáneas, agresores-Estado, evolución de los delitos y de los medios utilizados, son nuevos retos que obligan a una nueva forma de afrontarlos.

No se trata ya solo de que los Estados protejan a los ciudadanos, a las empresas y que recaben la colaboración de todos. La lucha contra los ciberdelitos debe partir de una nueva cooperación entre sociedad civil y Administración, con la necesaria presencia de todos los actores implicados: las empresas, los especialistas, la universidad y entidades como la Fundación ESYS que se ha especializado en análisis y debates acerca del concepto seguridad.

Hace falta voluntad, especialistas y recursos económicos concretos e importantes. Las empresas así lo demandan. Aunque no queramos mirar, la realidad sigue corriendo a velocidad de gigas.

Javier Gómez-Navarro Navarrete es Presidente de la Fundación ESYSy Exministro de Comercio.

Normas