Cómo la firma cualificada puede ayudar a evitar los fraudes y ataques digitales

Tener o no tener certificado digital, este es el escenario actual que define el “ser o no ser” de una empresa en materia de ciberseguridad. Algo que a priori parece muy simple, todavía resulta muy confuso para el sector empresarial español, que se encuentra en proceso de tomar conciencia de la necesidad de establecer un plan de cultura, capacitación y concienciación en seguridad digital.

La ciberdelincuencia y el fraude digital en tiempos de pandemia, como ya sabemos, es un fenómeno en alza. Los cambios en digitalización están sucediendo muy deprisa y, por tanto, las compañías debemos adaptarnos a ellos con gran agilidad. Si nos detenemos por un momento a analizar el contexto en el que nos encontramos, los datos son significativos. Los ciberdelitos ya mueven más dinero que el narcotráfico, en concreto 600.000 millones de dólares, lo que representa el 0,8% del PIB mundial. El ciberdelito es la variedad delictiva de mayor crecimiento.

Si nos fijamos en el avance de nuestro país en este campo, todavía existe una escasa presencia de la ciberseguridad en la cultura empresarial. Incluso todavía resulta complejo entender qué es un certificado digital o cómo se genera una firma electrónica cualificada, elementos clave para prevenir fraudes, suplantación de identidad... Para que nos hagamos una mejor idea, según el Informe del Estado de Cultura de Ciberseguridad en el Entorno Empresarial, elaborado por el área de ‘Cyber Risk Culture’ (CRC) de PwC España, el 86% de las empresas españolas carecen de cultura de ciberseguridad a día de hoy.

Desde nuestro punto de vista, esto se puede deber a dos condicionantes básicos. El primero es la falta de concienciación sobre la importancia de adquirir una identidad digital, así como valorar las consecuencias directas que puede tener sobre la cuenta de resultados. Un ataque informático puede generar pérdidas de millones de euros, robos de BBDD y hasta una fractura en la reputación corporativa que, antes o después, repercutirá indudablemente en los resultados empresariales. En segundo lugar, el escaso conocimiento que se tiene de los actores y herramientas que permiten securizar los procesos en remoto y las transacciones electrónicas.

Cuanto más avanza la tecnología, más necesidad tenemos de implementar herramientas que nos permitan no confiar sólo en lo que estamos “viendo”, porque a diferencia de la presencialidad, con la tecnología eso que estamos “visualizando a través de una pantalla” se puede “alterar". Es por ello que, a la hora de trabajar en remoto, es vital apostar por la firma electrónica más segura y con mayor garantía jurídica, y esta es la firma cualificada.

Hagamos un breve repaso. La normativa europea eIDAS reconoce tres tipos de firma electrónica: la simple, avanzada y cualificada. Todos válidos, legalmente vinculantes y admisibles ante un tribunal, pero con una fortaleza legal diferente. En este sentido, es importante saber que la cualificada es la única firma electrónica equiparable a efectos jurídicos con la firma manuscrita tradicional.

La firma electrónica cualificada se basa en la utilización de certificados digitales cualificados y la generación de la firma utilizando un dispositivo seguro de creación de firma conocido como QSCD (Qualified Signature Creation Device). Este dispositivo es el responsable de generar firmas cualificadas mediante el uso de hardware y software específicos que garantizan que solo el firmante tiene el control de su clave privada. Además, para que una firma electrónica sea considerada como firma cualificada debe cumplir con otros dos requisitos más: el firmante debe estar vinculado e identificado de manera única a la firma y debe tener la capacidad de garantizar que los datos no han sido modificados tras la firma.

En este sentido, no cabe duda de que debemos optar por el uso de certificados digitales cualificados. Además, debemos tener en cuenta que hayan sido generados por autoridades de certificación que disponen del sello de PSCC como prestadores de confianza cualificados. Por tanto, tenemos a nuestro alcance soluciones que ayudan a proteger la identidad digital orientadas a preservar la seguridad, asegurar un control constante y generar una custodia permanente en todas las gestiones gracias a la centralización en la nube.

Sin embargo, hay sectores que se encuentran mucho más avanzados en este tema y cuentan con mayor solidez digital. En nuestro caso, como expertos en tecnología e innovación, hemos presenciado un gran avance en materia digital por parte del sector financiero en el que sí existe una percepción y priorización de estas cuestiones como resulta obvio. Ellos sufren en primera línea de batalla la ciberdelincuencia, los fraudes y ataques cibernéticos. Es por ello que ya se han desarrollado soluciones digitales ad hoc, como sería por ejemplo IvRM, enfocadas en risk management para salvaguardar los procesos de concesión de créditos.

No obstante, estos nuevos servicios inteligentes y avanzados, solo los podrá desarrollar aquella compañía con mayor capacidad de adaptación y respuesta ante los cambios organizativos y tecnológicos emergentes.

Entre los players de firma y certificado digital actuales encontramos una enorme variedad de distribuidores que se dedican a comercializar un software atractivo, minimalista y superficial. Son muchos más escasos los fabricantes, quienes a diferencia del resto trabajamos para construir un software security by design pensado para cumplir con la legislación y que permita custodiar las identidades electrónicas. La función principal de cualquier plataforma de firma electrónica basada en la seguridad, debe ser la protección del certificado digital, así como permitir un control de todos los usos que se están haciendo del certificado de modo que todas las operaciones queden registradas para que el titular del certificado pueda saber en todo momento, quién y para qué lo ha empleado. Se trata de que el prestador del servicio se convierta en garante del buen uso del certificado digital y protector de su identidad ante posibles fraudes.

En conclusión, debemos mejorar la gobernanza de la ciberseguridad incluyendo nuevos protocolos de comunicación de ciberincidentes. Solo nos basta con observar la realidad de los escenarios en los que trabajamos para convencernos de la necesidad de defender nuestra identidad digital frente a hackers. La seguridad digital se compone de tres elementos: tecnología, personas y procesos.

Sergio Ruiz, consejero delegado de Ivnosys.