Deepak Daswani: “Las pymes muchas veces dejan la ciberseguridad a un lado”

El experto en ciberseguridad y ‘hacker’ Deepak Daswani ha alertado en una entrevista con EFEempresas de que mientras las grandes empresas están dedicando recursos a proteger sus sistemas, las pymes “muchas veces dejan la ciberseguridad a un lado”.

El experto en ciberseguridad y ‘hacker’ Deepak Daswani.

Para este ingeniero y ‘hacker’ canario, los incidentes de ciberseguridad que van saliendo a la luz pública están provocando que las grandes empresas vean “las orejas al lobo” y dediquen “recursos” a este apartado, algo que no está ocurriendo en las pequeñas y medianas compañías.

“Es verdad que las pymes se dedican a su negocio y muchas veces dejan la ciberseguridad a un lado. En las auditorías te encuentras muchas organizaciones en la que es muy fácil encontrar un fallo de seguridad que explotar y a partir de ahí sacar toda la información”, ha declarado a EFEempresas Daswani, autor del libro ‘La amenaza hacker’, publicado recientemente por la editorial Deusto (Planeta).

Los principales riesgos para las empresas son los robos de información, principalmente a través de ataques de programas maliciosos que piden rescate por la información como el ‘ransomware’, y la pérdida de reputación y de confianza para las empresas que sufren estos problemas.

“WannaCry no fue un antes y un después para las grandes empresas”

Para el gran público, el ‘ransomware’ WannaCry supuso la primera gran noticia de esta amenaza global, que afectó en mayo de 2017 a un buen número de compañías, entre ellas grandes empresas españolas como Telefónica, pero también a la francesa Renault, a la banca y el ministerio del Interior de Rusia, los trenes alemanes o los hospitales británicos; aunque Daswani considera que las grandes empresas ya estaban preparadas para ello.

“Para las grandes empresas no fue un antes y un después, porque estaban preparadas para este tipo de incidentes, son las que dedican recursos y son conscientes de que la seguridad al cien por cien es imposible. Telefónica lo gestionó de manera impecable, no hubo caídas y tenía un plan de respuesta a incidentes”, ha señalado Daswani, que colabora con la multinacional de telecomunicaciones española en su área de ciberseguridad realizando divulgación.

Con WannaCry la sociedad comenzó a ver “de otra manera” la ciberseguridad

La clave de WannaCry fue que el resto de la sociedad comenzó a ver la seguridad informática “de otra manera”. “Las empresas de seguros contra ciberriesgos vivieron un incremento de pólizas a raíz del ataque, porque las pymes vieron que eso podía pasar”, ha asegurado.

Al mismo tiempo, las empresas europeas han visto cómo desde el mes de mayo el reglamento de protección de datos (RGPD) les obliga a fortalecer sus sistemas para salvaguardar los datos de los usuarios.

“Hasta hace poco la legislación era muy laxa, a día de hoy si tienes un incidente te expones a tener multas, estás obligado a hacer auditorías de seguridad sobre tus sistemas, tener un responsable de datos… Esto hace que las empresas se preocupen, aunque aún así, hay de todo”, ha manifestado el experto.

De hecho, Daswani revela en el libro cómo a mediados de 2018 detectó una vulnerabilidad en la aplicación de una empresa de gimnasios con 1.600 centros en 16 países, cuya ‘app’ había sido desarrollada por una empresa española y en la que descubrió una brecha por la que se podía acceder a los datos de salud de 10 millones de usuarios.

“Se lo reporté a la empresa y no me hizo ni caso, después lo dije en una conferencia y salió en televisión, y al lunes siguiente me llamaron. Yo les dije los problemas que tenían, quedamos en hacer una auditoría y no volvieron a responder. No creo que todas las empresas sean así, pero es un ejemplo de organización que podía llevar al traste todo su negocio”, ha explicado.

El ‘hacker’ busca superar los límites de la tecnología para hacerla más segura

El ingeniero canario, que compagina su labor como consultor para empresas en ciberseguridad y sus tareas de divulgación con la investigación de vulnerabilidades como ‘hacker’, ha reivindicado la diferencia de este término, que identifica a aquel que busca “superar los límites en la tecnología para hacerla más segura” con el ciberdelincuente, quien utiliza estas técnicas para llevar a cabo delitos.

Muchas grandes compañías están ya confiando en ‘hackers’ para poner a prueba sus sistemas en un sector que tiene “muchísima demanda de profesionales”, porque es un conocimiento “difícil de adquirir”, pero en el que en España hay un buen nivel, bajo el punto de vista de Daswani.

España tiene “una buena cantera” de profesionales de ciberseguridad

En España hay muy buena cantera con profesionales de primer nivel. Tenemos investigadores que han dado charlas en las mejores conferencias mundiales y han obtenido reconocimientos por descubrir vulnerabilidades”, ha asegurado.

Daswani ha opinado que los riesgos de ciberseguridad “seguirán incrementándose” en el futuro con el número de dispositivos conectados que utilizan tanto las empresas como los usuarios particulares, que deben concienciarse para minimizarlos.

Actualizar siempre los sistemas operativos, tener “una contraseña robusta” en el correo electrónico con verificación en dos pasos y tener “un antivirus comercial de reputación contrastada” son los consejos principales que ha mencionado, con uno adicional: “Desconfiar por norma de cualquier cosa que no encaje en lo habitual”.