En los dos últimos años, las amenazas de ciberseguridad han aumentado en la Unión Europea, tanto en número como en sofisticación. La previsión es que esta tendencia siga su escalada, teniendo en cuenta que, en tan solo dos años, 22.300 millones de dispositivos en todo el mundo estarán conectados al Internet de las cosas.

Por este motivo, en Coremain nos sumamos al Mes Europeo de la Ciberseguridad, que se celebra cada mes de octubre desde 2012, para poner en valor la necesidad de contribuir a impulsar conductas ciberresponsables y a gestionar el riesgo tecnológico entre empresas y usuarios.

¿En qué consiste el Mes Europeo de la Ciberseguridad?

La iniciativa, que este año celebra su décimo aniversario, está promovida por la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) y concentra numerosas actividades en toda Europa a lo largo del mes para sensibilizar y educar en ciberseguridad. Desde talleres y conferencias a cursos para enseñar al usuario a proteger su seguridad en el entorno digital. Concretamente, esta edición se centra en el phising –robo de datos personales y el ransomware- programas de secuestro de datos-.

 En este enlace puedes consultar el calendario de eventos previsto en toda Europa y acceder a un mapa interactivo para conocer las organizaciones nacionales a las que se puede acudir en caso de exposición a riesgos digitales.

¿Cuáles son las principales ciberamenazas en la UE?

  1. Programas de secuestro en los que los ciberdelincuentes encriptan los datos de una organización y exigen un rescate para restaurar el acceso. El precio medio de los rescates se ha duplicado.
  2. Programas malignos concebidos para dañar un dispositivo, perturbar su funcionamiento o acceder a él sin autorización. Se han reducido un 43%.
  3. Criptosecuestros o criptominería maliciosa consistente en el uso no autorizado del ordenador, el teléfono inteligente o la tableta de un usuario para minar criptomoneda.
  4. Ataques por correo electrónico para intetar robar contraseñas o datos de tarjetas de crédito a través de técnicas como el phishing y el spam.
  5. Violaciones de la seguridad de los datos y fugas de datos consistentes en divulgación de datos sensibles, confidenciales o protegidos en un entorno no fiable. En este sentido, se han detectado un aumento de las violaciones de seguridad de datos sanitarios.
  6. Ataques distribuidos de denegación de servicio que impiden a los usuarios de una red o sistema acceder a información, servicios y otros recursos.
  7. Desinformación consistente en crear o divulgar información falsa o engañosa para manipular a la opinión pública.
  8. Amenazas no malintencionadas que en su mayoría se deben a errores humanos o como consecuencia de catástrofes naturales que causan daños en las infraestructuras informáticas.
  9. Amenazas a la cadena de suministro de una organización y capaces de producir efectos en cascada.

¿Qué está haciendo la UE en materia de ciberseguridad?

La UE trabaja desde distintos frentes para proteger a las personas y empresas de la ciberdelincuencia y tratar de garantizar un ciberespacio seguro, abierto y protegido, promoviendo la ciberresilencia, la lucha contra la ciberdelincuencia, la ciberdiplomacia y la ciberdefensa.

En este sentido, en junio de 2019 entró en vigor el Reglamente de Ciberseguridad de la UE, que introdujo un sistema de certificación para toda la UE, así como un mandato nuevo y reforzado para la Agencia de la UE para la Ciberseguridad. Asimismo, la UE está trabajando en dos propuestas legislativas para abordar los riesgos actuales y futuros en Internet. Por un lado, en una Directiva actualizada para proteger mejor las redes y los sistemas de información, que responde a la evolución de las amenazas, y tiene en cuenta la transformación digital que se ha acelerado con la COVD-19 y, por otro, una nueva Directiva sobre la resiliencia de las entidades críticas.

Además, en Europol se ha creado un Centro Europeo de Ciberdelincuencia para ayudar a los países de la Unión a investigar los delitos en línea y desmantelar las redes delictivas.

Cabe señalar que la UE se ha comprometido a invertir 1.600 millones de euros, en el marco del programa Europa Digital para el periodo 2021-2027, en capacidades de ciberseguridad y la implantación general de infraestructuras y herramientas de ciberseguridad, tanto para las administraciones públicas como para las empresas y los particulares.

Ciberseguridad en la empresa española

 El sector privado español ha dado un salto de gigante en los últimos años en cuanto a la gestión de los ciberriesgos, pero de forma desigual. Así, mientras que las grandes empresas han alcanzado un destacado nivel de seguridad, implementando modelos de gobierno de la seguridad de la información con roles y responsabilidades definidas, las pymes se han quedado atrás. La mayoría no cuentan con una política básica de ciberseguridad y muchas la ven como un lujo. Según revela el estudio de Deloitte “El estado de la Ciberseguridad en España”, la mayoría de las empresas cuenta con un centro de operaciones en ciberseguridad o un equipo de respuesta ante emergencias informáticas. La excepción se observa en las pequeñas empresas.

Otro dato significativo en el que pone el foco este informe es que se ha experimentado un aumento de la externalización de servicios de seguridad en las empresas de sectores con mayor nivel de madurez en ciberseguridad. También, que se ha reducido el número de empresas sin certificaciones en la materia, aunque el porcentaje de compañías que no dispone de ninguna certificación en este ámbito sigue siendo elevado (49%). El estándar ISO 27001es el más utilizado por las compañías para mejorar sus procesos de ciberseguridad.

En este contexto, cabe señalar que solo en 2021, el 94% de las empresas españolas fueron objeto, al menos, de un incidente grave de ciberseguridad, y el malwere, el phishing y el ransonware se situaron entre las amenazas más habituales. Los sectores de las telecomunicaciones, media y tecnología y fabricación fueron, además, los que mayor número de inocentes reportaron en ese periodo.