Este jueves a la mañana se ha celebrado en Baluarte el 3er Foro & Developers Challenge Navarra de Seguridad Digital organizado por ATANA, Clúster de Tecnología y Consultoría, junto a IRIS Polo de Innovación Digital de Navarra, con el patrocinio de Laboral Kutxa, Veridas y Euskaltel, y el apoyo institucional del Instituto Nacional de Ciberseguridad (INCIBE) y el Navarra Cybersecurity Center del Gobierno de Navarra.
Esta cita anual ya se ha consolidado como el evento de referencia en ciberseguridad, un tema que cada vez preocupa más a las empresas tras ver cómo los ciberataques crecen exponencialmente cada día, batiendo alarmantes récords tanto en cantidad como en calidad.
Y es que los ciberdelincuentes agudizan su ingenio para cometer delitos en la red cada vez más sofisticados y estafar así con facilidad al mayor número de víctimas posible, en su mayoría pymes y autónomos, tal y como hemos podido comprobar esta mañana en Foro NASEC 2023.
Por este motivo, ante la necesidad de sensibilizar a las pymes navarras de la importancia de concienciar a los trabajadores en materia de seguridad digital, ATANA ha organizado esta jornada por tercer año consecutivo en la que un elenco de ponentes pertenecientes a instituciones y empresas referentes en el mundo de la ciberseguridad han expuesto su visión en esta materia.
Según han coincidido varios de ellos, la ciberdelincuencia es ya una potente industria que busca un alto beneficio económico a costa del desconocimiento, la desidia o la confianza en exceso de sus víctimas.
Eduardo Azanza, secretario de ATANA y CEO de Veridas, destacó en su bienvenida que “las pymes se han convertido en el principal objetivo de los ciberdelincuentes”, en donde el número de ataques se ha incrementado en un 250 %. “Todos somos objetivo”, ya no solo las grandes compañías. Y añadió: “La clave de esa lucha solo es una: formar a las futuras generaciones en tecnología e industria”, además de “apostar porque las empresas crezcan cada vez más y mejor”.
Juan Ramón Aramendía, coordinador del recién creado Navarra Cybersecurity Center (NCSC), presentó CIBERREG, un proyecto liderado por Navarra que tiene por objeto impulsar la ciberseguridad desde los territorios y en el que participan otras siete comunidades autónomas.
Según explicó, el cibercrimen y la ciberseguridad son dos industrias paralelas que se retroalimentan entre sí, alimentadas a su vez por la transformación digital. “Pero la industria de la ciberseguridad tiene un problema: no tiene gente, no hay suficientes profesionales para cubrirla”. Por este motivo el Gobierno de Navarra ha creado el NCSC como centro de referencia en materia de ciberseguridad en la Comunidad Foral, una ventanilla única a la que puedan acudir las empresas tanto para prevenir ciberataques como para poder combatirlos, en caso de que estos se hayan producido.
Precisamente Ignacio Porro y Pablo Gracia, expertos en ciberseguridad en el Instituto Nacional de Ciberseguridad (INCIBE), explicaron que los métodos más utilizados hoy en día por los ciberdelincuentes para atacar a las empresas son el ramsomware, la suplantación de identidad, el phishing… Por este motivo, “la concienciación y la formación a los empleados es clave, ya que va a permitir evitar ataques”. “El 90% de los ataques los podríamos prevenir con unas sencillas prácticas y sentido común”, comentaba Porro. Por su parte, Gracia expuso las herramientas que ofrece INCIBE, todas ellas gratuitas, para que ciudadanía y empresas puedan prevenir ataques y sepan cómo actuar en caso de que estos se produzcan.
Mikel Sánchez, Sales Engineering Global Director de Veridas, indicó que la compañía ha realizado más de 100 millones de procesos de verificación de identidad desde el 2017. Con el auge de la Inteligencia Artificial generativa están viendo casos de fraude y suplantación de identidad más sofisticados, pero “máquina no engaña a máquina”, sentenció. “Cada día surgen nuevos ataques y cada día supone un reto. Pero en Veridas confiamos en la biometría como el método más seguro de verificación de la identidad”.
Jokin Glaría, consultor de Negocio Gran Empresa de Euskaltel, puso de relieve que “el conocimiento se puede utilizar para hacer el bien o hacer el mal” en su charla sobre el hacking ético avanzado. Además mostró el mapa de ruta que seguiría alguien que va a perpetrar un ataque a una compañía.
Coincidió con otros ponentes al señalar que cualquier empresa, pequeña o grande, puede ser objetivo de los ciberdelincuentes y que “por eso, cuantas más medidas de protección utilicemos, más reduciremos el riesgo”.
A continuación, Teo Murguía, CEO de DISCOM, ha expuesto qué pasos seguir cuando nuestra empresa ha sido atacada, destacando la creación de un gabinete de crisis liderado por un perfil técnico y la utilización de la comunicación como herramienta imprescindible, tanto a nivel técnico como de negocio. Además ha aconsejado la creación de un plan preventivo que sirva de guía en caso de sufrir un incidente de este tipo.
Tras una pausa café-networking, Mar López, Associated Director Accenture Security, quiso hacer reflexionar a los asistentes alrededor de varios conceptos interesantes. “El big ban fue el momento más singular de la historia del universo. Y la creación del ciberespacio es otro momento singular en la era de la humanidad. Es un cambio explosivo, impactante, que ha hecho desparecer las fronteras entre lo virtual y lo físico”, afirmó. “Es muy difícil medir lo que sucede hoy en día en el ciberespacio, y eso genera mucha incertidumbre”, añadió.
Álvaro Pérez Soria, Técnico de Innovación del grupo Laboral Kutxa, argumentó que la innovación y la ciberseguridad son un binomio inseparable. “Cada vez hay más ataques, y más en el sector de la banca. Por eso tenemos que ser innovadores e intentar ir por delante”. En su caso trabajan con la biometría comportamental, que se basa en el análisis y evaluación del comportamiento de los usuarios en el entorno digital.
Por su parte, Emilio Rubio, responsable de Seguridad de la Información en Tracasa Instrumental, comenzó su ponencia exponiendo dos intentos de ataques que sufrieron en su propia empresa y que, afortunadamente, lograron frenar. Del primer ataque sacaron una conclusión: “Es necesario concienciación, formación y entrenamiento en ciberseguridad”. Además afirmó que “es importante capacitar a las personas también en su entorno personal, no solo en el profesional”.
José Antonio Cruceira, miembro del Equipo de Delincuencia Económica y Tecnológica de la Guardia Civil en Navarra, vive muy de cerca cada día las consecuencias de los delitos en el entorno digital: “Los malos siempre están en constante evolución. Y ellos invierten en innovación”, declaró. A pesar de las cifras demoledoras que ofreció al comienzo de su ponencia, arrojó un dato esperanzador. Y es que las estafas como tal son las mimas que hace diez años, por lo que nos da pistas de qué es lo que podemos hacer para evitarlas.
Además aconsejó no pagar nunca el rescate que piden los ciberdelincuentes, porque eso no garantiza la recuperación de datos. “El 13 % de las empresas que ceden al chantaje no recuperan la información cifrada”, argumentó.
Por su parte Igor Unanue, CTO de S21sec, habló sobre la inteligencia de las amenazas, que se basa en analizar en profundidad los peligros para conocer las vulnerabilidades específicas de una compañía, algo vital para prevenir ataques. “Hoy en día los ciberdelincuentes son bandas criminales organizadas con un objetivo claro: sacar dinero de una empresa perfectamente seleccionada”. Y añadió: “Cada día se detectan 25.000 nuevos programas de malware solamente en Navarra. Y esto requiere de inteligencia para analizarlos. Porque si no los analizas y no los conoces, no puedes protegerte”.
Julio César Miguel Pérez, Director General del Grupo CFI, ha comenzado su ponencia recordando las cifras dadas por la Guardia Civil: “El 57 % de las pymes que cierran lo hacen por un ciberataque, bien sea por el rescate pagado, por la sanción institucional o porque se haya perdido la confianza de los clientes”. Y añadió: “La mayoría de empresas cree que la ciberseguridad se basa en tener un antivirus (a poder ser gratuito) y un firewall. Pero la ciberseguridad no es un producto, no se pude comprar. Es un proceso”. Terminó su charla argumentando que la inversión en ciberseguridad no es un gasto, sino una inversión.
El último en intervenir fue Rafael García, COO-CTO en Hack by Security, quien alertó de que “cada vez estamos más y más conectados”, lo que supone una gran vulnerabilidad de seguridad. “Se lo ponemos muy fácil a los ciberdelincuentes” a través del IoT, el Internet of Things, aseguró.
ENTREGA DE PREMIOS 3er CHALLENGE CTF VERIDAS DE CIBERSEGURIDAD
Paralelamente al foro ha tenido lugar en una sala anexa el 3er Challenge CTF Veridas de Ciberseguridad, una competición que ha desafiado a sus participantes a resolver una serie de retos técnicos relacionados con el mundo de la ciberseguridad y la informática.
En él han participado 20 personas de manera individual y ha sido Xabier Napal, Responsable DevSecOps en EOSOL Group, quien se ha proclamado ganador del challenge y ha recibido el 3er trofeo NASEC-Veridas CTF y un premio en metálico de 1.000 euros.
El segundo clasificado ha sido Iker Loidi, Red Team Operator en Mnemo, quien se ha llevado el premio de 600 euros. Pablo Guembe, Senior Monitoring and Observability Engineer en Naudit HPCN, se ha hecho con el tercer puesto de la competición, dotado con 300 euros.
Iván Gulina, representante de Veridas, y Pello Bayona, de Laboral Kutxa, entidad patrocinadora del evento, fueron los encargados de entregar los premios a los ganadores de este reto.