Sevilla/La digitalización ha abierto nuevas oportunidades para las empresas, pero también aflora una gran vulnerabilidad, independientemente del tamaño o del sector: ser objeto de un ciberataque. En ellos, los delincuentes emplean distintas técnicas, la mayoría a través de correos electrónicos, llamadas telefónicas, mensajes de texto o interacciones en redes sociales, orientadas a robar información confidencial con el objetivo de obtener un beneficio económico.

En el marco del contexto actual, BBVA y Grupo Joly organizaron un encuentro privado en el Hotel NH Collection de Sevilla titulado Ciberseguridad para tu empresa: El conocimiento como mejor defensa, para abordar un asunto que preocupa y ocupa cada vez más al tejido empresarial de nuestro país.

Los ponentes fueron Sergio de los Santos, director del área de Innovación y Laboratorio en Telefónica Tech Cyber Security & Cloud, además de autor de libros sobre historia de la seguridad, hacking o malware; María Pérez Naranjo, directora general de Estrategia Digital de la Junta de Andalucía y licenciada en Ingeniería de Telecomunicaciones por la Universidad de Sevilla; e Ismael Serrano, responsable de Servicios de Ciberseguridad de BBVA España y con amplia experiencia en la protección de infraestructuras críticas y la gestión de riesgos tecnológicos. La moderación corrió a cargo de Alberto Grimaldi, subdirector de Diario de Sevilla y responsable de Economía de Grupo Joly.

Un momento del encuentro dedicado a la ciberseguridad de las empresas, organizado por BBVA y Grupo Joly. / Juan Carlos Vázquez Carli

Amenazas de seguridad

Como primer tema del coloquio, surgió que uno de los principales retos a los que se enfrentan hoy las empresas en materia de ciberseguridad es el ransomware. Consiste en un secuestro digital de información: un programa malicioso cifra los archivos de un dispositivo o sistema y exige el pago de un rescate económico para recuperarlos o evitar su filtración. Esta acción interrumpe por completo la operativa de cualquier organización y resulta muy rentable económicamente para los ciberdelincuentes.

También destacan amenazas como los ataques de ingeniería social, donde los ciberdelincuentes pueden intentar manipular a los empleados para que divulguen información confidencial. La más utilizada es el phishing, que consiste en suplantar marcas, empresas o sitios, en apariencia fiables, para obtener los datos que interesan. Otra incursión recurrente es la realizada a través de terceros. Los atacantes pueden asestar un golpe a grandes empresas a través de proveedores de menor tamaño que tienen un menor nivel de inversión en ciberseguridad. Así, aumenta la posibilidad de acceder a sus sistemas.

Detectar a tiempo un incidente puede marcar la diferencia para solucionarlo

A pesar de la falta de recursos o conocimientos en algunos sectores, las empresas más maduras digitalmente ya cuentan con procesos automatizados y respuestas protocolarizadas. De los Santos insistió en que la formación debe ir por delante incluso de la concienciación: “Es fundamental conocer bien las herramientas disponibles y controlar los accesos más allá del perímetro de la compañía. Las vulnerabilidades, aunque rotativas, suelen repetirse, por lo que tener controladas las básicas es una estrategia eficaz”. Además, De los Santos destacó un hecho relevante: los atacantes suelen cumplir sus amenazas porque su negocio depende de la credibilidad de sus acciones.

Desde el ámbito institucional, María Pérez Naranjo recordó que desde el inicio de su gestión se identificaron como ejes prioritarios la ciberseguridad y la inteligencia artificial. En este sentido, destacó la labor del Centro de Operaciones de Ciberseguridad ubicado en Málaga, que proporciona prevención, respuesta, regulación jurídica y formación continua para toda Andalucía. En 2024, gestionó más de 11.000 ciberataques, un 43,6 % más que el año anterior. Este crecimiento se debe al “aumento de la actividad de los criminales, pero también es fruto de la mejora de la eficiencia de los mecanismos de la Administración andaluza”, apuntó Pérez.

Sergio de los Santos, head of Innovación y Laboratorio en Telefónica CyberSecurity & Cloud Tech / Juan Carlos Vázquez Carli

“Hemos conseguido una gran madurez para actuar con niveles de protección razonables”

Por su parte, Ismael Serrano subrayó que las pymes no deben confiarse pensando que están fuera del radar de los atacantes. “Muchas veces son utilizadas como puentes hacia otras empresas más grandes”, advirtió.

Asimismo, aseguró que “la ciberseguridad debe ser parte esencial del proceso de transformación digital de las pymes. No se trata de grandes inversiones, sino de aplicar medidas básicas, bien entendidas y sostenidas en el tiempo”.

Contar con buenos aliados facilita el acceso a herramientas cruciales de seguridad digital

Al mismo tiempo, advirtió que, en un entorno vertiginoso, la agilidad para adaptarse a los hechos y la capacidad para entender los riesgos son esenciales.

Serrano recomendó establecer un plan básico de ciberseguridad adaptado al tamaño de la empresa y que incluya, al menos, conceptos fundamentales como: proteger los equipos; actualizar el software; disponer de copias de seguridad; cuidar la huella digital y, por último, tener cubierto el posible impacto económico de un ciberataque.

Durante el debate, también se puso en valor la evolución hacia entornos de nube híbrida, que combinan la protección y escalabilidad de la nube con la gestión privada de los datos, una solución que están monitorizando BBVA, Telefónica y la Junta.

Foco en las pymes

El segundo bloque arrancó con una idea clara: todas las empresas son vulnerables ante un ciberataque. Así lo subrayó María Pérez Naranjo, quien advirtió que las pymes tienen mayores dificultades para recuperarse de un incidente, ya que enfrentan graves consecuencias relacionadas con la confianza de sus clientes y la interrupción prolongada de sus servicios.

“En Andalucía, donde el tejido productivo está formado mayoritariamente por pequeñas y medianas empresas, trabajamos desde la Administración para asesorarlas y acompañarlas, fomentando un liderazgo activo desde la dirección de cada compañía”, explicó Pérez.

Por otro lado, Sergio de los Santos destacó el papel que juega la regulación: “Con el Plan Estratégico de Ciberseguridad, la Junta de Andalucía ha marcado un camino claro que exige unos mínimos imprescindibles para hacer frente a los ataques. Resulta una manera eficaz de introducir la ciberseguridad en el organigrama empresarial”.

Respecto al nivel de preparación de las pymes ante este escenario, los expertos coincidieron en que ha habido avances significativos, aunque aún queda camino por recorrer. De los Santos valoró positivamente el creciente interés por proteger la continuidad del negocio y el aumento de la conciencia sobre el valor económico de los datos. “Se ha comprendido que no solo importa tu propia seguridad, sino también la de las empresas con las que trabajas. Ya no vale pensar que tus datos no interesan”.

Cualquier negocio que opere en línea está expuesto a la incursión de un ciberdelincuente

En caso de sufrir una incursión, recordó que existen recursos como el número 017, gestionado por el Instituto Nacional de Ciberseguridad (INCIBE), que ofrece asistencia tanto frente a dudas como ante ataques. Asimismo, destacó el valor de los informes públicos del INCIBE, donde se recogen estadísticas, herramientas y cursos formativos útiles para reforzar el conocimiento de los equipos.

Pérez sumó a estos apoyos la iniciativa Andalucía Vuela, una plataforma que ofrece formación específica en ciberseguridad.

Ismael Serrano, por su parte, reforzó esta idea al afirmar que la formación es una de las mejores formas de prevención: “Solo conociendo los riesgos podemos protegernos. En el caso de las pymes, nuestra recomendación es empezar con algo realista y sostenible”.

María Pérez Naranjo, directora general de Estrategia Digital de la Junta de Andalucía. / Juan Carlos Vázquez Carli

“La ciberseguridad es un camino que ninguna pyme puede recorrer en solitario. Necesitan compañía”

En los últimos tres años, BBVA ha formado de manera presencial a más de 1.000 pymes en materia de ciberseguridad, y sus cursos de formación online han acumulado más de 718.000 visitas. Todo con un objetivo claro: “Empoderar a las pymes para que no sean el eslabón débil, sino uno fuerte en la cadena digital”, reafirmó el responsable de Servicios de Ciberseguridad en BBVA España.

Además, el banco ofrece productos como el ciberseguro, que ayudan a mitigar el impacto económico de un ciberataque, protegiendo datos y finanzas.

Ismael Serrano, responsable de servicios de Ciberseguridad en BBVA España. / Juan Carlos Vázquez Carli

“La ciberseguridad no es un lujo, es una necesidad. Lo importante es empezar. Formar, concienciar y prevenir”

Esfuerzo colectivo

A pesar del crecimiento constante en el número de ciberataques, Sergio de los Santos lanzó un mensaje de optimismo: la industria está preparada. Según explicó, aunque se tienda a poner el foco en los ataques que logran su objetivo, también es importante valorar los casos en los que la respuesta ha sido rápida y eficaz. “Tenemos una gran madurez en ciberseguridad -subrayó-, con una red inmensa de apoyo, experiencia y recursos técnicos que permite mantener niveles de protección razonables”. Reconocer y poner en valor las buenas recuperaciones, añadió, es esencial para reforzar la credibilidad y la transparencia del sistema. “Porque sí, es posible defenderse. Y lo importante es no tirar la toalla”, culminó De los Santos.

En esta misma línea, María Pérez Naranjo destacó el papel clave que juega la colaboración entre lo público y lo privado, así como la cooperación entre distintas administraciones. La ciberseguridad es un camino que ninguna entidad puede recorrer en solitario. Por eso, insistió en la necesidad de acompañar a las pymes en su proceso de maduración digital, especialmente fomentando que sus equipos directivos -y en particular sus CEO- tomen conciencia de lo estratégico que es invertir en protección digital.

También hay que controlar la seguridad de los terceros con quienes se comparte información

Ismael Serrano, desde su experiencia, destacó que “integrar la ciberseguridad en el día a día de una pyme no tiene por qué ser complicado ni costoso; lo importante es empezar. Formar, concienciar y prevenir. Así se marca la diferencia entre un negocio resiliente y uno vulnerable”.

Así, como mensaje, protegerse no es solo una cuestión tecnológica; es una responsabilidad compartida que asegura la continuidad, la reputación y el futuro de cualquier empresa.