José de la Cruz, director técnico de Trend Micro Iberia: “Los datos que más valor tienen en el mercado negro son los financieros y de salud”

Entrevistamos al director técnico de Trend Micro, José de la Cruz, que advierte sobre el creciente valor de la información personal y clínica en el cibercrimen. Destaca que, aunque las amenazas han aumentado un 250% en cuatro años, las empresas aún invierten poco y mantienen peligrosos puntos ciegos. Sectores como las finanzas y la Administración Pública siguen siendo los objetivos más atractivos para los ciberdelincuentes.

Entrevista con José de la Cruz, director técnico de Trend Micro Iberia

¿Qué tipo de datos son hoy más sensibles desde el punto de vista de ciberseguridad?

En la actualidad encontramos dos tipos de datos que son muy sensibles. Por un lado, los denominados PII (personal identity information), de ámbito personal, como nombre, apellidos, DNI, dirección o teléfono. Esta categoría está cubierta por la RGPD.

Por otro, los datos de salud o PHI (personal health information). Aunque podrían considerarse también como datos personales, incluye información como diagnósticos médicos, historial clínico, resultados de pruebas…Si esto transciende, puede tener algún tipo de impacto. Se puede dar el caso de que, utilizando esta información, se puedan cometer fraudes y suplantar la identidad de aseguradoras. Aquí, el contexto es muy importante, porque al tener esa información, la utilizan como punto de entrada para perpetrar un nuevo ataque.

¿Por qué la pérdida o el robo de datos puede tener consecuencias tan graves para personas y empresas?

Las empresas están obligadas a contar con medidas de seguridad que protejan sus activos más valiosos, entre los que se encuentran los datos e información sensible. Las organizaciones están obligadas a notificar cuando han sido víctimas de algún incidente de seguridad y, al hacerlo público, tienen directamente un impacto económico, con multas bastante elevadas, pero también un daño reputacional.

Además del impacto en la imagen de la empresa, si los ciberdelincuentes consiguen datos financieros como números de tarjeta de crédito, IBAN o similares, pueden acceder directamente al banco de la entidad o de sus clientes.

¿Existen diferencias entre el valor de unos datos y otros en el mercado negro digital?

Los datos que más valor tienen ahora en el mercado negro son los financieros y de salud. Pero, sobre todo, aquellos que tengan acceso directo al dinero, pues son muy golosos para los cibercriminales y lo podrán vender mejor.

¿Qué sectores en España son actualmente más atractivos para los ciberdelincuentes desde el punto de vista del robo de datos?

Los sectores de la salud y las finanzas son los más atractivos para los ciberdelincuentes. A esto se suma la Administración Pública en general, ya que dispone de dinero y cuenta con muchos datos de carácter personal.

El sector financiero, por su parte, está muy expuesto, tanto desde el punto de vista de las empresas como del usuario final. Esto ha generado que se pingan en marcha normativas exclusivas del sector, como DORA, aunque esta no solo hace referencia a ciberseguridad, es resiliencia en general y exige controles de todo tipo.

¿Cuáles son las principales amenazas relacionadas con la protección de datos que afectan hoy a empresas y ciudadanos en España?

Las principales amenazas relacionada con la protección de datos en España están vinculadas al auge del cibercrimen y a la sofisticación de los ataques.

Entre las amenazas más relevantes destacan el phishing y el smishing, que se están volviendo cada vez más refinadas que suplantan a entidades legítimas para engañar y obtener credenciales, información personal o datos financieros.

A ello se suma el ransomware, que no solo compromete la confidencialidad de los datos, sino que bloquea la operativa de las organizaciones, genera importantes pérdidas económicas y pone en riesgo la continuidad del negocio, además de exponer información sensible.

¿Ha aumentado el número de brechas de seguridad en los últimos años en nuestro país?

Sí, va creciendo constantemente. A pesar de ese crecimiento, las empresas no están invirtiendo lo suficiente en ciberseguridad. Según Gartner, la inversión solo ha crecido un 25%, muy baja, teniendo en cuenta que las amenazas han aumentado más de un 250% en los últimos 4 años, según datos de Trend Micro.

La ciberseguridad se sigue viendo como un gasto, más que como una inversión. Estamos intentando darle un giro a ese pensamiento, creando herramientas para demostrar que esa inversión es rentable, para que las compañías entiendan realmente lo que puede suponer invertir en ciberseguridad.

Muchas compañías, sobre todo las grandes, tienen un plan director de seguridad y está bien implementado, pero la inversión no es suficiente.

¿Qué errores siguen siendo los más habituales a la hora de proteger la información sensible?

El principal error de las empresas sigue siendo la falta de visibilidad. Nos encontramos que la gran mayoría, por no decir todos los ataques, ocurren por esos puntos ciegos que no están cubiertos

Tener visibilidad es fundamental. Hoy en día no hay una visibilidad adecuada de la superficie de ataque de una empresa, ni interna ni externa.