8 errores que te harán víctima de un ciberataque
- Opinión

Valentina Borgia, de Formalize, es una de las expertas en apoyar a las entidades en el cumplimiento normativo del país. Dada su experiencia navegando y asistiendo en el cumplimiento de requisitos normativos como DORA y NIS2, explica cómo fallan las empresas en materia de ciberseguridad y estas son sus conclusiones: un listado de 8 errores comunes que hacen de tu empresa la víctima perfecta para ciberataques.
Por Valentina Borgia, product specialist & senior consultant, Formalize
Cada año son más las empresas que se enfrentan a ciberamenazas. Por ello, la resiliencia digital ya no se mide únicamente por la posibilidad de prevenir ciberataques, sino que se espera que las organizaciones sean capaces de prevenir, responder y recuperarse ante incidentes de este tipo.
Según el Instituto Nacional de Ciberseguridad (INCIBE), en 2024 se produjeron 97.348 incidentes de ciberseguridad. El INCIBE gestionó un 16,6% más incidentes que en 2023 —341 de los cuales involucran a entidades «esenciales» e «importantes», críticas para el funcionamiento de la sociedad.
¿Serás uno de estos casos?
Dicho informe presenta que la usurpación de identidad, incluyendo falsificaciones de páginas web y perfiles en redes sociales, ha sido el tipo de incidente más recurrente.
Las empresas se ven obligadas a intentar prevenir posibles ciberataques, pero no todos los ataques pueden prevenirse. Por ende, es fundamental que existan medidas en pie para poder recuperarse ante dichos ataques y, a su vez, reducir sus repercusiones negativas. La creciente importancia de la ciberseguridad ha llevado a la UE a actuar al respecto. Aun así, dadas las circunstancias, la trasposición de dicha directiva en España, ha dado paso a una normativa más estricta que en el resto de Europa. Por ello, Formalize ha ampliado su presencia en España.
1. Se considera la ciberseguridad sólo una cuestión informática
Si la ciberseguridad no se trata como un riesgo empresarial, ya te estás quedando atrás. Borgia explica que «... la ciberseguridad ya no es sólo una cuestión técnica, sino de negocio». La integración de la ciber-resiliencia es un proceso que afecta a toda la organización y no sólo al departamento de TI.
2. La concienciación y formación del personal en ciberseguridad es escasa o nula
Una plantilla sin formación equivale a un ciberataque inminente. Como comenta Borgia, «el punto más débil sigue siendo el factor humano. Y por eso, más que formación, necesitamos concienciación». Una formación continua reduce la posibilidad de ataques. «En Formalize, por ejemplo, hemos realizado simulacros internos de phishing». Es por eso que la formación debe formar parte del enfoque general tomado para trabajar en la ciber-resiliencia de la organización. De hecho, según IBM, el 95% de los ataques cibernéticos implican algún tipo de error humano. Por ende, Borgia insiste en invertir en las personas como punto clave para la verdadera resiliencia.
3. Se desconoce la ubicación de datos y activos críticos
La falta de concienciación respecto a los datos y activos críticos de tu organización puede ser también una vulnerabilidad. La no evaluación de activos de información reduce la exposición de estos. Por ello, a la pregunta de cómo fomenta Formalize la ciberseguridad, Borgia responde con la importancia de tomar un enfoque proactivo: «Es crucial supervisar constantemente todos los activos de información de la empresa, identificar los riesgos a los que se enfrentan y definir controles para mitigarlos».
4. Nunca se ha puesto a prueba el plan de contingencia
Sin simulacros previos, el primer incidente real puede ser catastrófico. El caso de Maersk nos sirve de ejemplo: «Tuvieron que volver a instalar más de 4.000 servidores y 45.000 PC... Gracias a su capacidad de respuesta ante este tipo de incidentes y sus copias de seguridad, pudieron restablecer las operaciones de la empresa en sólo 10 días». Esto demuestra la importancia de contar con planes de contingencia vigentes.
5. En dirección no se prioriza la ciberseguridad
Sin la implicación de los directivos, las iniciativas de seguridad carecen de visibilidad e impacto. Borgia explica: «Cuando los líderes hablan de la ciberseguridad como una prioridad empresarial, el mensaje cala mucho más hondo». Y continúa: «No se trata sólo de tener cortafuegos y software antivirus, sino de promover una cultura corporativa donde se comprenda, mida y gestione el ciberriesgo».
6. No existen políticas claras o planes de acción en caso de ciberataque
Una postura reactiva aumenta la probabilidad de confusión y escalada durante un incidente. En su lugar, las empresas deberán aspirar a tener «... políticas claras y un plan de acción en caso de ciberataque». Borgia comenta que la prevención y la preparación pueden reducir las repercusiones negativas de los ataques y, en otros contextos, la ciber-resiliencia podría llegar a considerarse una ventaja competitiva.
7. Los diferentes departamentos desconocen la estrategia de ciberseguridad
Aquellos departamentos que desconocen su papel en ciberdefensa perjudican la resiliencia de la organización. «Cada departamento o sector utiliza su propia terminología… Esto facilita su entendimiento en relación con cómo los ciberataques pueden afectarles directamente». Por ejemplo, en finanzas se previenen fraudes, mientras que en RR. HH. se protegen datos confidenciales. Aunque ambos ejemplos pueden parecer dos cosas distintas, su objetivo es el mismo: mantener datos a salvo. Eliminando la desconexión de dichos departamentos, estos mismos podrán ver cómo les afecta la ciberseguridad.
8. Se considera el cumplimiento normativo un requisito y no una oportunidad
Tratar la normativa como una obligación subestima su valor estratégico. Borgia nos recuerda que «la normativa nos ayuda a alinear la ciberseguridad con la estrategia empresarial». De hecho, cumplir con las directrices normativas puede ayudarnos a integrar la ciberseguridad en nuestras prácticas empresariales. Directivas como NIS2 o DORA han hecho que cambie el enfoque respecto a la ciberseguridad, «ya no basta con tener controles técnicos; ahora se exige demostrar que los sistemas se gestionan, supervisan y auditan».
Formalize se dedica a ayudar a las organizaciones a ir más allá del cumplimiento normativo. Las apoya en la creación de sistemas resilientes que puedan soportar ciberamenazas modernas. En una época en la que los ciberataques son inevitables, las empresas necesitan socios de confianza. Formalize es ese socio.
Más información en el VIII Foro IT Digital Security.