Hacia la nueva dimensión de la ciberseguridad en España y Portugal

El teletrabajo y la sofisticación de la ciberdelincuencia suponen un verdadero desafío para la ciberseguridad de las empresas en España y Portugal. En este artículo se explica cómo las organizaciones están reforzando sus defensas.

La urgente necesidad de que una gran parte de empleados de las organizaciones trabajen a distancia durante la pandemia de la COVID-19 ha obligado a los directores de tecnología y seguridad (CISOs) y a sus equipos a adoptar las medidas necesarias para garantizar la seguridad del teletrabajo a una escala y velocidad sin precedentes. Hacer que las defensas sean aún más seguras es ahora un requisito esencial para proteger a las empresas de los ciberataques. El desafío es especialmente complejo en la Península Ibérica (España y Portugal), donde ha sido muy complicado establecer y mantener protocolos de ciberseguridad estándares.

Ambos países registraron ya importantes fallos de seguridad. Los ataques de phishing han penetrado las barreras de entidades gubernamentales mientras que malware y ransomware han infectado las redes internas de las empresas de telecomunicaciones más importantes de España. Algunos clubes deportivos profesionales han sufrido violaciones de la seguridad de sus datos a gran escala y varias entidades financieras han sufrido ataques de denegación de servicio distribuido (DDoS), por citar solo algunos. La ciberdelincuencia ha afectado tanto a las operaciones como dañado la percepción pública de las organizaciones de España y Portugal, daño que se puede traducir en millones de dólares en pérdidas.

El contexto ibérico

La pandemia ha puesto bajo presión los sistemas de ciberseguridad de la región de la Península Ibérica, lo que ha dejado a las empresas de España y Portugal a merced de los ciberataques. Las estadísticas indican que los ciberdelincuentes están aprovechando esta situación. Desde enero, el phishing, los sitios web maliciosos y las amenazas dirigidas a usuarios remotos han aumentado un 85 %, un 25 % y un 17 %, respectivamente (gráfico 1).

Transition to the next normal: Enhancing cybersecurity in the Iberian Peninsula
We strive to provide individuals with disabilities equal access to our website. If you would like information about this content we will be happy to work with you. Please email us at: McKinsey_Website_Accessibility@mckinsey.com

La Península Ibérica cuenta con tres elementos que la hacen especialmente vulnerable a las ciberamenazas:

  1. Muchos trabajadores de España y Portugal perciben los controles de ciberseguridad como violaciones de sus libertades y su privacidad, y como obstáculos para la productividad. Como resultado de ello, existe una cultura generalizada entre los empleados que están orgullosos de saltarse las normas y encontrar formas de operar fuera de los controles. Asimismo, las empresas de España y Portugal han sido blanco de ciberdelincuentes, principalmente, de atacantes de capacidad media a baja, como hacktivistas, hackers independientes e insiders. Pero frenar a los que rompen las reglas puede adquirir cada vez una mayor importancia a medida que Iberia comienza a atraer a más actores del cibercrimen organizado.
  2. El mercado ibérico es una sociedad de consumo que representaba, en diciembre de 2019, el 10 % del gasto de consumo de la UE, la mayor parte en establecimientos minoristas físicos. La COVID-19 ha llevado la mayor parte de esta actividad a los canales online, exponiendo a los usuarios finales que no están familiarizados con la ciberseguridad a aumentar sensiblemente las interacciones digitales. Esto proporciona a los ciberdelincuentes una mayor cantidad de terminales que pueden usar para poner en peligro y eludir los firewalls corporativos
  3. La cibermadurez es menor en la Península Ibérica que en la mayoría de los países vecinos europeos, como Francia, Alemania e Italia, y se encuentra especialmente atrasada en términos de la ‘dimensión humana’ de la ciberseguridad. Este último aspecto es fundamental, ya que la seguridad del teletrabajo depende de la construcción de un «firewall humano» de empleados, en el que cada uno debe poner de su parte para garantizar la seguridad de la empresa. Pero los trabajadores de España y Portugal se han convertido en catalizadores de estas amenazas debido a su escasa adhesión a los protocolos de seguridad, de ahí el aumento de los ciberataques dirigidos a las personas.

Cuatro dimensiones para reforzar la seguridad

En nuestro trabajo con equipos de ciberseguridad en la Península Ibérica hemos desarrollado cuatro dimensiones para aumentar las ciberdefensas durante este periodo disruptivo de alto riesgo: personal, tecnología, proceso y estrategia (gráfico 2).

Transition to the next normal: Enhancing cybersecurity in the Iberian Peninsula
We strive to provide individuals with disabilities equal access to our website. If you would like information about this content we will be happy to work with you. Please email us at: McKinsey_Website_Accessibility@mckinsey.com

1. Personal: comprender el comportamiento de los empleados para detectar amenazas y vulnerabilidades

La Península Ibérica cuenta, en su conjunto, con una ciberseguridad menos efectiva que la de sus países vecinos, especialmente en términos de cumplimiento de los protocolos de seguridad por parte de los empleados. Este hecho puede convertir las debilidades en una oportunidad mediante el análisis del comportamiento.

El uso de la comunicación con los empleados para una detección temprana de las amenazas. A medida que los empleados configuran sus equipos de trabajo remotos, muchos introducen inadvertidamente tecnologías y prácticas que pueden debilitar la ciberseguridad. Por ejemplo, los padres que trabajan desde casa son más propensos a compartir dispositivos de empresa con sus hijos, agregando por ejemplo una contraseña más fácil para su uso o haciendo otros cambios que generalmente debilitan la seguridad. Las empresas pueden abordar estas amenazas rápidamente estableciendo canales de comunicación bidireccionales. Estos pueden permitir la colaboración, pero también actuar como foros para comunicar normas de ciberseguridad y para realizar campañas de concienciación que enseñen a los empleados a identificar correos electrónicos de phishing, utilizar aplicaciones autorizadas y gestionar datos sensibles. Un gran operador de telecomunicaciones ha organizado unas sesiones de verificación periódicas con sus empleados para saber cómo han evolucionado sus hábitos de trabajo desde que teletrabajan.

Visibilidad a través del análisis del comportamiento de los usuarios. Las campañas de concienciación, aunque resultan útiles, no detectan fácilmente a usuarios de alto riesgo. Para eso, las empresas pueden aplicar análisis del comportamiento de los usuarios (UBA). Asimismo, mediante el uso de esos perfiles para detectar comportamientos anómalos, las empresas han podido reconocer y hacer frente a las amenazas en tiempo real antes de que estas pudieran causar daños. Las empresas de Iberia deben cumplir, respectivamente, normativas como la Ley de Protección de Datos española y portuguesa. Estas leyes restringen la recogida de datos de los empleados, definen las garantías de privacidad básicas en los dispositivos corporativos y, a veces, exigen que las empresas establezcan normas claras para las actividades de recogida de datos de sus empleados, con la colaboración de los representantes de los trabajadores. Por ejemplo, está prohibida la recogida de datos fuera del horario laboral.

2. Tecnología: aplicar controles tecnológicos críticos y asegurar de que funcionen

A medida que el trabajo y el comercio se trasladan a la red, los clientes y empleados están expuestos a un mayor volumen de interacciones digitales, lo que incrementa el nivel acumulado de riesgo de ciberataque. Las empresas pueden utilizar la tecnología para reducir y controlar este riesgo. Los primeros pasos tienen como fin asegurar que la tecnología existente se esté utilizando para maximizar la eficiencia y abordar áreas con vulnerabilidades de seguridad más graves, como la virtualización de dispositivos.

Extraer el máximo valor de la tecnología existente. El cambio al teletrabajo ha puesto de manifiesto graves vulnerabilidades de seguridad en muchas empresas. Hacer frente a ellas, supone costes por lo general elevados y un tiempo de implantación largo. Para proporcionar rápidamente la seguridad que se necesita con urgencia, las organizaciones deberán centrase en reforzar la seguridad ya existente. En lugar de agregar herramientas tecnológicas nuevas, una gran empresa de telecomunicaciones logró mejorar su seguridad mediante la creación de casos de uso adicionales de seguridad, información y administración de eventos (SIEM) y el ajuste de sus políticas de prevención de pérdida de datos en la nube (DLP).

Utilizar la virtualización de dispositivos como una oportunidad para complementar capacidades de seguridad remotas. El cambio al teletrabajo a gran escala provocado por la COVID-19 ha puesto de manifiesto graves lagunas de seguridad en la virtualización de dispositivos en organizaciones de España y Portugal. La mayoría de las empresas están optando por abordar estas vulnerabilidades con monitorización avanzada utilizando el aprendizaje automático. Pero una vez que esos sistemas funcionen a pleno rendimiento, las empresas pueden adoptar otras medidas para protegerse contra ataques de capacidad media a baja. Una de ellas es la limitación del movimiento lateral dentro de la red a través de microsegmentación. Otra medida es la protección de datos corporativa a través de la virtualización de los sistemas operativos (OS). Una empresa de servicios financieros segmentó rápidamente a los usuarios en sus redes específicamente para mejorar la seguridad de la virtualización de sus dispositivos a medida que su personal pasó en masa de trabajar en la oficina a trabajar en casa. Sin embargo, las organizaciones deben asegurarse de que estas soluciones a corto plazo no impidan la inversión de tiempo y dinero necesaria para implantar soluciones de seguridad a largo plazo.

3. Proceso: aprender a adaptarse continuamente a los problemas y anticiparse a los riesgos emergentes

La ausencia de ciberataques graves en la Península Ibérica no se debe a una alta eficiencia de los programas de ciberseguridad, sino una preponderancia de los ataques de bajo nivel. En el futuro, las empresas pueden ser objetivo de ciberdelincuentes más sofisticados. Las empresas de España y Portugal no deben confiarse. Deben adaptarse de manera continua a un entorno de teletrabajo dinámico y anticiparse a los riesgos emergentes de los ciberataques, especialmente de ciberdelincuentes de alta capacidad que pueden atacar la región en el futuro.

La transición al teletrabajo es un proceso continuo. Aunque sea esencial garantizar que los empleados utilicen los controles existentes de manera correcta y que comprendan la importancia de la ciberseguridad, no es suficiente. Los riesgos de ciberseguridad siguen evolucionando y pueden afectar a la organización de forma que los controles existentes no pueden detener. Para abordar este desafío, las organizaciones deben adoptar una mentalidad de transición continua y permanecer siempre atentas a la evolución de las vulnerabilidades y amenazas. Una empresa de servicios financieros de la región ha adaptado de forma activa sus prácticas de ciberseguridad durante la pandemia de la COVID-19 al reforzar las comunicaciones con los empleados de primera línea y reforzar los planes de respuesta a incidentes. Ahora planea hacer de la vigilancia continua una parte permanente de sus actividades de ciberseguridad.

Mejorar la detección de amenazas a medida que los riesgos de ciberseguridad evolucionan. Los agentes maliciosos están redoblando el volumen de los ciberataques en la Península Ibérica que buscan aprovecharse del convulso contexto actual y que preocupan a los equipos de ciberseguridad: el phishing ha aumentado un 85 % y los ataques de ransomware, un 148 %. Las empresas deben construir defensas activas para identificar incidentes y proteger sus activos más críticos utilizando planes prediseñados que les permitan recuperarse con un impacto mínimo para las operaciones de la empresa. Por ejemplo, utilizar múltiples servicios de inteligencia contra amenazas puede ayudar a los equipos de ciberseguridad a descubrir las nuevas amenazas lo antes posible, lo que les permitiría predecir, evitar, detectar e identificar mejor los ataques. Muchas empresas de la región ya han reducido el riesgo en su entorno de teletrabajo al implantar o expandir la autenticación multifactor (MFA) y mejorar las capacidades de monitorización para acortar los tiempos de respuesta.

4. Estrategia: convertir la ciberseguridad en una ventaja competitiva a largo plazo

Dada cierta oposición de los empleados a adoptar controles de seguridad, es esencial que los altos ejecutivos, empezando por el CEO, difundan el mensaje de que la ciberseguridad no solo es fundamental para la capacidad de la empresa para hacer negocios, sino también un poderoso facilitador de los mismos. Esto exigirá adaptar la manera en que la ciberseguridad se vincula a la estrategia empresarial general. Al hacerlo, las organizaciones pueden alinear mejor las acciones a corto plazo con los objetivos a largo plazo, dotar de valor a las ofertas comerciales existentes que utilizan la ciberseguridad como elemento diferenciador, alinear mejor las prioridades de riesgo empresarial con las prioridades de ciberseguridad, y aprovechar el liderazgo como factor clave para construir una cultura de ciberseguridad positiva.

Las acciones a corto plazo deberán alinearse con los objetivos a largo plazo.Los directores y jefes ciberseguridad han tenido que actuar con rapidez para abordar la disrupción causada por la pandemia de COVID-19, lo que les ha obligado a priorizar las iniciativas a corto plazo con vistas a «contener el fuego». En muchos casos, esto les ha hecho perder de vista los objetivos a largo plazo. Ahora deben volver a centrarse para garantizar que sus esfuerzos por abordar la COVID-19 no pongan en peligro sus estrategias de ciberseguridad a largo plazo. Una empresa de servicios financieros de la Península Ibérica estaba en proceso de seleccionar a un socio para resolver problemas de seguridad en la nube a corto plazo, que habían aumentado en el contexto de la COVID-19. Después de realizar un ejercicio de modelado de amenazas de alto nivel, quedó claro que las configuraciones erróneas de la nube suponían una vulnerabilidad y debían convertirse en una prioridad crítica. Esto llevó a la empresa a modificar sus criterios mediante la inclusión de capacidades de seguridad en la nube como un factor clave para seleccionar un socio.

Uso de la ciberseguridad como factor diferenciador que añade valor. En el pasado, la función de ciberseguridad se percibía como un valor menor debido a que sus beneficios no eran tangibles. Cuando funciona bien, aleja las amenazas y no se producen brechas de seguridad, lo que dificulta que las personas que trabajan fuera de este campo perciban su valor. Esto es especialmente cierto en la Península Ibérica, donde muchas organizaciones consideran a la ciberseguridad un mal necesario, que proporciona una protección importante para productos y servicios, pero que también actúa como un obstáculo para el progreso y la agilidad. Sin embargo, el modelo de teletrabajo ha cambiado esa percepción. Los directivos de las empresas se han dado cuenta de que proporcionar a los clientes garantías de una seguridad sólida añade valor a las ofertas comerciales existentes y puede convertirse en un valor diferenciador en la mente de los clientes potenciales. Por ejemplo, una gran empresa de servicios financieros amplió su despliegue de MFA de todos los sistemas críticos a sistemas menos críticos para salvaguardar la mayoría de sus puntos de entrada técnicos para usuarios finales.

Las prioridades de riesgo empresarial deben alinearse con las prioridades de ciberseguridad.Los directivos en España y Portugal suelen desvincular los riesgos de ciberseguridad de los riesgos empresariales debido a que la ciberseguridad se percibe como un problema de IT. Sin embargo, el aumento de la dependencia de la ciberseguridad en el entorno de teletrabajo ha hecho que sea más importante que los directivos y los jefes de ciberseguridad se alineen contra ambos tipos de riesgo. Con una comprensión universal de los riesgos, la función empresarial y la función de ciberseguridad pueden vincular los riesgos pertinentes, alinearse en una estrategia compartida y desarrollar una hoja de ruta que promueva el crecimiento de la empresa, así como la resiliencia de la ciberseguridad. Por ejemplo, un gran operador de telecomunicaciones ha aprovechado las competencias técnicas de los responsables de seguridad informática empresarial para comunicar el riesgo en un lenguaje universal tanto a los directivos como a los equipos de ciberseguridad, lo que permite la alineación interfuncional.

Integrar la ciberseguridad en cada proceso corporativo. Los empleados de primera línea se enfrentan a problemas asociados con el teletrabajo y cuentan con un ancho de banda limitado para aplicar y mantener las nuevas exigencias de seguridad. Para asegurarse de que la organización pueda mantener la seguridad, los equipos de ciberseguridad deben centrarse en integrar la ciberseguridad en los procesos corporativos y reafirmar su valor para todos los empleados. Por ejemplo, la ciberseguridad debe ser una prioridad explícita para el equipo directivo de la empresa. También debe integrarse en el ciclo de vida del desarrollo de software y en los análisis de impacto empresarial, por nombrar solo algunos. Cuando la ciberseguridad se integra en todos los procesos organizativos, se puede promover dentro de la organización como una ventaja competitiva que mejora la calidad de los productos y servicios, cambiando la percepción que se tiene de la ciberseguridad como un obstáculo a superar y convirtiéndola en una necesidad que permite una actividad empresarial segura.


Proteger las modalidades de teletrabajo y la integridad de las redes es esencial para garantizar la continuidad de las operaciones en esta época de incertidumbre. Las dimensiones que describimos en este artículo, aunque no son exhaustivas, están ayudando a muchas organizaciones de España y Portugal a mejorar su seguridad, la de sus clientes y la de otras partes interesadas. Es probable que las próximas semanas y meses se viva una mayor incertidumbre. A medida que vayan surgiendo nuevas dimensiones para el mantenimiento de las normas de seguridad en la transición a la nueva normalidad, seguiremos aprendiendo de la experiencia de empresas en la Península Ibérica.

Related Articles