30 de junio de 2022 | Actualizado 12:53

La capilaridad de la cadena de suministro expone a la logística a los ciberataques

Las pequeñas y medianas empresas son las más vulnerables ante la falta de recursos en medio de la digitalización acelerada del sector
Freepik

La llegada de la pandemia ha acelerado la automatización y digitalización de las empresas en general, y también de las logísticas y de transporte: sistemas de optimización de rutas y de procesos en los almacenes, la implementación de inteligencia artificial o el establecimiento del teletrabajo han sido algunos de los grandes cambios. Sin embargo, en la cara B de la digitalización se encuentra el riesgo a un ciberataque, que es “especialmente importante en el sector de la logística y el transporte por la capilaridad que tiene para la ciudadanía”, tal y como explica el subdirector de Ciberseguridad para la Sociedad de Instituto Nacional de Ciberseguridad (Incibe), Félix Barrio.

El paso dado en automatización, inteligencia artificial, machine learning u otros sistemas “nos está preparando para la siguiente pandemia”, explica el profesor y director del Centro para el Transporte y la Logística del Massachusetts Institute Of Technology (MIT) y profesor de Zaragoza Logistics Center (ZLC), Yossi Sheffi. Sin embargo, destaca que existe este riesgo a un ciberataque. “Hay que prepararse para lo opuesto: lo electrónico no funcionará y lo que hemos preparado para esta pandemia igual se viene abajo”. Por ello, continua Yossi Sheffi, “hay que replantearse la situación: si no hay una pandemia, pero tampoco hay comercio electrónico, habrá que ir al supermercado”. Tener un sistema de continuidad de negocio para prestar el servicio si no se cuenta con disponibilidad de medios digitales no está, sin embargo, a mano de todas las empresas: las pequeñas y medianas (pymes) tienen menos recursos y, por lo tanto, son más vulnerables. Así lo respalda la profesora de la Asociación para el Desarrollo de la Logística (ADL), Eva María Hernández: “Muchas empresas logísticas están informadas y protegidas, pero deben cumplir estándares de prevención, detección, restauración y análisis, y conozco pocas pequeñas empresas que hayan adoptado todo eso”.

7 de cada 10

El 70% de las empresas españolas no pudieron mantener la inversión en ciberseguridad con la pandemia

Por tanto, en el tiempo que se lleva de pandemia, a la par que se multiplicaban los ciberataques, se ha incrementado la inversión en seguridad de las grandes empresas, pero no así en las pymes y autónomos. El ‘Informe de Ciberesiliencia 2020’ de Accenture indica que el 70% de las empresas españolas no pudieron mantener la inversión en ciberseguridad y estas partidas se vieron recortadas. “Aunque en el conjunto aumenta, ha bajado en los colectivos más vulnerables, y en el sector logístico se replica esta dinámica”, explica Félix Barrio (Incibe). De hecho, “ha caído la inversión en ciberseguridad y no es lo más conveniente en un entorno en el que se ha multiplicado la dependencia de la digitalización”.

No sucede así en algunas grandes compañías, como XPO Logistics, que invierte 300 millones de dólares de media en tecnología. De esta partida, una parte sustancial se dedica especialmente a herramientas de ciberseguridad. Su director general del sur de Europa y Marruecos, Massimo Marsili, apunta a la “facilidad” de ser atacados por un virus informático: “La gestión de correos electrónicos es uno de los puntos de entrada más comunes” como consecuencia del teletrabajo. “Tenemos planes de formación para todos los empleados sobre ciberseguridad, para que sepan cómo detectar posibles ataques y qué hacer en cada caso”, añade Marsili.

LOS PEQUEÑOS PROVEEDORES AFECTAN A LA CADENA DE SUMINISTRO
“La mayor debilidad del sistema de ciberseguridad en España es lo que llamamos la cadena de suministro”, asegura Félix Barrios. La capilaridad es uno de los puntos débiles de esta cadena: “Somos conscientes de que toda esa capa de pequeña-mediana empresa que compone el sector y que dependen de herramientas digitales como el seguimiento de paquetería tiene una situación cada vez más crítica”, explica. Los principales ataques que se están produciendo llegan a infectar las grandes organizaciones a través de los pequeños proveedores, quienes no cuentan con capacidades para establecer sistemas de ciberseguridad. “La logística es la punta de lanza de todos los procesos que ahora mismo involucran al comercio electrónico y al normal funcionamiento de la economía; representa uno de los objetivos principales”, señalan desde Incibe. Desde la entidad sostienen que estas pymes y autónomos que no han podido realizar inversiones importantes en ciberseguridad se incluyen dentro de su estrategia para el sector logístico y de transporte como uno de los más importantes.

Los ciberataques alcanzan a las grandes organizaciones a través de los pequeños proveedores

“Los datos son el oro con el que trafican los hackers, por lo que podemos sufrir ciberataques por medio del uso de virus (como los denominados ‘malware’ o ‘ransomware’) que descargan los empleados en la mayoría de los casos y a través de los cuales se obtienen datos, identidades, credenciales, dinero o se piden rescates, explica la profesora Eva María Hernández. El Instituto Nacional de Ciberseguridad apunta que, entre otros ataques, se ha popularizado un tipo de virus (denominado ‘Flubot’) que manda una falsa notificación de un paquete simulando ser un operador, lo que afecta tanto al usuario del teléfono como a la empresa.

El profesor en Protección de Datos y Seguridad de la Información de la UPF Barcelona School of Management (UPF-BSM), Antoni Rubí, explica que este tipo de ataques ponen en riesgo la propia supervivencia de la empresa: “Se produce una pérdida de reputación y de beneficios, además de las posibles consecuencias jurídicas en forma de multas por no proteger suficientemente bien los datos personales o si hay una responsabilidad civil frente a terceros”. La profesora Eva María Hernández (ADL) recuerda que es “sumamente importante” la formación y auditorías de ciberseguridad para paliar estos efectos negativos. Determinadas empresas, como las logísticas que trabajan con ecommerce, están obligadas a tener profesionales expertos en seguridad de la información y datos personales, o incluso un responsable de seguridad de redes o servicios digitales: “No contar con este tipo de profesionales también puede dar lugar a repercusiones económicas o a multa”, afirma Antoni Rubí.

EL RESPALDO DEL EQUIPO HUMANO
Como manifiesta el profesor Yossi Sheffi (ZLC), algunas empresas se plantean la posibilidad de que los sistemas digitales fallen y deban afrontar la actividad con el equipo humano. Desde XPO Logistics señalan que, si bien han establecido procesos manuales de backup para poder seguir con la operativa en caso de ataque, “este tipo de soluciones solo son sostenibles por un periodo de tiempo determinado”. También la compañía de distribución Logista Libros cuenta con un plan de contingencia, tal y como concretaba recientemente su director general, Daniel Oropesa: “una parte está preparada para trabajar de manera manual y, en caso de que tuviéramos algún percance, como un ataque informático o que falla la instalación, podríamos trabajar, aunque necesitaríamos muchos más recursos y es una situación que no podría alargarse demasiado en el tiempo”.

El profesor Antoni Rubí (UPF Barcelona School of Management) sostiene, sin embargo, que la fase “preliminar” en la que se encuentra la automatización y la digitalización de las empresas hace que la mayoría de los procesos aún tengan supervisión humana. “Especialmente en actividades que presentan un alto riesgo, que pueden tener un gran impacto si llegan a fallar, las legislaciones que tenemos en vigor marcan esta necesidad de que haya un control humano”, ha manifestado. Tener ese seguro analógico puede ser útil, aunque también puede conllevar riesgos físicos o errores humanos, tal y como apunta Eva María Hernández. “Lo tecnológico debe ser un apoyo para que el humano realice otras funciones de valor añadido y pueda beneficiarse de nuevos métodos para sus procesos. Sin factor humano existen procesos no cubiertos y una exposición a riesgos legales, técnicos o éticos, por lo que debe seguir aplicándose”, concluye.