En el 90% de los incidentes de ciberseguridad está involucrado personal interno de la empresa, ya sea por una negligencia o porque han caído en un fraude. “La digitalización de las empresas ha digitalizado también los riesgos”, asegura Fernando Mateus, CEO de Kymatio, una startup especializada en soluciones de ciberseguridad que no desarrollan solo la tecnología más puntera, sino que aplican técnicas de psicología y neuropsicología.
Y esto es así porque para un ciberdelincuente está siendo más sencillo abordar a una persona que atacar a un castillo, que es en lo que se han convertido las corporaciones. El trabajador ha pasado a ser ese eslabón débil, “el objetivo más interesante” para los ciberdelincuentes, explica a D+I Mateus. Y el problema es que la tecnología en la actualidad “no está siendo capaz de ayudar al empleado a evitar situaciones de riesgo”.
“El coste medio por incidente para la empresa es bárbaro: cuatro millones de euros de media, pero en casos en el sector bancario asciende a más de ocho millones y en el sector farmacéutico a más de siete millones”. Y estos son solo datos de media.
Además, Mateus incide en que si estos incidentes se producen en una pyme el coste medio es de 40.000 euros, “pero lo malo es que el 60% de las pymes que sufre uno de estos ataques cierra seis meses después. Esto es un desastre desde el punto de vista empresarial”, asegura el CEO de esta startup.
Esto es lo que motivó a Mateus y a su socio a presentarse ante el Incibe y desarrollar una solución capaz de identificar, analizar y proporcionar todo lo necesario a la empresa, pero también a cada uno de sus empleados, para gestionar los ciberriesgos de los empleados.
Un trabajo de concienciación
Se trata de un servicio que “automatiza, de una manera diferente, la concienciación de los empleados en ciberseguridad”. Es una tecnología “muy eficaz”, ya que solo se precisa “consumir entre 10 y 15 minutos al mes del empleado, en lugar de esos cursos de ocho horas que nadie quiere hacer y que no están teniendo el resultado esperado porque no se está frenando este problema”.
La clave está en “interactuar” con las personas de una forma distinta: “A través de chatbots, que ‘saltan’ o mandan al empleado un correo electrónico una vez al mes para hablar un rato con él y detectar cuáles son sus necesidades en ciberseguridad, en qué ámbitos está consciente y preparado y cuáles no tiene ni idea”, subraya el CEO de Kymatio.
Así, el chatbot prepone píldoras de información muy específicas y personalizadas para cubrir esas lagunas. Por ejemplo, si detecta que el empleado no sabe lo qué es el malware le envía un vídeo de menos de un minuto para explicárselo o un PDF de máximo una hoja y media, asegura Mateus.
El reto es que, a través de estas pequeñas píldoras de contenido atractivo, “vaya calando en el empleado la información y vaya generando una conciencia de que la ciberseguridad es cosa de todos y no solo de los técnicos de la compañía”. Otro de los métodos es realizar campañas de phishing para ver quiénes pican y así poder explicarle que ha 'picado' y porqué lo ha hecho, incide el CEO de esta startup.
Equipo multidisciplinar
Una parte del equipo de Kymatio es el que se encarga de desarrollar la tecnología específica para sus soluciones. Aunque Mateus añade que aplicar técnicas de inteligencia artificial en este tipo de soluciones “ya no están diferencial” como lo era antes porque “se ha democratizado y todo el mundo la emplea”.
Para el CEO de esta startup, es fundamental completar esa parte técnica con un equipo especializado en psicología y neuropsicología: “El factor humano es clave en la ciberseguridad de las compañías, por lo que tienes que entender a las personas y hablar en su ‘idioma’, por lo que esta parte del equipo tiene un gran peso en el desarrollo”.
Gracias a este trabajo en equipo, esta startup puede ofrecer a las compañías “visibilidad” para saber “en qué departamentos tienen ‘assets críticos’, dónde debería poner más herramientas que les protejan, qué tipo de formación se puede abordar en cada grupo, conocer de qué pie cojea cada área de la empresa para ofrecer ayuda específica”.
A través de la información que recopilan los chatbots de su interacción con los empleados, la tecnología de Kymatio elabora unos mapas de riesgos de cada empleado, de cada departamento y de toda la corporación. “Las empresas están ciegas en estos aspectos, por lo que les proponemos poner luz sobre ello para evitar que un ataque paralice su compañía”.
“Con toda esta información ya se puede implementar una primera capa de ciberseguridad básica”, pero para evitar el error más común, que es el que afecta a las personas de forma individual hay que elaborar unas recomendaciones personalizadas para cada empleado.
Los ciberataques, sean del tipo que sean, son “un problema grave con grandes consecuencias”, ya sea por motivo económico, por el daño reputacional, por las sanciones, incluso, al considerar el legislador que no se han aplicado las medidas para evitar que este incidente ocurriera, explica el responsable de esta startup.
Mateus insiste en que esa es la fase más importante: “Más allá de un curso de compliance, el objetivo es lograr un cambio cultural porque la ciberseguridad afecta tanto a la compañía como al empleado y tanto en la oficina como en casa. Tenemos que estar alerta para estar preparado ante cualquier tipo de ataque desde cualquier vía, ya sea un correo electrónico, un SMS, por teléfono, por redes sociales…”
En algo más de un año, ya han implementado su tecnología en diferentes empresas, tanto pymes como grandes corporaciones, entre ellas en Telefónica Eleven Paths y en Santander Vida y Generales, el área de seguros del Banco Santander, con más de un 95% de participación de los empleados.
Tras su paso por la aceleradora Wayra, ahora han dado el salto a Telefónica Tech Ventures. Este contacto con Telefónica les ha permitido acceder a su gran red de clientes y partners. “Ahora estamos en proceso de ocho proyectos internacionales para impulsar nuestra tecnología, sobre todo en Latinoamérica”, apostilla Fernando Mateus.