El Digital Summit posa el focus en l’alta vulnerabilitat de les PIMES davant els ciberatacs

Terrassa, 22 maig de 2025.-  Més de 80 empresaris i professionals autònoms han assistit avui a la tercera edició del Digital Summit’25, organitzada per la Cambra de Comerç de Terrassa. La jornada, centrada en la ciberseguretat com a element clau per protegir i fer créixer els negocis, ha posat en relleu la vulnerabilitat actual de les petites i mitjanes empreses davant de la ciberdelinquència. Els diferents experts presents a la jornada han coincidit en el fet que la seguretat no és una opció, sinó una responsabilitat compartida on és determinant la formació del personal, els protocols interns i aprendre a pensar com els qui volen posar-nos a prova.

L’esdeveniment, celebrat al Parc Vallès de Terrassa, ha estat impulsat per l’Oficina AceleraPyme per al Kit Digital. L’acte ha comptat amb el president de la Cambra de Comerç de Terrassa, Sr. Ramon Talamàs, i ha estat conduït per la periodista, comunicadora i experta en tecnologia, Sra. Mariola Dinarés.

PIMES en risc

Segons dades del Instituto Español de  Ciberseguridad (INCIBE), el 2023 es va detectar un creixement del 24% dels incidents digitals. D’aquests atacs, el 70% van ser dirigits a PIMES. En el marc del Digital Summit 2025, l’expert en ciberseguretat Sr. Antoni Lorenzana, CyberDefense Manager a DXC Technology, ha alertat que “les PIMES són ara mateix un dels principals objectius dels ciberdelinqüents”.  

El motiu principal, segons l’expert, és que les petites i mitjanes empreses constitueixen la baula vulnerable a través de la qual els ciberdelinqüents poden arribar a grans empreses i corporacions. “Les grans empreses, amb mesures de ciberseguretat avançades, necessiten de les petites empreses en la cadena de subministrament”. I és aquesta escletxa que aprofiten les organitzacions criminals per dirigir els seus atacs.

El ponent també ha recordat com l’impacte dels ciberatacs en les PIMES pot resultar fatal: moltes es veuen obligades a tancar en un termini de sis mesos després d’un atac.

Lorenzana ha llançat un missatge a les petites i mitjanes empreses: la clau de la protecció comença pel coneixement intern. “No podem protegir allò que no coneixem” i ha recomanat que, abans d’implementar cap mesura de seguretat, s’analitzin els processos crítics per al negoci, els actius exposats públicamenta Internet (com la web), el tipus d’informació amb la qual es treballa i els recursos humans i econòmicsque es poden destinar a la ciberseguretat?

Phising, la primera amenaça

L’expert ha alertat que el phising (correus o missatges enganyosos que suplanten identitats per estafar o robar dades) és la principal amenaça per a les PIMES actualment. Altres tipus d’atacs freqüents són el Ransomware, segrest de dades i sistemes amb petició de rescat, i malware i troians. Aquests últims es fan passar per programes legítims per accedir o robar dades. Aquests atacs sovint entren a través de correu electrònic, missatgeria instantània, dispositius d’emmagatzematge o l’explotació de vulnerabilitats en el sistema operatiu.

Recomanacions de ciberseguretat per a empreses

Lorenzana ha estructurat els consells de seguretat en tres nivells – bàsic, intermedi i avançat –  segons la maduresa digital de l’empresa. Les accions bàsiques de protecció inclouen l’ús de contrasenyes robustes, la implantació de l’autenticació multifactor i la formació bàsica en ciberseguretat, especialment pel que fa al reconeixement del phishing  A més, ha incidit en el fet què cal mantenir actualitzats els sistemes operatius i programes, utilitzar antivirus fiables i realitzar còpies de seguretat regulars.

Amb aquests consells, l’expert ha mostrat com amb una inversió mínima es pot assolir un nivell de protecció efectiu. L’actualització constant i la conscienciació del personal són fonamentals per a qualsevol organització.

En un nivell Intermedi de protecció, Lorenzana ha recomanat reforçar especialment la seguretat del correu electrònic mitjançant proveïdors fiables i sistemes de filtratge, dur a terme simulacres de phishing per formar proactivament el personal. També ha aconsellat limitar els privilegis dels usuaris, aplicar polítiques de seguretat en dispositius i gestionar de manera estricta la navegació i les xarxes de dades. Aquestes mesures, tot i que poden semblar restrictives, aporten una gran eficàcia i resiliència a l’empresa.

En el nivell avançat, les organitzacions amb infraestructura complexa necessiten mesures més sofisticades. L’expert ha destacat la importància de disposar de sistemes de detecció i resposta a amenaces operatives de manera permanent (24/7), així com la realització regular d’auditories ofensives (pentest) i la definició d’un pla director de ciberseguretat, entre altres mesures.

L’expert ha tancat la seva intervenció destacant que formar el personal i planificar estratègicament són les millors defenses. A més, ha animat les empreses a conèixer les seves vulnerabilitats i prioritzar accions segons els seus recursos.

Què podria anar malament?

El Sr. Eloi Manuel Viejobueno, enginyer informàtic, professor i expert en hacking ètic des de 2013, ha portat al Digital Summit 2025 una proposta trencadora: adoptar el “security mindset” o mentalitat de seguretat. És a dir,  pensar com un hacker per defensar-se millor dels atacs reals.

Amb el lema “Pensa com un hacker: adopta el security mindset”, Eloi Manuel ha explicat què fa un hacker ètic: provar sistemes, aplicacions i infraestructures buscant vulnerabilitats abans que ho facin els atacants. “La millor defensa és un bon atac”, ha remarcat, diferenciant els rols del Blue Team (defensors) i el Red Team (atacants ètics). També ha exposat casos reals com una app mòbil bancària amb transferències negatives,  una web farmacèutica amb dades confidencials exposades, o un e-ecommerce amb evasió del pas de pagament, entre altres-

Els assistents han pogut entendre com treballa un Red Team, en entorns controlats, i un Black Team, en simulacions més realistes on s’afegeix la seguretat física. Temes com el phishing, la seguretat WiFi, el núvol o les tecnologies Blockchain i Web3 també han estat tractats des d’una visió pràctica,

El security mindset consisteix a pensar sempre “què podria anar malament?” i anticipar així els passos d’un atacant. És una actitud, més que una tècnica. Segons l’expert, aquesta mentalitat s’hauria d’incorporar a totes les etapes del desenvolupament digital, des de la concepció fins al desplegament de qualsevol aplicació o servei.

Protocols interns, barrera de contenció

En el marc de la jornada, el Sr. Jesús Álvarez, Responsable de Sistemes d’Informació de Heavymovement, ha exposat un cas real de frau per correu electrònic que gairebé provoca una transferència fraudulenta de gran import, en la seva mateixa companyia empresa. L’atac va simular un correu legítim d’un alt directiu de la companyia amb sol·licitud urgent de pagament. Tot semblava autèntic: remitent, estil, fins i tot un correu reutilitzat d’una conversa anterior. Però gràcies als protocols interns de verificació i la desconfiança activa de l’equip financer, es va evitar el desastre.

L’incident demostra que la tecnologia, sense processos ni persones preparades, és insuficient. Els responsables de l’empresa han remarcat la importància d’implementar proteccions com SPF (filtre que comprova si un correu prové d’un servidor autoritzat), DKIM (sistema que verifica que el contingut no ha estat manipulat) i DMARC (política que diu què fer si un correu falla les comprovacions anteriors).“El perill no és si ens atacaran, sinó quan ho faran i com hi respondrà el nostre equip”, ha conclòs.

La desinformació és la nova amenaça empresarial

Una altra de les reveladores intervencions en el Digital Summit 2025 ha estat el de la Sr. Selva Orejón, CEO d’OnBranding i pèrit judicial especialitzada en identitat i reputació digital. L’experta ha advertit sobre els riscos creixents de la desinformació i les campanyes d’influència en entorns digitals polaritzats.

A partir d’un cas real sobre el boicot a productes catalans, Orejón ha mostrat com les empreses poden ser víctimes d’atacs reputacionals orquestrats, sovint vinculats a contextos polítics o econòmics. Ha exposat com actors diversos —plataformes digitals, mitjans, influencers, usuaris anònims o partits polítics— poden coordinar-se per generar pressió pública mitjançant continguts manipulats o polaritzants.

Un dels mecanismes clau d’aquestes campanyes és l’astroturfing, una pràctica que consisteix a simular suport ciutadà aparentment espontani per manipular l’opinió pública i amplificar missatges interessats. Aquestes accions tenen conseqüències directes sobre la percepció de marca i poden derivar en danys econòmics reals.

Per fer front a aquest escenari, Orejón ha defensat la necessitat d’implantar un Observatori Digital, una eina clau per protegir les organitzacions en temps real. Segons la seva exposició, els quatre objectius principals de l’observatori són: anticipar crisis abans que s’escampin, protegir la reputació en entorns digitals altament polaritzats, donar suport a decisions estratègiques basades en dades i defensar la democràcia digital davant la manipulació organitzada.

La sessió ha conclòs amb un missatge clar: les empreses no poden confiar només en la tecnologia per protegir-se. Calen protocols definits, persones formades i una capacitat de resposta àgil i ben coordinada. Només així es pot fer front a un panorama digital cada cop més complex i influït per narratives manipulades.