Cristina Muñoz-Aycuens, socia de ciberseguridad de Grant Thornton: «No es sencillo recuperar un negocio si te ciberatacan»

Las políticas de ciberseguridad, al hilo de la nueva regulación que se avecina como NIS2 o DORA, cada vez están más alineadas con el negocio y son imprescindibles. Mientras, el Ministerio de Transformación Digital hacía público un ambicioso plan de inversiones en ciberseguridad, y la directora general de inteligencia artificial (IA), Aleida Alcaide, lo explicaba en el reciente XIV Foro de Ciberseguridad organizado por ISMS Forum. Por su parte, firmas como Grant Thornton preparaban un nuevo servicio integral de ciberseguridad para terceros.

Después de meses de trabajo y preparación para esta nueva iniciativa, Grant Thornton ha promocionado a Cristina Muñoz-Aycuens como nueva socia de Ciberseguridad y Forensic, confiándole el diseño de una propuesta de servicios de Ciberseguridad que responda a todos los problemas que, en esta materia, están experimentando muchas empresas españolas de todos los tamaños y sectores.

En este sentido, la nueva socia liderará un área con un enfoque integral de servicios orientados a la prevención, detección y respuesta ante incidentes o ataques cibernéticos: desde la protección de sistemas (Blue Team), simulaciones de ataques reales para detectar vulnerabilidades (Red Team), hasta la gestión y resolución de incidentes mediante un equipo especializado en DFIR. Todo ello, complementado con apoyo a las empresas en cumplimiento normativo (GRC), adaptado a las exigencias regulatorias actuales en materia de ciberseguridad.

Además, el nuevo enfoque de Grant Thornton reforzará la formación técnica y la concienciación de sus clientes como ejes clave para una defensa eficaz, convirtiéndolos en agentes de seguridad transversal y activos protectores. La compañía ha incrementado sus efectivos con personal cualificado, de tal forma que, cuando concluya este 2025, el equipo sea más grande. No se descarta que incorporen pequeños equipos de otras firmas que sean realmente operativos.

El nuevo reto profesional de Cristina va en consonancia con su talante emprendedor, su espíritu de superación y su disposición para afrontar nuevos desafíos. Cristina Muñoz-Aycuens cuenta con una trayectoria de casi 20 años en el ámbito de la ciberseguridad y la informática forense.

Según nos comenta, desde muy joven ha estado vinculada a la tecnología. De hecho, en esa etapa montaba y desmontaba ordenadores en uno de sus primeros trabajos. Vivió de forma directa la llamada seguridad de la información, antecedente inmediato de la ciberseguridad. Luego, inició su carrera en 2005 con auditorías de sistemas y protección de datos, y en 2008 ayudó a crear la Unidad de Seguridad de la Información del Grupo Eulen. En KPMG lideró proyectos de cumplimiento tecnológico y auditoría informática en grandes compañías, antes de incorporarse en 2014 al área de Forensic.

En Grant Thornton, Cristina ha sido clave en la creación del Laboratorio Forense Informático y en el desarrollo de los servicios de DFIR. Reconocida como Future Leader en «WWL Investigations» y como una de las Top 100 Mujeres Líderes, combina su actividad profesional con la docencia en másteres de ciberseguridad y compliance, además de participar como ponente en foros especializados.

En declaraciones a Economist & Jurist, muestra su satisfacción por esta promoción profesional, que la convierte en la primera socia de Grant Thornton en materia de ciberseguridad y al frente de una ambiciosa propuesta de servicios de esta firma de servicios profesionales: «Vamos a cubrir con esta iniciativa todo el ciclo de vida de la seguridad: desde la adecuación de las empresas a la normativa e ISOS, securizar los sistemas, toda la parte de auditoría, así como la monitorización de los sistemas y el apoyo a las empresas en caso de que sufran algún ciberataque. Recuperar el negocio cuando te ciberatacan no es sencillo».

Cristina es asidua en ponencias y mesas redondas del más alto nivel, como esta celebrada en Málaga. (Imagen: Grant Thornton)

Trabajar desde la prevención

«Vamos a ayudar a que las empresas españolas estén lo más preparadas posible ante la auténtica plaga de ciberataques que están sufriendo. El 96% de las organizaciones ya han sido víctimas de ellos, y el 4% no son conscientes de haberlo sido. Nuestras compañías son las más amenazadas de Europa y las terceras a nivel mundial y, ante ello, queremos responder con una propuesta auténticamente integral que proteja toda su cadena de valor y defensa», explica esta profesional.

La idea que tiene esta experta en seguridad de la información es diseñar estrategias de ciberresiliencia para que las empresas se anticipen a estos ciberataques, un reto importante ante la falta de inversión de los empresarios y entidades públicas en esta materia: «Hay compañías que no tienen Planes de Continuidad del negocio; otras no los han testado de forma suficiente. Los planes de respuesta ante incidentes escasean en las organizaciones».

El equipo experto liderado por Cristina es capaz de recuperar datos, analizar dispositivos, elaborar informes periciales y asistir en los procesos judiciales posteriores, de manera que representa un enfoque holístico para proteger cualquier tipo de intereses corporativos.

Para Fernando Beltrán, socio-director de Financial Advisory, área paraguas de la que dependen Forensic y Ciberseguridad, «Cristina es una de las profesionales más solventes y destacadas en el campo de la investigación forense. Tenemos el objetivo de posicionarnos como líderes en el campo de la ciberseguridad, y contar con ella es una apuesta segura».

En este sentido, la nueva socia de Ciberseguridad de Grant Thornton es una firme defensora de los ciberejercicios: realizar simulacros de la puesta en marcha de esos planes de respuesta a incidentes, así como la formación de los profesionales que deben implementar esos protocolos en las empresas. «Hay que probar desde el punto de vista práctico que el plan funciona y que tus profesionales tienen la formación adecuada en materia de ciberseguridad», opina Beltrán.

En el debate sobre si las entidades públicas deben tener un régimen sancionador cuando cometen errores o infracciones en materia de ciberseguridad o por el uso de herramientas de IA, Cristina se une a la tendencia mayoritaria y es partidaria de esas sanciones, que también recibirán las empresas privadas cuando se apruebe la trasposición del RIA. «En España no somos nada preventivos; a no ser que se establezca algo por obligación, no lo hacemos. Es bueno que tuvieran su régimen sancionador, como otras empresas privadas. En general, se invierte muy poco en ciberseguridad», reflexiona.

Para esta experta, el problema se detecta en la alta dirección de las compañías: «Lo ven como un gasto en lugar de una inversión. No ven un retorno real de estas políticas de ciberseguridad. La realidad de la vida es que, luego, pasa algo, y resolverlo es más caro que si hubieran implementado las medidas adecuadas, preventivas, para mitigar los ciberincidentes. Es importante revisar tus riesgos, qué controles tienes y saber qué debes implementar para mitigar los ciberataques. Son medidas que cuestan dinero, pero evitan el desastre interno».

Jornada organizada por Grant Thornton sobre la prueba y el ‘compliance’ digital. De izquierda a derecha: Joaquín Delgado, magistrado de la Audiencia Nacional de Madrid; Alfonso Bravo, socio-responsable de Investigaciones de Grant Thornton; Rafael Aguilera Gordillo, director del Compliance Advisory LAB; Cristina Muñoz-Aycuens, directora de Forensic de Grant Thornton; Eloy Velasco, magistrado-juez de la Audiencia Nacional; y Alfonso Trallero, socio de Penal de Ontier. (Imagen: Grant Thornton)

La ciberseguridad es estratégica

En opinión de Cristina, las inversiones anunciadas por el ministro Óscar López en materia de ciberseguridad y defensa deben servir de alerta para que las empresas y organizaciones tomen la misma dirección. «Con el apagón de hace unos días hubo un parón absoluto. Hubo empresas que, gracias a su Plan de Continuidad, ya funcionaban por la tarde de ese fatídico 28 de abril, pero otras se quedaron sin energía. Luego, arrancarlas costó bastante en los días siguientes», analiza.

Que la ciberseguridad sea ahora un elemento estratégico para el negocio va, sin lugar a dudas, a mejorar el reconocimiento social y la remuneración de estos profesionales, cada vez más cotizados. «Hay muy buenos profesionales en nuestro país, a todos los niveles en el plano tecnológico. Los perfiles más jóvenes no tienen los salarios de los profesionales consagrados; sin embargo, estos profesionales sénior sufren una brecha salarial frente a otros países. Esta brecha se irá reduciendo ahora, porque la ciberseguridad necesita de profesionales mejor formados», adelanta.

Respecto a los ciberataques y su impacto, Cristina Muñoz-Aycuens resalta que «lo que se sigue haciendo mal es que se piensa que no nos va a tocar. La realidad es que nos puede tocar a todos, y deberíamos estar todos preparados. Nunca sabes cuándo vas a ser el objetivo de quienes ciberatacan. Hay que darse cuenta de que ya no solo son las empresas, sino también a nivel individual, quienes sufren estos ciberincidentes en cualquier momento, sobre todo por phishing y correos maliciosos que nos llegan y que nunca debemos abrir».

Para esta experta, «la evolución de los motivos de estos ciberatacantes no era tanto un tema económico, como lo es ahora, sino de orgullo: demostrar que podían tumbar la web de cualquier entidad pública o privada. Luego, han visto que podían sacar dinero con esos rescates que piden a las organizaciones a las que han bloqueado sus webs y servidores. También se observa, en estos últimos años, que muchos ciberatacadores son contratados por terceros con ese ánimo de lucro, para lograr un botín que se reparten ambas partes tras el hecho delictivo».

Respecto al papel de las herramientas de IA en la detección y respuesta a estos ciberataques, nuestra interlocutora comenta: «La IA no va a reducir el número de ciberataques que vamos a sufrir. No obstante, se puede utilizar desde dos puntos de vista: para que me ayude a securizar nuestros sistemas o para atacar a esos sistemas. Es un arma de doble filo. La IA nos ayudará en la medida en que la enseñemos a hacer cosas. Su uso estará más enfocado en la implementación de medidas que reduzcan el impacto de cualquier ciberataque».

En su opinión, el papel de las herramientas de IA «está siempre vinculado a la intervención humana, que es quien debe decidir qué vamos a implantar y qué no vamos a implementar en materia de este tipo de tecnologías tan disruptivas. La IA no puede ni debe ser proactiva respecto a nuestros sistemas, ni a corto ni a medio plazo. Es fundamental la implicación de los Consejos de Administración de las empresas para que estas apuesten por políticas e inversiones en ciberseguridad con cierta continuidad. Nos jugamos mucho».