A fondo: Los fallos de ciberseguridad más comunes (y evitables) de las empresas
No todas las empresas son conscientes del nivel de profesionalización que ha experimentado la ciberdelincuencia, ni del valor de sus datos.
Big Data. Inteligencia artificial. Blockchain. Cloud computing. Realidad virtual, aumentada, mixta… Son muchas las tendencias tecnológicas a las que se enfrentan las compañías en su periplo hacia la pervivencia, y que les dan argumentos de peso para plantar cara a la competencia. Aunque alguna de estas tendencias, en ocasiones, llega a pasar desapercibida a pesar de su relevancia. Sucede, sin ir más lejos, con la ciberseguridad.
Y eso que la dejadez en materia de ciberseguridad podría poner punto y final a la actividad empresarial. ”Hay empresas pequeñas que han desaparecido por un ataque: imagina un ransomware”, un malware que secuestra equipos para después pedir un rescate, “que cifra el servidor y el disco USB de copia conectado al mismo, haciendo irrecuperable la información de toda una vida para la empresa”, apunta Miguel A. Juan, socio director de S2 Grupo ante las indagaciones de Silicon.es sobre la situación actual de protección de las empresas españolas. “Sin llegar tan lejos, vemos en cualquier caso un incremento de ataques con un fin económico: no solo ransomware, sino Fraude del CEO” o “robo de información para venta”, añade Miguel A. Juan.
“El cibercrimen, el fraude y el robo de datos son delitos cada vez más comunes y las pequeñas y medianas empresas están en el punto de mira de unos ciberdelincuentes cada vez más organizados y especializados”, confirma Marcos Gómez, subdirector de Servicios de Ciberseguridad del Instituto Nacional de Ciberseguridad (INCIBE).
De acuerdo con lo que ha ido registrando la Bitácora de ciberseguridad del INCIBE durante el último par de años, se pueden considerar “los robos y fugas de información, los ataques a la disponibilidad o el robo de dinero” como “las amenazas más impactantes”. Por “modalidades de fraude electrónico tenemos al ransomware como la más importante”, destaca también Gómez, “con más de 7.000 incidentes atendidos por nuestros expertos”.
Las organizaciones, por tanto, están sufriendo consecuencias a nivel económico y de reputación. “Un incidente de ciberseguridad puede detener la actividad de una empresa desde unas horas” hasta “varios días, y eso económicamente además de la recuperación a una situación normal puede conllevar un alto impacto”, analizan desde el INCIBE.
Los ejemplos están ahí como advertencia. En España, y a nivel internacional. “Los riesgos son muchos y variados”, relata Ricardo Maté, Country Manager de Sophos Iberia. “Desde riesgo económico, como los sufridos por la naviera Maersk y la de transporte urgente Fedex, que registraron pérdidas de muchos millones de dólares como consecuencia del impacto directo del ataque Petya, que han afectado a sus cuentas de resultados. O la caída del valor de las acciones de Equifax de 143 a 92 dólares tras la filtración de sus datos, además del cese de los responsables de IT, seguridad y el propio CEO. A riesgos reputacionales, como el sufrido por Yahoo, que tras varios ciberataques fue vendida a Verizon por 4.830 millones, cuando llegó a estar valorada en su mejor momento en 125.000 millones de dólares”.
“Además, tenemos que tener en cuenta que la entrada en vigor de la nueva regulación de protección de datos” en Europa, conocida por las siglas de GDPR o RGPD, “también tendrá implicaciones en las empresas a nivel económico, ya que una brecha de seguridad con el robo de datos puede significar una multa de hasta el 4 % de la facturación” y “a nivel reputacional, ya que la normativa obliga a la empresa comunicar el robo de información a los usuarios y al regulador, acabando con la opacidad que en muchos casos se daba ante una brecha de seguridad”, señala Maté.
El valor de los datos
Pero los ejemplos no siempre calan hondo. ¿Son conscientes las empresas que operan en España de la profesionalización que ha ido experimentando la ciberdelincuencia? ¿Y son conscientes del valor de sus datos? Firmas de seguridad como S2 Grupo y Sophos tienen sus dudas. “No son conscientes de que sus datos valen dinero hasta que sucede un incidente”, opina Miguel A. Juan. Y aquí el caso típico es el del “secuestro del equipo pidiendo un rescate a cambio de la información” por medio del ransomware.
“Personalmente creo que no son conscientes” del peligro que corren, dice Ricardo Maté, “porque a pesar de la gran repercusión mediática de WannaCry y Petya las empresas desconocen que existe toda una industria detrás de estos ciberataques, que se ha convertido en una de las mayores amenazas a nivel de crecimiento económico tanto para las empresas como para los estados. La industria del cibercrimen en estos momentos está generando ya un volumen de impacto de negocio de más de 3 billones de dólares porque no solo vulnera la propiedad intelectual, sino porque, además, en algunos casos, logra paralizar los negocios o acabar con la reputación de las corporaciones”.
Sin embargo, Maté da un voto de confianza en lo que se refiere a la importancia de los datos. “Yo creo que las empresas sí son conscientes del valor de los datos que manejan, pero”, matiza el responsable de Sophos Iberia, “no los protegen lo suficiente”. Así que al final la situación de riesgo que se genera es real.
¿Qué es lo que se observa desde el INCIBE? Que “cada vez más en compañías con mayor tamaño y con más presencia en la red o con mayor dependencia tecnológica se conciencia y se forma a los empleados, y se toman precauciones en ciberseguridad, pero la velocidad de la innovación conlleva la necesidad de mantener el esfuerzo de forma continua”.
“Se trabaja cada vez más en la gestión del riesgo, siguiendo buenas prácticas, desarrollando políticas de ciberseguridad ligadas al negocio, concienciando a empleados, clientes” o “proveedores. Pero aún hay mucho por hacer”, analiza Marcos Gómez, como sería “reforzar estas políticas, fortalecer las capacidades de las empresas para detectar y frenar ciberataques, invertir más dinero en la ciberseguridad, dotarse de mejores profesionales y más especializados, disponer de planes de continuidad de negocio y de planes de recuperación frente a desastres e incidentes”.
En este sentido, “es muy recomendable disponer de expertos en ciberseguridad que dispongan de conocimientos técnicos altos”, declara Gómez. Y “si no disponemos de ese personal entre nuestros empleados, lo mejor es acudir a expertos o empresas en el mercado”. Pero nunca quedarse de brazos cruzados o confiarse.
Errores recurrentes
Entre los fallos más recurrentes que suelen cometer las empresas en términos de seguridad, Sophos destaca tres. “El primero es pensar que sus empresas no son objetivos de los ciberdelincuentes y que estos ataques están dirigidos solo a las grandes corporaciones. El segundo es usar una protección básica para los puestos de trabajo y echar mano de versiones anticuadas de sistemas operativos o aplicaciones no soportados por los fabricantes. Y el tercero es no formar a sus usuarios, que son el eslabón más débil, sobre los riesgos existentes”, resume su Country Manager para Iberia.
En su trayectoria como subdirector de Servicios de Ciberseguridad del INCIBE, Marcos Gómez también ha visto que parte de los incidentes suceden tras “no actualizar los sistemas operativos y software” utilizado en los equipos empresariales. Pero es que, a mayores, algunas empresas cometen la equivocación de “no proteger todos los dispositivos que están conectados a una misma red. Por ejemplo, no tienen en cuenta muchas veces los dispositivos móviles corporativos que también usan su red a través de conexiones inalámbricas”. A esto hay que sumar vicios como “hacer un mal uso o un uso inadecuado de redes sociales y sobreexposición de información públicamente, lo que puede dañar claramente su reputación” o “no usar políticas de uso de contraseñas seguras, no cifrar los datos, sobre todo de equipos que salen fuera de la oficina, o no realizar copias de seguridad”, tal y como completa Gómez.
Estas equivocaciones se comenten “por desconocimiento, comodidad en la operativa o falta de recursos materiales”, indica Miguel A. Juan, socio director de S2 Grupo. A veces el problema es que se confía en “antivirus no actualizados, versiones obsoletas de aplicaciones o sistemas, firewalls no configurados correctamente”, como bien reparan los tres expertos que han sido consultados por Silicon.es. Otras veces lo que ocurre es que hay “puertos abiertos a internet que no deberían estarlo”.
Sea como fuere, “hoy en día podríamos decir que más del 70 % de las empresas son claramente vulnerables a los ciberataques. De hecho, las estadísticas muestran que más de un 70 % de las empresas a nivel mundial han sufrido algún tipo de brecha de seguridad”, advierte Ricardo Maté.
¿Cómo mejorar en seguridad?
La parte positiva es que “para todas estas amenazas también hay medidas de seguridad y recomendaciones que si seguimos, y lo hacemos de forma periódica, nos ayudarán a evitar o mitigar muchos de estos incidentes cibernéticos”, tranquiliza Marcos Gómez. Esto empieza por contar con un “equipamiento bien protegido con herramientas de seguridad, al menos un antimalware y un cortafuegos”, y sigue por mantener los “equipos bien actualizados con los parches y actualizaciones de seguridad que recomienda el fabricante”, ya sea el fabricante “del dispositivo” o “del software” que se está utilizando. Entre esos equipos hay que incluir asimismo “los que usamos en fuera de la oficina”, como “portátiles, tabletas, móviles”, puntualiza Marcos Gómez.
Pensando en “los gestores de sistemas de información”, Ricardo Maté define como “vital mantener las aplicaciones actualizadas con los últimos parches de seguridad, tener un plan de ciberseguridad, un backup actualizado, un sistema de autentificación avanzado con contraseñas potentes y distintas para las diferentes aplicaciones, y un sistema de seguridad por capas que cubra los diferentes componentes de nuestros sistemas de información, correo, red, navegación web, puestos de trabajo, wifi, dispositivos móviles y las aplicaciones”. Y es que “debemos proteger el puesto de trabajo de las principales amenazas como son los exploits, el ransomware” y el “robo de credenciales con soluciones avanzadas” que permitan incluso “detectar ataques desconocidos previos en cuestión de segundos”.
“Además”, prosigue Maté, “sabiendo de la entrada en vigor del GDPR” el año que viene “es recomendable cifrar no solo los dispositivos sino toda la documentación”, asegurando “la información a la que se accede desde móviles, portátiles, ordenadores, redes y aplicaciones para compartir archivos en la nube”. Esto sin olvidar el peso que tiene “la formación” de los trabajadores “en cuanto a los riesgos en la utilización de sistemas informáticos y la protección que deben usar”.
“Estar informado” también es importante, considera Gómez, que habla de “estar al día, exactamente igual que nos informamos del estado de las carreteras cuando viajamos, o salimos a la calle”, porque lo que se hace ahora “es salir al ciberespacio y hay que disponer de un mínimo de cultura de ciberseguridad”. Esto se puede conseguir a través de “avisos y alertas, boletines, blog de actualidad, bitácora, herramientas, respuesta a incidentes, teléfono de atención” o “perfiles en redes sociales” como los que ofrece el propio INCIBE “de forma gratuita”.
Y, por supuesto, “usar el sentido común, que nosotros desde INCIBE acuñamos ya hace unos años como el cibersentido común, el sexto sentido o sentido virtual o digital que nos debe ayudar a detectar situaciones sospechosas, en las cuales el ciberdelincuente nos plantea un gancho” por medio de “ingeniería social” con la intención de que “pinchemos en un enlace” o “abramos un adjunto”, por ejemplo, y “entonces nos infecte el sistema o nos robe información o dinero. Estas cosas debemos aprender a detectarlas y evitarlas”, aprecia Gómez. Y aún habría un último consejo: “ante la duda acudir a expertos en ciberseguridad”.
En resumen, para cambiar la situación actual, “se necesita mejorar en seguridad técnica y en seguridad de las personas” a base de “concienciación”, concluye Miguel A. Juan. “Es decir, se necesita invertir recursos en protegernos”, ya que “si confiamos en el best effort de nuestra gente, o sencillamente en la casualidad, tendremos problemas a corto plazo”.