El 50% de los ciberataques que afectan a las empresas tienen su origen en un fallo humano. Así lo señalan numerosos datos extraídos de varios informes: “International Trends in Cybersecurity” de CompTIA; “PwC’s Global State of Information Security® Survey” o el titulado “An integrated approach to insider threat protection” de IBM. La COVID-19 ha traído consigo una avalancha tecnológica y el confinamiento mundial ha terminado de hiperconectarnos, porque la red se ha convertido durante horas (muchas horas) en un auténtico “placebo digital”. Nos ha distraído, informado, acercado al mundo que el coronavirus nos había vedado y nos ha convertido en usuarios más vulnerables.
Antonio Ramos, CEO de LEET Security, agencia de calificación que etiqueta fiablemente la ciberseguridad de los servicios, traslada que si los medios utilizados hubieran estado debidamente securizados “no habríamos notado la diferencia, pero nuestros espacios de trabajo en remoto (fundamentalmente, en el hogar) no cuentan en muchas ocasiones con las medidas de protección que tienen los entornos profesionales, por lo que la hiperconectividad ha generado una mayor vulnerabilidad”.
Para Carlos Otto, director de El Enemigo Anónimo, la primera serie documental sobre ciberseguridad hecha en España, las personas somos la principal puerta de entrada a los cibersataques, pero “culpabilizar al empleado es una opción muy cuestionable, ya que pretender que asuma ciertas tareas de ciberseguridad es añadirle trabajo. Parece evidente que, si las empresas diesen formación a sus empleados, estos serían el mejor cortafuegos contra los ciberataques, pero eso no las exime de su obligación de mejorar constantemente sus filtros anti spam“, opina.
Por su parte, David Barroso, CEO de la startup vasca de ciberseguridad, CounterCraft, asume que en el sector se focaliza al usuario como eslabón más débil, por lo que es importante concienciar a la parte humana de una organización, para que sea capaz de detectar actividades sospechosas y evitar por sí misma situaciones de riesgo. “Sin embargo, en muchos casos existen también vulnerabilidades de tipo técnico, llamadas zero-day (agujeros de seguridad recién descubiertos por los ciberatacantes) y sistemas desactualizados que pueden suponer la puerta de entrada para cualquier delincuente de estas características”, explica Barroso.
En el ámbito corporativo, una gran empresa tiene más posibilidades de soportar las consecuencias de un ciberataque. Si atendemos a las investigaciones de la compañía especializada, Tessian, el coste medio de una brecha de seguridad es de 3,92 millones de dólares, por lo que para una pyme puede ser letal. Hay una carencia palpable a la hora de prevenir, detectar, actuar y resolver (en el mejor de los casos) un ataque cibernético por parte de los profesionales. Miguel Ángel Rojo, CEO de BOTECH, empresa especializada en detección de fraudes, hace hincapié en el tipo de ataque que suele afectar a cada una de las compañías. “En el caso de grandes organizaciones, suele tratarse de ataques dirigidos, es decir, ataques creados para esa organización en concreto y que conllevan un estudio previo de la misma para lograr al máximo su objetivo. En el caso de las pymes, al tratarse de un tejido empresarial tan amplio, se lanzan ataques masivos y se espera a ver cuántas pequeñas empresas se ven afectadas”, matiza.
Ransomware, el código malicioso más popular
Algunas de las brechas de seguridad más impactantes hasta la fecha no son lejanas y se han intensificado con el auge del teletrabajo, situación que los ciber delincuentes han aprovechado para cifrar cientos de miles de archivos corporativos, bloqueando la actividad habitual. Los más frecuentes resultan de códigos maliciosos, como el ransomware, que exige el pago de un rescate por desencriptar los archivos o el phishing como vía de entrada para acceder al primero y obtener credenciales con las que después se podrá introducir en determinadas redes o aplicaciones y hurtar cualquier tipo de información que le interese al atacante. Carlos Otto cree que el ransomware es el código malicioso más extendido “porque es el más sencillo, barato y eficaz. Internet está lleno de ransomware que puedes usar para intentar infectar a alguien”, así como el phishing que a priori puede resultar un método burdo. “Cómo alguien sensato puede creer un email que recibe, por ejemplo, del príncipe de Nigeria, resulta muy incauto… bueno, pues hay gente que pica el anzuelo. Si tienes una base de datos de un millón de personas y cae un 1% ya tienes a 10.000 víctimas”, sostiene Otto.
La compañía estadounidense de telecomunicaciones, Verizon, concluye que un 32% de brechas de seguridad en una organización tienen que ver con el phishing, mientras el 94% del malware que se recibe es enviado por email. “En el caso de spear phishing (phishing específicamente dirigido a una persona dentro de la organización), un 88% de las organizaciones de todo el mundo han sufrido intentos de acceso a información”, destaca el CEO de CounterCraft. Esta startup ha observado un incremento de ataques a redes privadas virtuales (VPN) que también han cobrado relevancia por la adopción repentina del trabajo remoto.
“Los atacantes conocen muy bien a su víctima porque se han ocupado de estudiarla previamente, especialmente mediante técnicas de ingeniería social, de forma minuciosa, con un mensaje elaborado a medida”, añade David Barroso. Cuando hablamos de ingeniería social, es inevitable hacer mención a uno de sus mayores exponentes: Kevin Mitnik, hacker que trajo de cabeza (durante años) al FBI con algunos de los delitos cibernéticos más sonados de la última década. Esta metodología consiste en obtener información confidencial de todo tipo de sistemas a través de la manipulación de los usuarios legítimos de los mismos, al considerar que el factor determinante de la protección de las redes de información viene a ser la capacidad que tienen los usuarios de interpretar de manera correcta las políticas de seguridad y hacerlas cumplir. La ingeniería social funciona porque todos somos propensos al fallo.
Mitnick, reconvertido en Chief Hacking Officer de Knowbe4 (compañía de formación y concienciación en seguridad informática), ha participado en el mayor evento del sector, a nivel mundial, celebrado el pasado 30 de noviembre con el Día Mundial de la Ciberseguridad, organizado por una empresa española: Aiwin.
Firewall Infinite ha conseguido fusionar ficción y realidad para que los participantes hayan aprendido a proteger su privacidad. En palabras de Sergio Jiménez, fundador y CEO de Aiwin: “Estamos ante una nueva realidad a la que pertenece una generación de organizaciones comprometidas con la seguridad de la información. El objetivo de Infinite era democratizar la ciberseguridad en empresas y hogares, a través de una propuesta de ocio digital con un equipo de eminencias de la materia”, señala.
Formación y buenas praxis de ciberseguridad para los empleados
Todos los expertos consultados coinciden en señalar que la capacitación de los usuarios en tecnologías de la información es fundamental para un buen uso de las mismas y la comprensión adecuada de los riesgos que supone su utilización. “Lo que tampoco puede pasar es que los fabricantes de esta tecnología se escuden en la mala formación de los usuarios para no mejorar la seguridad de sus sistemas y explicar claramente cuál es el nivel de prevención que ofrecen”, cuenta el CEO de LEET Security.
Es curioso que uno de los mayores problemas a los que, en la actualidad, se están enfrentando las compañías proviene de la utilización de material de trabajo (ordenadores, tablets, etc) por parte de hijos de empleados. Aiwin defiende que las empresas deben proporcionar herramientas adecuadas para teletrabajar que tengan instaladas los programas de seguridad necesarios, así como garantizar conexiones accesibles entre redes corporativas y esos equipos en todo momento, además de endurecer sus sistemas de protección y concienciar a sus plantillas para detectar posibles amenazas. “Deben tener claro que los dispositivos de trabajo no son para uso personal y asegurar que nadie más los utilice en casa, labor que en ocasiones podría ser complicado si no existe la flexibilidad laboral suficiente que permita una conciliación propicia”, reivindica el CEO de Aiwin.
Algunos comportamientos básicos y fáciles de implementar en el día a día, pueden ayudar a prevenir los errores humanos más comunes que pueden derivar en un ciberataque, por ejemplo:
- Utilizar solo dispositivos (USB o memorias externas) de la empresa.
- No descargar archivos de procedencia desconocida a través de las redes sociales ni compartir información de la compañía o de clientes a través de estos canales.
- Cerrar las sesiones de los equipos al terminar la jornada en todos los programas utilizados.
- Gestionar de manera correcta contraseñas y permisos.
Que las empresas velen para que sus empleados interioricen y cumplan pautas de seguridad básicas, además de realizar copias de seguridad con regularidad tanto en la nube como en dispositivos físicos o cifrar archivos importantes que contengan datos sensibles, debería ser prioritario en las estrategias de formación interna.
En este sentido, Carlos Otto pone el foco en una problemática común, las directivas que invitan a sus equipos a teletrabajar con sus propios dispositivos personales, es decir, que no han sido proporcionados por la compañía. “Profundizando en el tema, cloud no es una solución idónea. Confiar tus datos privados, documentación del trabajo y demás a la nube es un error, todos los expertos con los que he hablado usan copias de seguridad en formato físico, en un disco duro externo, por duplicado (a veces hasta por triplicado)”, afirma Otto, quien además comparte que ya hay empresas realizando copias automáticas de lo que tienen en la nube. Es decir, “lo duplican en ‘otra nube’, se lo llevan todo a otro servidor. De este modo, si alguien te roba información, al menos tendrás una copia de seguridad”, añade.
Para LEET Security, “hay entornos empresariales más seguros que algunas nubes y nubes más seguras que algunos entornos empresariales”, por ello Antonio Ramos insiste en la necesidad de ‘medir’ el nivel de seguridad de los servicios de manera objetiva. Tras aplicar su metodología de calificación de ciberseguridad a más de 100 servicios, LEET Security manifiesta con rotundidad que existen entornos cloud muy seguros, además de que los ambientes empresariales cuentan con diferentes niveles de prevención en función del tipo de negocio, tamaño y grado de digitalización de las propias compañías.
La vacuna contra el coronavirus, blanco de ciberespionaje
Hay dos carreras de fondo desarrollándose de forma simultánea, en el marco de la pandemia mundial. La primera, una competición por conseguir hallar (los primeros) la vacuna contra la COVID-19 y la segunda, una oleada de ciberataques con la industria farmacéutica, centros de investigación y sector sanitario en general, como principales objetivos en su intento por robar la propiedad intelectual e industrial de los procesos en marcha.
“No sólo podría poner en peligro la propiedad intelectual de las farmacéuticas, sino que podría bloquear la investigación y desarrollo de fármacos con consecuencias fatales”, advierten los responsables de CounterCraft, dedicados a crear entornos ficticios para el atacante, en los que el delincuente caiga, permitiendo a la organización estudiarlo, manipularlo y analizar sus intenciones para hacerle desistir.
