No pasa semana o día sin que se publique en algún medio de comunicación que tal empresa o entidad ha sufrido un ataque informático que ha dejado al descubierto los datos de sus clientes, o sus trabajadores. La última conocida ha sido la puesta en riesgo de los datos de trabajadores de Naciones Unidas, hace menos de una semana, a través de un ataque a su página web y otros recursos online.
Para hablarnos sobre esta y otro tipo de amenazas, contamos con José Manuel Sanz, especialista en ciberseguridad y protección de datos, y colaborador en las secciones de Nuevas Tecnologías en SOM GANDIA y SOM SAFOR.
Para empezar nos gustaría preguntarte, ¿es realmente tan sencillo acceder a la información de cualquier organización como las Naciones Unidas?
En absoluto lo es, sin duda este incidente ha sido fruto de una larga y cuidadosa planificación. Lo realmente sorprendente, en este caso al menos, es que no sea la primera vez que sufren un ataque de este tipo y que no se hayan puesto medidas para minimizar los riesgos. En el año 2019 ya se produjo un acceso a sus bases de datos y otras vulnerabilidades fueron detectadas en el 2020.
Los ciberataques son un problema para las grandes empresas pero, ¿los son también para las pymes?
Desde luego, el tamaño de la organización no hace que sea más o menos atractiva para un atacante. Al contrario, las entidades más pequeñas, que generalmente no cuentan con una política adecuada de seguridad informática, son victimas a diario de intentos de violación de su seguridad por infinidad de medios: correos electrónicos maliciosos, llamadas simulando se un servicio técnico e incluso el propio personal puede ser el causante de una fuga de información, bien por mala práctica o por decisión propia. No hace falta un gran ataque para poner en jaque a una pyme cualquiera.
¿Cuales son entonces, las amenazas más comunes con las que se encuentran las empresas?
Como decía antes, no es necesaria una gran estructura para poner en riesgo a una empresa. Tomemos por ejemplo a cualquier empresa de las que podemos encontrar aquí en La Safor. El eslabón más débil de cualquier empresa es el empleado y por ahí es donde empieza cualquier tipo de amenaza.
Supongamos por ejemplo que quiero hacerme con el control de una web. Podría empezar buscando en directorios online, que empresas de la comarca tienen web. Una vez localizadas esas empresas, buscar los correos electrónicos de contacto de esas empresas y una vez listados, podría enviar un email masivo argumentando que soy el responsable de mantener la web o el servidor donde está alojada y que necesito que se actualicen las contraseñas de acceso. De esos centenares de correos que enviaría, un número muy alto caería como spam en la papelera del gestor de correo, pero un número significativo entraría en el buzón y se abriría. Y finalmente, de esos correos abierto, alguno de ellos tendría respuesta. De forma bienintencionada, un empleado de la empresa me habría dado el acceso a la base de datos de su web y probablemente a más información.
¿Tal como lo planteas, no es en exceso simple el obtener información de las empresas?
Realmente es tan simple como parece, un correo bien escrito o una llamada de teléfono a la persona adecuada simulando ser quien no se es y se pone en marcha una pequeña avalancha que puede tener resultados fatales para la empresa. Es el mas simple de los ataques a las empresas, usando técnicas de ingeniería social, que consigue que mediante la manipulación del entorno o de los trabajadores, se tenga acceso a información confidencial de la empresa.
Haces mucho hincapié en las personas.
Así es. Es que realmente son la primera y la última linea de defensa de cualquier empresa en temas de seguridad, por eso siempre insisto en la importancia de formar al personal para poder estar atentos y prevenir ese tipo de incidencias. No se trata de que sean expertos en ciberseguridad, sino que tengan la formación suficiente para que ante cualquier amenaza de este tipo, algo les “chirrie” e intuyan que algo no va bien.
Entonces, ¿en que deberían fijarse las empresas para poder prevenir este tipo de ataques?
Sin entrar en detalles, pues se podrían escribir varios libros al respecto, hay varias cosas que tener en cuenta a la hora de prevenir incidencias de este tipo. Por un lado, una adecuada política de seguridad que nos asegure que por ejemplo, los usuarios no pueden instalar dispositivos USB en sus ordenadores ni enviar correos con adjuntos a determinados dominios. Por otro lado, desconfiar de cualquier correo que nos llegue con faltas de ortografía y sintaxis, en el que se nos pidan credenciales de cualquier tipo para acceder a diversos servicios online: banca electrónica, cuentas de correo, etc. Otros casos más sofisticados, pueden incluir correos con la apariencia de empresas conocidas (empresas de mensajería, bancos, soporte informática) por la entidad, pero que en realidad, si nos fijamos bien el contenido y sobre todo en la dirección de los enlaces a los que nos llevan, vemos que no corresponden a la empresa en cuestión. Son muchos detalles los que hacen saltar las alarmas de un ataque de este tipo.
También los directivos y gerentes, son objetivos directos de este tipo de ataques. Bajo la excusa de una operación bancaria importante o que supuestamente requiera sigilo, muchas empresas han visto como se realizaban transferencias dinerarias de sumas muy importantes a destinatarios desconocidos. Podemos recordar que hace poco más de un año, la Empresa Metropolitana de Transportes de Valencia, sufrió unas perdidas millonarias en un ataque de este tipo.
Entonces, todo pasa por estar alerta.
Indudablemente. Pero también por contar con adecuados recursos técnicos. Esta claro que no todas las empresas pueden contar con un equipo de seguridad que esté 24 horas al día pendiente de su situación y por supuesto no todo el mundo ha de ser experto en seguridad informática, pero también es cierto que un despliegue de servicios y aplicaciones de seguridad es totalmente inútil, si detrás no hay personas que velen por su permanente motorización y actualización.
¿Como pueden las empresas estar informados de este tipo de amenazas?
Básicamente hay dos fuentes de información que están al acceso de cualquier usuario y que sirven para monitorizar los ataques más frecuentes y las incidencias que se estén produciendo en este sentido.
Una es la web del Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia, donde tendrán información exhaustiva de las amenazas existentes y como se lucha contra ellas. Otra fuente seria la web del Instituto Nacional de Ciberseguridad (INCIBE), donde además de información sobre las amenazas más recientes, existen multitud de guía e información para prevenirlas. También pueden contar con los profesionales de la seguridad, que mantenemos contante actualización en estos asuntos y la hacemos llegar a nuestros clientes cada vez que se produce una amenaza. Aunque en la mayoría de casos, nuestra labor es más la de minimizar el impacto, pues muchas veces se nos alerta una vez producida la incidencia.
Es una labor de concienciación, pero creo que cada vez más, las empresas son conscientes de la importancia de una buena seguridad informática.