Este capítulo se enmarca dentro de un gran reportaje de portada de la edición 91 de la edición en papel de Vida Económica. Versa sobre la ciberseguridad a nivel general, pero especialmente ponemos el foco en las empresas.
Los sectores que más ataques reciben son los seguros, las telecomunicaciones, la industria, la banca y la administración pública. Según el informe de Deloitte, estas actividades son las que superan los dos ciberataques de media al año. Sin embargo, el estudio también destaca que la razón por la que sectores como la banca y los seguros sufren incidentes “se debe a que son un objetivo prioritario para los cibercriminales, más que a una falta de ciberresiliencia por su parte”.
De hecho, este tipo de actividades suelen contar con un nivel de ciberseguridad elevado. Aquí se puede poner el ejemplo de BBVA. Fuentes dedicadas a la ciberseguridad del banco destacan que en BBVA “la ciberseguridad no es solo una prioridad estratégica, sino uno de los principales elementos en la transformación digital de la entidad”.
Las principales medidas que el banco ha adoptado en materia de seguridad en la red pasan por protección end-to-end de los procesos de negocio y de la información; principios de seguridad y privacidad “desde el diseño de todo lo que hacemos, considerando procesos, personas y tecnologías”, y formación y concienciación en ciberseguridad y privacidad, tanto para colaboradores como para sus clientes.
En este punto, Ramírez aconseja que todas las empresas evalúen qué consecuencias sufrirían si recibieran un ciberataque. “Y después decidir la inversión que van a hacer para mitigar parte del riesgo”, señala. Esta, al igual que el número de ciberataques y el radar de actuación de los ciberdelincuentes, ha aumentado. “Según las últimas estadísticas, las compañías, casi en general, han doblado su inversión en ciberseguridad en el último año”, destaca el experto de Babel.
“¿De qué sirve poner la mejor puerta acorazada en tu casa si después dejas la llave debajo del felpudo?”
Es la metáfora que utiliza Ruiz-Padilla para explicar que no todo es invertir en los mejores sistemas informáticos de seguridad. La formación y concienciación de los empleados es clave para que la empresa esté ciberprotegida. De hecho, la mayoría de los ciberataques se inician a través de los propios trabajadores de las compañías.
“Cuando nosotros analizamos un ataque a gran escala a una gran entidad, en la gran mayoría de los casos la primera puerta de entrada ha sido aprovechar un fallo humano”, cuenta Ramírez. “Alguien que ha clicado sobre un sitio donde no tenía que clicar, que ha instalado una aplicación que no tenía que instalar. Eso ya le da paso a los atacantes”.
Juan Rodrigo, experto en ciberseguridad que colabora con el despacho Martínez-Echevarría ofreciendo asesoría técnica y tecnológica, afirma que el 60% de los ataques vienen a través de los grupos de interés de la empresa. Este porcentaje se puede reducir invirtiendo en concienciación sobre seguridad en la red, “la medida más barata y que más efectividad tiene”, asegura Rodrigo. De hecho, indica que las grandes compañías suelen implantar un mecanismo de concienciación mensual, a veces incluso semanal, para sus empleados regulares.
Tanto Babel como Hispasec ofrecen formación y concienciación como una de las patas de sus servicios de ciberseguridad, al igual que Juan Rodrigo en Martínez-Echevarría. “Nosotros entendemos que, dentro de los planes de seguridad que hacemos, también tenemos que segurizar las personas”, indica el CEO de Hispasec. Lo que esta empresa en concreto lleva a cabo es la simulación de un ciberataque que suplante la identidad de la compañía, para observar cuántos empleados caen en la trampa. Esta práctica la realizan antes de dar la formación, después o incluso durante.
Del malware al ‘fraude del CEO’
La mitad de los ciberataques se pueden agrupar en tres tipos diferentes:
El malware. Son los virus informáticos.
El phishing, que se basa en el envío por correo electrónico de un enlace falso. Una vez que clica, la víctima se dirige a una web que instala un virus, a través del que los ciberatacantes entran en el equipo. Otra forma de phishing consiste en descargar sin darse cuenta un ransomware.
El ransomware. Consiste en encriptar la información del ordenador de la víctima. Los ciberdelincuentes secuestran datos de interés y piden un rescate económico por ellos, amenazando con publicarlos si la víctima no paga.
Ruiz-Padilla añade uno más a la lista: el ‘fraude del CEO’. Los atacantes suplantan la identidad del CEO para enviar un correo al departamento financiero solicitando una transferencia bancaria. Otros ejemplos de ciberataques menos comunes son el Data Breachest (violación de datos), el Identity Theft (robo de identidad) o el Denial of Service (ataque de denegación de servicio).