Los ciberdelitos seguirán perfeccionándose cada día, hasta el infinito. Con esta frase realista, que abre reportaje, cerraba David Cuenca, director de Sistemas de Seguridad de MITS Informática, el webinar “¿Cómo reducir el riesgo de sufrir un ciberataque?” convocado ayer por BBVA y El Periódico de Cataluña.
Junto a él, Laura del Pino, responsable de BBVA Data Security, Ruth Robles de BBVA Brokers, y Oriol Gineste, CEO de Giave quisieron dar pautas para prevenir en materia de ciberseguridad, que siempre es mejor que curar. Sin embargo, la realidad y los ejemplos que expusieron, incluso como ‘empresas-víctimas’ de estos ataques, dejaron claro que la demanda de coberturas para evitar males mayores es algo que irá a más, conforme el ecosistema digital amplía dimensiones.
“El reto es mayúsculo, pues se va ampliando el riesgo de ser sometidos a engaño para el robo de datos o bien la usurpación de identidades. Un problema que atañe tanto a particulares como a empresas”, planteó el periodista Carles Planas en la presentación. El origen de este quebradero: la evolución inversa del mayor uso de lo tecnológico y de una menor inversión en seguridad.
“Por no decir en ninguna protección, sobre todo en el caso del particular, para quien pagar por un antivirus significa a veces tirar el dinero. Sin embargo, el panorama es negro. Las cifras dadas por Europol así lo confirman; crece el cibercrimen alentado por la necesaria adaptación a lo digital de forma rápida e imprevista, cada vez consumimos más información y no siempre de origen legítimo, y todo ellos nos lleva a cometer errores o a obviar precauciones que se traducen en pérdida de dinero y reputación, y eso cuando no se añaden multas”, expuso Laura del Pino.
Para la especialista en seguridad de datos, lo importante es no olvidar nunca que las personas constituimos la primera línea de defensa ante un ciberataque. De ahí que sea esencial fomentar la concienciación al respecto y fomentar la formación específica. Como prueba de la importancia de ser alumno aventajado en el tema, puso tres ejemplos de phishing recientes – ”la ingeniería social que busca generar inquietud” -: un correo que suplanta a la AEAT por un problema de pagos, otro a Iberdrola que plantea una deuda de factura, y un tercer e-mail que simula proceder de BBVA, donde trabaja la experta, que avisa de un error en la cuenta por lo que requiere una nueva activación; y en todos ellos hay rasgos comunes.
“En los tres casos los delincuentes elijen identidades confiables para que el usuario no pinche encima del enlace y compruebe la web a la que se nos manda, algo que debe hacer siempre; e igualmente, comparten un tono de alarma y urgencia y una propuesta de plazos de maniobra muy cortos, que es otro clásico. Como norma, conviene siempre llamar al organismo o empresa desde el que se suponen que envían el correo electrónico, pues no es normal que se pidan datos personales de esta manera”, recomienda.
Hay dos tipos de empresas: las ya ciberatacadas y las que lo van a ser. Lo normal es sufrir estos ataques, otra cosa es que nos enteremos o quefinalicen con éxito
Lo importante esno olvidar nunca que las personas constituimos la primera línea de defensa anteun ciberataque. De ahí que sea esencial fomentar la concienciación al respectoy fomentar la formación específica
Como reconoce Oriol Gineste, de una empresa de maquinaria relacionada con las artes gráficas y material de embalaje, “lo habitual es dar por inercia a 'responder' y nunca abrimos un nuevo correo y copiamos de nuevo la dirección del remitente”. Esta mala pero generalizadísima costumbre hizo que en Giave convivieran durante cuatro meses largos con un hacker que hacía “de puente entre nosotros y el cliente y manipulaba las facturas”. Por suerte fueron la excepción - suele pasar una de cada cien veces - y cuando lo detectaron estaban aún a tiempo de localizar a la mula (el intermediario que va diseminando mediante trasferencias el dinero que va consiguiendo) y recuperar casi la totalidad de lo perdido. Un final feliz que no suele darse.
Y tan difícil es recuperar lo perdido como que no te ataquen. “Lo normal, es ser atacado. Otra cosa es que nos enteremos o bien, que la operación acabe con éxito. Pero como dice una frase que proviene del FBI: las empresas se dividen en dos, las que han sido ciberatacadas y las que lo van a ser”, comenta Ruth Robles. Para ella, igual que hay seguros de incendios, de aguas, etc, tendrá que haber una demanda general de pólizas de ciberseguridad. “Ya se dice que las ciberpólizas son el seguro de daños del siglo XXI, porque acabará siendo necesario, no una opción”.
Las coberturas que suelen incluir estas nuevas ofertas de ciberseguros son: una respuesta 24/7, informática forense, recuperación de datos, asesoramiento legal, gastos de restitución de imagen, notificaciones a los afectados, obligaciones en materia de protección de datos sea cual sea su ámbito, gastos de defensa jurídica, y compensación de la pérdida de beneficios si el ciberataque supone la interrupción de la actividad, tal y como enumera Robles.
Los ponentes también subrayaron la importancia de actualizar las versiones de los sistemas operativos y cuanto antes; nada de pereza y dar al ‘más tarde’, pues a veces el hackeo es posible por esto, ya que el 80% del éxito de un ataque dependerá de ello. La seguridad la proporciona el programador que parchea y actualiza, pero tenemos que colaborar. “Y que nadie se considere blindado por tener Apple, aunque es cierto que, hasta ahora, los ciberdelincuentes acceden más a Windows y Android”.
Otra recomendación, de cabecera, es dedicar el tiempo que se merecen las contraseñas. Otro tema que solemos despachar deprisa y mal. “Deben ser fuertes, bien pensadas y absolutamente intransferibles; evitar mezclar las de trabajo con las personales y bajo ningún concepto unificarlas”, insistió Pino. A su vez, recomendó el uso de un gestor de contraseñas para que no sea engorroso manejar muchas si la memoria nos falla, como por ejemplo los que ofrece la Oficina de Seguridad del Internauta, OSI; así como procurar activar siempre el doble factor de identificación.
Como añadido, nunca olvidar que los principales ciberdelitos se realizan a través del e-mail y de webs (tanto http como https, sin discriminar). De momento, para ir saliendo del paso, propusieron la biometría como “lo más seguro”.
Es obvio que el confinamiento y el despliegue que ha supuesto del trabajo en remoto ha animado mucho a los ciberdelincuentes. A muchos usuarios les ha pillado desprevenidos y de la noche a la mañana han tenido que desempolvar sus ordenadores personales, la mayoría desatendidos y obsoletos. “Y luego, muchas pymes no pueden permitirse la inversión en seguridad que más les convendría”, opina David Cuenca. “En realidad los sistemas son muy seguros, pero los atacantes lo que buscan es el factor humano, nuestras debilidades, no las tecnológicas”, concluye.