“Necesito que te ocupes de algo por mí. Escríbeme si estás disponible. Atentamente, Ana Benavides”. Este es el mensaje que varios miembros de nuestra fundación recibieron hace apenas unos días en su correo electrónico. Obviamente, no era yo quien lo había escrito, se trataba de una suplantación de identidad, y su objetivo era que nuestros empleados cayeran en la trampa y se comunicaran con el remitente. De haberlo hecho, nuestra ciberseguridad hubiera estado en peligro. Este intento de ciberataque es del tipo “fraude del CEO”, en el que el estafador utiliza el correo profesional para hacerse pasar por “el jefe”, y puede solicitar el pago de una factura falsa o pedir determinados datos bancarios.
Por suerte, nos dimos cuenta a tiempo para avisar a todo el personal y que nadie picara el anzuelo. Pero nos ha confirmado personalmente algo que ya veníamos identificando: que también las organizaciones no lucrativas son objetivo de los ciberdelincuentes, y que los ataques no solo se dirigen a grandes compañías o instituciones de las que puedan obtener más dinero, o causar un perjuicio mayor. Estas están mejor preparadas y protegidas con sistemas de seguridad más sofisticados, lo que no evita en ocasiones que sean hackeadas pero sí se lo pone más difícil a “los malos”. Por eso, muchas veces les resulta más rentable atacar a entidades más vulnerables, con las que tienen más facilidad de conseguir su objetivo.
Recientemente, a una de nuestras ONG acreditadas con el Sello Dona con Confianza, una entidad pequeña que prefiere mantenerse en el anonimato, le secuestraron el servidor donde tenían guardada toda la información, tanto la copia almacenada en el dispositivo físico como la de la nube, y le pidieron un rescate en bitcoins por valor de unos 800 euros para recuperarla. No aceptaron el chantaje y trataron de recuperar todo lo que pudieron a través del correo electrónico, el almacenamiento en la nube del sistema operativo, las sedes electrónicas y documentación que tenían en papel. Un mes les llevó conseguir ponerse más o menos al día, pero les ha servido para aprender y estar mejor preparados para minimizar los daños en el caso de que les vuelva a ocurrir.
A través de los medios de comunicación se han difundido ciberataques sufridos por grandes organizaciones internacionales de cooperación al desarrollo. Un ejemplo es el de la estadounidense Water for People. El pasado mes de enero, la banda de ransomware Medusa la añadió a su página de filtraciones de la dark web y le pidió 300.000 dólares a cambio de no hacer públicos sus datos. Por lo visto, las ONG son objetivo habitual de este grupo de estafadores.
El caso es que, según el informe Nonprofit Tech for Good 2023, el 27% de las ONG a nivel mundial han sufrido un ciberataque. Esto está relacionado con el proceso de digitalización del Tercer Sector, que ha avanzado mucho en los últimos años en la incorporación de tecnología para agilizar sus procesos y optimizar su gestión. Pero claro, el precio a pagar es que sus datos sensibles de donantes y beneficiarios pueden quedar expuestos a los ciberdelincuentes si no disponen de adecuados sistemas de protección.
Las ONG están obligadas a velar por la seguridad de la información que manejan para cumplir la Ley de Protección de Datos Personales, pero más que un requerimiento legal es un deber hacia todas las personas que confían en ellas garantizarles que sus datos estarán seguros. Por ello, realizar una gestión adecuada de la privacidad de los datos es fundamental para la imagen de la organización, y es también uno de los aspectos que tenemos en cuenta dentro de los 9 Principios de Transparencia y Buenas Prácticas a la hora de determinar si una ONG es merecedora de la confianza de los donantes.
Desde el área de Infraestructura y Seguridad de Unicef España, una de nuestras ONG Acreditadas, nos comparten los pasos básicos que ellos dan –y que son extensivos a cualquier organización– para determinar sus necesidades de ciberseguridad, tomando como referencia el marco de seguridad del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos. Se basan en cinco pilares:
- Identificar. Tener claro cuáles son nuestros activos, sistemas, servicios, personas, datos, etc., para poder gestionar adecuadamente nuestros riesgos.
- Proteger. Implementar las medidas necesarias para asegurar la protección de las áreas vulnerables.
- Detectar. Contar con las herramientas que nos permitan localizar lo más rápidamente posible los incidentes de seguridad.
- Responder. Desarrollar las capacidades suficientes para gestionar correctamente un incidente de seguridad, y así contener y mitigar su impacto. Es importante analizar e informar convenientemente del mismo.
- Recuperar. Integrar los procesos apropiados para restaurar lo antes posible los servicios, activos y operaciones afectados por el ciberataque. Se recomienda mantener una comunicación adecuada durante todo el proceso de recuperación.
Por último, es fundamental capacitar a los empleados del Tercer Sector en las prácticas básicas de seguridad, de manera que sepan identificar el phishing, navegar de forma segura y cuidar la confidencialidad de la información. Aquí, la clave es tener presente la regla del ‘zero trust’: la mejor manera de prevenir un ciberataque es ser conscientes de que nos puede ocurrir, y sospechar de todo aquello que nos suene extraño. Incluso si viene de personas o entidades de confianza.