Ciberseguridad en la ‘era covid’
Recibir un correo electrónico, abrirlo y acceder al enlace o descargar el documento adjunto. Tres pasos tan habituales y sencillos que se han convertido en rutinas ante las cuales no nos paramos a pensar. Sin embargo, esos tres pasos pueden convertirse en una práctica de alto riesgo que exponga nuestras cuentas y ponga negocios en jaque.
EL PERIÓDICO y BBVA reunieron esta semana, a través de videoconferencia, a expertos en ciberseguridad, en seguros contra los robos digitales y a empresas afectadas para analizar este creciente fenómeno, las amenazas que presenta y para dar consejos sobre cómo esquivarlo. Laura del Pino, responsable de Data Security en BBVA; David Cuenca, director de sistemas de seguridad de MITS Informàtica; Ruht Robles, responsable en BBVA Broker; y Oriol Ginestí, CEO de Giave, empresa víctima de un ataque, participaron en el webinar ¿Cómo reducir el riesgo de sufrir un ciberataque?
La ciberseguridad es, desde hace años, un reto mayúsculo, pero con la pandemia del covid19 y el confinamiento en casa ha cobrado aún más vigencia. Y es normal, porque durante los últimos meses, encerrados en nuestros hogares, se ha acentuado nuestra vida digital. No solo con el teletrabajo, todas nuestras relaciones personales han pasado de las calles a los mails, a los mensajes de WhatsApp y a las videollamadas grupales.
Más allá de las mascarillas y el distanciamiento social, la nueva normalidad también ha acentuado los riesgos de sufrir un ataque. Esta situación se ha convertido en una oportunidad para ciberdelincuentes que saben utilizar herramientas de la red para engañar a los usuarios y para alimentarse robando sus datos o su identidad. Según un estudio de IBM Security, la capacidad de las empresas de contener los ataques ha disminuido un 13% en los últimos cinco años.
La pandemia ha obligado a muchas empresas a adaptarse a sistemas como el teletrabajo que hasta ahora no se habían planteado, y lo han hecho tan rápidamente que por el camino han dejado brechas de seguridad al descubierto. «Las medidas de seguridad deberían aumentar en la mayoría de pequeñas y medianas empresas», señala David Cuenca, aunque matiza que con la crisis «no todos pueden permitirse» esa inversión.
Los ataques informáticos para usurpar datos personales, información empresarial y financiera se han disparado en los últimos meses. Con ello buscan robar dinero o información que sirva pa
ra chantajear a la compañía o para venderla a terceros en el mercado negro. «Hay un negocio muy lucrativo alrededor de estos robos», explica Laura del Pino.
Además, las estafas digitales se nutren de explotar el temor de los usuarios. Así, los ciberdelincuentes recurren a mensajes de urgencia, en los que se fingen problemas que puedan afectar emocionalmente al receptor, como una falsa alerta de la Agencia Tributaria sobre la suspensión de su negocio. En la actual situación sanitaria y económica, ese método cobra aún más fuerza. Este miércoles, un informe de CCOO y la UAB señaló que en las últimas semanas se ha disparado el estrés laboral, el miedo a un futuro incierto y que el consumo de tranquilizantes y otros fármacos para aplacar problemas psicosociales se ha multiplicado por 2,5.
Los ciberdelincuentes recurren a malware –programas maliciosos que se instalan en los dispositivos y operan como parásitos– para explotar las vulnerabilidades de los sistemas, pero el método al que más recurren es lo que se conoce como ingeniería social.
Delincuencia sofisticada
Eso es lo que hace el phishing, la cada vez más sofisticada técnica con la que engañan a sus víctimas haciéndose pasar por una empresa o servicio de confianza. Así, puedes recibir un e-mail aparentemente normal de tu banco, compañía de electricidad o de instituciones del Gobierno que sea una trampa que permita al delincuente acceder a tu organismo informático. Según el Centro Criptológico Nacional, el phishing ha crecido más de un 70% desde que comenzó la crisis del covid-19.
Otra trampa habitual es la suplantación de identidad. El año 2016, Giave, una empresa familiar de maquinaria de Les Franqueses del Vallès dedicada a la impresión y conversión de material de embalaje, fue víctima de este método. Los delincuentes se colaron en una conversación por mail entre la compañía y una multinacional alemana que era su cliente. Siguieron la charla
Estafas como el `phishing', que se nutren del temor de los usuarios, se han disparado un 70%
Un director del FBI
aseguró: «Hay dos tipos de empresas: las que han sido atacadas y las que lo serán»
durante cuatro meses y al cerrar un contrato con pago previo de 200.000 euros, los estafadores modificaron el número de cuenta de Giave para que el socio terminase haciéndoles, sin saberlo, el pago a ellos. «Primero fue todo normal, no notamos nada, pero después empezamos a sospechar cuando vimos que no habíamos recibido la transferencia», explica Ginestí, director ejecutivo de la compañía. Tras detectar el fraude, cesaron las conversaciones y los expertos contactados descubrieron el rastro del dinero. En Giave fueron más afortunados de lo habitual y pudieron recuperar casi el 90%, algo que no es habitual.
Acto seguido reforzaron su seguridad concienciando a los trabajadores y contrataron un seguro para protegerse de los ciberataques. «La incidencia de los daños por ciberataques es muy superior a los causados por incendios
y otros aspectos que cubren
los seguros habituales», explica Ruht Robles. El ciberseguro al que acudió Giave cubre los servicios de primera respuesta siempre disponible, de informática forense, de recuperación de datos, de asesoramiento legal, gastos de restitución de la imagen de la empresa y de defensa jurídica, notificación a los afectados, la responsabilidad civil ante terceros y la pérdida de beneficios ocasionada por el ataque.
Como alertó el exdirector del FBI Robert S. Mueller, hay dos tipos de empresas: «Las que han sido hackeadas y las que serán hackeadas». Ante la quimera que supone erradicar estos ataques informáticos, los expertos citados coinciden en que la mejor manera de neutralizarlos es con una mayor formación profesional. «Nadie está seguro, incluso los sistemas más seguros», remarca Cuenca. «Los delincuentes ya no buscan entrar en equipos informáticos, sino atacar el factor humano», eso es, explotar los errores de los usuarios. «Hoy en día, la suplantación de identidad es sencillísima de realizar».
La suma entre un uso masivo de la tecnología, una baja inversión en seguridad y la falta de concienciación puede suponer a
la larga un desastre empresarial. Para mitigar ese impacto hacen un llamamiento a que los empleados sospechen siempre de cualquier correo electrónico o enlace que reciban y que comprueben toda información. «Las personas somos la primera línea
de defensa», remarca Del Pino. A pesar de que las respuestas a esa problemática son cada vez más completas, el cibercrimen se adapta al entorno para seguir encontrando brechas de seguridad por donde penetrar. Lejos de hallar una solución definitiva, empresas y particulares se enfrentan a un futuro marcado por el mayúsculo reto de la ciberseguridad. Un reto del que depende mucho más que el bolsillo. Ya lo expuso con lucidez la filósofa política germano-estadounidense Hannah Arendt hace medio siglo: «El totalitarismo se produce cuando se pierde el espacio privado».H