Ciberseguretat en l’‘era Covid’
La pandèmia del coronavirus ha impulsat la vida digital i ha disparat les probabilitats de patir un atac cibernètic. La formació dels treballadors i la inversió de les empreses en millors sistemes de seguretat s'ha convertit en una necessitat per abordar
Rebre un correu electrònic, obrir-lo i accedir a l'enllaç o descarregar el document adjunt. Tres passos tan habituals i senzills que s'han convertit en rutines davant les quals no ens aturem a pensar. No obstant, aquests tres passos poden convertir-se en una pràctica d'alt risc que exposi els nostres comptes i posi negocis en perill.
EL PERIÓDICO i el BBVA van reunir aquesta setmana, a través de videoconferència, experts en ciberseguretat i en assegurances contra els robatoris digitals, i empreses afectades per analitzar aquest creixent fenomen i les amenaces que presenta, i per donar consells sobre com evitarlo. Laura del Pino, responsable de Data Security al BBVA; David Cuenca, director de sistemes de seguretat de MITS Informàtica; Ruht Robles, responsable a
BBVA Broker; i Oriol Ginestí, CEO de Giave, empresa víctima d'un atac, van participar en el webinar¿Com reduir el risc de patir un atac cibernètic?
La ciberseguretat és, des de fa anys, un repte majúscul, però amb la pandèmia de la Covid-19 i el confinament a casa ha agafat encara més vigència. I és normal, perquè durant els últims mesos, tancats a casa, s'ha accentuat la nostra vida digital. No només amb el teletreball, totes les nostres relacions personals han passat dels carrers als mails, als missatges de WhatsApp i a les videotrucades grupals.
Més enllà de les mascaretes i el distanciament social, la nova normalitat també ha accentuat els riscos de patir un atac. Aquesta situació s'ha convertit en una oportunitat per a ciberdelinqüents que saben utilitzar eines de la xarxa per enganyar els usuaris i per alimentar-se robant-los les dades o la identitat. Segons un estudi d'IBM Security, la capacitat de les empreses de contenir els atacs ha disminuït un 13% en els últims cinc anys.
La pandèmia ha obligat moltes empreses a adaptar-se a sistemes, com el teletreball, que fins ara no s'havien plantejat, i ho han fet tan ràpidament que pel camí han deixat bretxes de seguretat al descobert. «Les mesures de seguretat haurien d'augmentar en la majoria de petites i mitjanes empreses», assenyala David Cuenca, tot i que matisa que amb la crisi «no tots es poden permetre» aquesta inversió.
Els atacs informàtics per usurpar dades personals i informació empresarial i financera s'han disparat en els últims mesos. Amb això busquen robar diners o informació que serveixi per fer xantatge a la companyia o per vendre-la a tercers al mer
Estafes com el
`phishing', que es nodreixen de la por dels usuaris, s'han disparat un 70%
cat negre. «Hi ha un negoci molt lucratiu al voltant d'aquests robatoris», explica Laura del Pino. A més, les estafes digitals es nodreixen d'explotar la por dels usuaris. Així, els ciberdelinqüents recorren a missatges d'urgència, en els quals es fingeixen problemes que puguin afectar emocionalment el receptor, com una falsa alerta de l'Agència Tributària sobre la suspensió del seu negoci. En l'actual situació sanitària i econòmica, aquest mètode encara cobra més força. Aquest dimecres, un informe de CCOO i la UAB va assenyalar que en les últimes setmanes s'ha disparat l'estrès laboral, la por d'un futur incert i que el consum de tranquil·litzants i altres fàrmacs per apaivagar problemes psicosocials s'ha multiplicat per 2,5.
Els ciberdelinqüents recorren a malware –programes maliciosos que s'instal·len als dispositius i operen com a paràsits– per explotar les vulnerabilitats dels sistemes, però el mètode a què més recorren és el que es coneix com a enginyeria social.
Delinqüència sofisticada
Això és el que fa el phishing, la cada vegada més sofisticada tècnica amb què enganyen les seves víctimes fent-se passar per una empresa o servei de confiança. Així, pots rebre un e-mail aparentment normal del teu banc, companyia d'electricitat o institucions del Govern que sigui una trampa que permeti al delinqüent accedir al teu organisme informàtic. Segons el Centre Criptològic Nacional, el phishing ha crescut més d'un 70% des que va començar la crisi de la Covid-19.
Una altra trampa habitual és la suplantació d'identitat. L'any 2016, Giave, una empresa familiar de maquinària de les Franqueses del Vallès dedicada a la impressió i conversió de material d'embalatge, va ser víctima d'aquest mètode. Els delinqüents es van colar en una conversa per mail entre la companyia i una multinacional alemanya que era client. Van seguir la xerrada durant quatre mesos i, al tancar un contracte
amb pagament previ de 200.000 euros, els estafadors van modificar el número de compte de Giave perquè el soci acabés fent-los, sense saber-ho, el pagament a ells. «Primer va ser tot normal, no vam notar res, però després vam començar a sospitar quan vam veure que no havíem rebut
la transferència», explica Ginestí, director executiu de la companyia. Després de detectar el frau, van cessar les converses i els experts contactats van descobrir el rastre dels diners. A Giave van ser més afortunats de l'habitual i van poder recuperar gairebé el 90% dels diners, una cosa que no és habitual.
Tot seguit van reforçar la seva seguretat conscienciant els treballadors i van contractar una assegurança per protegir-se dels atacs cibernètics. «La incidència dels danys per atacs cibernètics és molt superior als causats per incendis i altres aspectes
que cobreixen les assegurances habituals», explica Ruht Robles. La ciberassegurança a la qual va acudir Giave cobreix els serveis de primera resposta sempre disponible, informàtica forense, recuperació de dades, assessorament legal, despeses de restitució de la imatge de l'empresa i de defensa jurídica, notificació als afectats, la responsabilitat civil davant de tercers i la pèrdua de beneficis ocasionada per l'atac.
Com va alertar l'exdirector de l'FBI Robert S. Mueller, hi ha dos tipus d'empreses: «Les que han sigut hackejades i les que seran hackejades». Davant de la quimera que suposa erradicar aquests atacs informàtics, els experts citats coincideixen que la millor manera de neutralitzarlos és amb una formació professional més gran. «Ningú està segur, fins i tot els sistemes més segurs», remarca Cuenca. «Els delinqüents ja no busquen entrar en equips informàtics, sinó atacar el factor humà», això és, explotar els errors dels usuaris. «Avui dia, la suplantació d'identitat és senzillíssima de fer».
La suma entre un ús massiu de la tecnologia, una baixa inversió en seguretat i la falta de conscienciació pot suposar a la llarga un desastre empresarial. Per mitigar aquest impacte, fan una crida als empleats perquè sospitin sempre de qualsevol correu electrònic o enllaç que rebin i comprovin totes les informacions. «Les persones som la primera línia de defensa», remarca Del Pino.
Malgrat que les respostes a aquesta problemàtica són cada vegada més completes, el crim cibernètic s'adapta a l'entorn per continuar trobant bretxes de seguretat per on penetrar. Lluny de trobar-hi una solució definitiva, empreses i particulars s'enfronten a un futur marcat pel majúscul repte de la ciberseguretat. Un repte de què depèn molt més que la butxaca. Ja ho va exposar amb lucidesa la filòsofa política germano-nord-americana Hannah Arendt fa mig segle: «El totalitarisme es produeix quan es perd l'espai privat».H
Un director de l'FBI
va dir: «Hi ha dos tipus d'empreses: les que han sigut atacades i les que ho seran»