Si te sientes impotente ante los cada vez más casos de ciberataques conocidos y temes por la integridad de tu organización, te recomiendo la plataforma INCIBE (Instituto Nacional de Ciberseguridad de España), como un primer paso para conocer cómo puedes prevenirlos. Pero si ya conoces los conceptos básicos de ciberseguridad y quieres ponerlos en práctica, te recomiendo la plataforma Portswingger Academy para aprender a hacer pentesting (test de penetración) para determinar los peligros a los que está expuesta tu empresa y cuál es el nivel de eficiencia de sus defensas.
Desde la semana pasada el Servicio Público de Empleo Estatal (SEPE) se ha unido a la larga lista de organizaciones que han sufrido un ciberataque. En este caso, según El Economista, a través de un virus de secuestro informático (ransomware). Si entras en su página web, este es el mensaje que todavía hoy te encuentras:
Hace menos de un mes (el 17 de febrero) eran los despachos profesionales los que sufrían otro ataque que secuestró los archivos de cientos en toda España. El problema no es sólo que estos despachos se han quedado sin los datos ni los expedientes e informes de sus clientes, sino las consecuencias que esta brecha de seguridad puede tener para ellos respecto, por ejemplo, a la responsabilidad civil, que no suelen estar cubiertas por las pólizas tradicionales de R.C. Profesional, o a las sanciones por incumplimiento de la RGPD. Las pérdidas monetarias y menoscabos de su reputación, prestigio e imagen profesional pueden ser incalculables.
Hace menos de un mes (el 17 de febrero) eran los despachos profesionales los que sufrían otro ataque que secuestró los archivos de decenas de despachos profesionales de Lérida y más de un centenar en Cataluña.
En este contexto, el Ministerio de Asuntos Económicos y Transformación Digital pone a nuestra disposición INCIBE y una línea de ayuda en ciberseguridad telefónica (017), un servicio gratuito y confidencial disponible todos los días del año. Además, en esta plataforma se puede descargar la guía fácil para el empresario. En esta guía encontrarás las principales vías utilizadas por los ciberdelincuentes para comprometer la seguridad de tu empresa y, lo que es más importante, cómo evitar caer en ellas. De forma resumida, estas son algunas de las vulnerabilidades más frecuentes:
-Fugas de información. En primer lugar, debemos diferenciar entre un ciberataque o una fuga de información involuntaria, causada por una mala praxis o desconocimiento del empleado o voluntaria, causada por un empleado descontento. Una correcta política de contraseñas, de acceso a los datos y de concienciación de nuestros empleados puede ser suficiente para evitarlas.
–Phishing. Fraude cometido normalmente a través del correo electrónico, en donde se inserta un enlace a una web fraudulenta similar a la original en la que nos piden nuestros datos de acceso. Comprobar siempre la identidad del remitente por otras vías: por ejemplo, no hace mucho recibí vía email una notificación de la Agencia Tributaria legítima que ignoré hasta su comprobación en la página web oficial, cuya dirección metí ‘manualmente’ en un buscador. En estos casos, ¡¡mejor pecar por exceso que por defecto!!
-Secuestro informático o ransomware, que se pueden producir por campañas de malware (software malicioso) a través del correo electrónico o por configuraciones de seguridad vulnerables. Como en el caso anterior, la mejor forma de prevenirlas es la prudencia al clicar en un enlace adjunto a un e-mail e incluso en alguna foto de web no contrastadas.
-En las grandes empresas, se pueden suplantar identidades de algún alto directivo o de algún compañero de RR.HH., de proveedores e incluso de técnicos de Microsoft. Como en el caso anterior, la comprobación de la identidad debe verificarse por otras vías.
-Con el aumento del teletrabajo, también ha aumentado el uso de nuestros dispositivos y entornos personales para trabajar y, con ello, la sextorsión, estafa basada en la creencia de que te han grabado en situaciones comprometidas. Las cámaras son “ventanas” abiertas al mundo, por lo que es conveniente poner algún tipo de dispositivo para taparla cuando no se esté usando. Estos dispositivos cuestan menos de un euro. Además, separar los dispositivos profesionales de los personales y en ningún caso, mezclar el uso que se hace de ambos.
– Ataques a la página web corporativa. Nuestra web, como cualquier otro software puede tener configuraciones inseguras y errores de diseño. Además, suele ser habitual encontrase con pequeñas empresas/autónomos que optan por la cultura maker -házlo tú mismo-, por ejemplo, con WordPress, sin tener los conocimientos necesarios. Tres son las medidas básicas para dificultar estos ataques: instalar sólo software de fuentes legítimas, contar con desarrolladores profesionales, que nos van a instalar sistemas anti-hackeo (por ejemplo, certificado SSL, sistema captcha o gestión de registros -loggins-), e instalar las actualizaciones de seguridad de todos sus componentes cada vez que el proveedor de servicios correspondiente nos notifique su existencia. Además, también se puede realizar auditorías web periódicas.
De forma general, las recomendaciones se pueden resumir en:
- Concienciación de nuestros empleados sobre la importancia de la ciberseguridad. No clicar en ningún enlace, ni abrir ningún ejecutable sin estar seguro. Ante la duda, ya lo decían nuestros mayores: “piensa mal y acertarás”.
- Todos los dispositivos y aplicaciones de la empresa, incluidos los antivirus, deben estar siempre actualizados. Las vulnerabilidades encontradas en las versiones antiguas son las primeras opciones que usan los ciberdelincuentes para entrar. Además, instalar sólo software de fuentes legítimas.
- Políticas de contraseñas robustas, de acceso a los datos por roles funcionales u otros filtros, o de establecimiento de un número máximo de peticiones a tu página web. Siempre que sea posible, contar con desarrolladores profesionales y realizar auditorías de ciberseguridad periódicas para detectar vulnerabilidades.
- Realizar copias de seguridad periódicas, comprobando que es posible su restauración.
- Todo lo anterior se aplicará también a nuestros dispositivos de uso personal (móvil, tablet o portátil), si efectivamente los usamos para trabajar.
Si finalmente sufres un incidente, es recomendable ponerlo en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado (FCSE), llamar al 017 y, si procede, a la Agencia Española de Protección de Datos (AEPD).
Fotografía de Michael Geiger en Unsplash