La concienciación y la accidentalidad, factores claves en la ciberseguridad de las empresas

El jueves 26 de enero tuvo lugar el Desayuno del Fórum Empresarial, que contó con la presencia de Tomàs Roy, director de la Agència de Ciberseguretat de Catalunya, y que sirvió para poner sobre la mesa qué acciones realiza la entidad y cuales son las tendencias y los riesgos que hay en el sector.

Tomàs Roy, director de la Agència de Ciberseguretat de Catalunya, (izquierda) junto a Santiago Ballesté, presidente de AEBALL, y José Antonio Alcaide, teniente de Alcaldía del Área de Promoción Económica y Turismo del Ayuntamiento de L’Hospitalet.

El ámbito de la ciberseguridad está viviendo un momento interesante y de constante cambio. Las campañas de ransomwhere y de fishing son cada vez más habituales y emplean recursos más cercanos al día a día del usuario, simulando ser un banco o un comercio el cual el usuario tiene en su lista de confianza. Tomàs Roy asegura que actualmente “se ha pasado de tener incidentes a hablar de cibercrímenes. De padecer guerras a ciberguerras” por todo ello, es importante pensar en la prevención, mediante mensajes de concienciación y, a su vez, hay que dirigirse a las empresas que pueden a ser víctimas. Aun así, “hay que aceptar que la accidentalidad estará y que puede dar lugar a un ataque” declara Roy.

Actualmente, existen dos tipos de ataques, los que se dan por casualidad y los que están dirigidos. Los casuales suelen darse cuando los ciberatacantes han visto una vulnerabilidad y la han aprovechado para acceder al sistema de la víctima. Por contra, los ataques dirigidos son ataques con grandes recursos, a manos de grandes cibercriminales que buscan enriquecerse rápidamente a un riesgo muy bajo, ya que, en la mayoría de los casos, es prácticamente imposible detener a un atacante. En primer lugar, se trata de un crimen que se puede hacer de forma remota en cualquier punto del mundo, encontrar el origen exacto de un ataque es extremadamente complicado y, en último término, en caso que se lograra detener al criminal, las penas aún hoy en día son muy bajas, moviéndose en torno los dos años de cárcel.

El cibercrimen es un tipo de delito que no requiere de grandes infraestructuras. Esto “hará que se den ataques más básicos en temas de blanqueo de capitales y criptomonedas, acercándose incluso a menores y gente con menor formación” explicaba Roy.

La agencia analiza dos ataques cada hora y una gestión de incidentes cada tres horas. El sector de la ciberseguridad es un ámbito en el cual la innovación no es habitual, sino que se tratan de proyectos que están ya desde el momento en que surgen, orientados a resolver un problema real que está sucediendo. La Agència de Ciberseguretat de Catalunya es una entidad referente que gestiona casi todos los ciberataques que pasan cada día en Catalunya, esto hace que se convierta en un vivero de talento y se alinee con centros formativos para así poder traspasar todos los conocimientos con los que cuentan.

Uno de sus puntos fuertes es el estudio del adversario: qué lo mueve a llevar a cabo el ataque, qué oportunidades explotan, etc. En un principio la entidad realizaba análisis de vulnerabilidad, dando lugar a un gran número de detecciones, pero ninguna resolución. El atacante busca las flaquezas de seguridad de cualquier empresa, incluidas las pymes. De hecho, últimamente la tendencia es atacar a los proveedores de servicios de organismos públicos y de grandes empresas, puesto que son más fáciles de atacar y están menos protegidas que las grandes empresas. Las empresas proveedoras se convierten, por tanto, en una pasarela al gran objetivo.

Tomàs Roy declara que “muchos empresarios no tienen claro que les puede aportar la agencia”. Su objetivo es facilitar el trabajo a las empresas, trabajar codo con codo con ellas y emplear a los agentes para que puedan en un término de 6, 9 ó12 meses un producto que se adapte a las necesidades reales del mercado. De ahí que, según palabras del director, “para asumir los objetivos de la agencia hay que hacer cierta la frase de que la ciberseguridad es cosa de todos”. Asimismo, se trata de un organismo que genera gran multitud de datos, pese a que se desperdician en gran medida ya que no se orientan a unos usos objetivos. “Simplemente es un dato que está presente en la operación de forma automática”, explica. Este recurso “sería útil a las empresas para poder simular y testar sus productos, y ganando tiempo por no tener que hacer pruebas piloto”.

Cuando se habla de ciberseguridad hay un marco legislativo que afecta a la administración y a sus proveedores, se trata del esquema nacional de seguridad. Una ley obligatoria para todas las administraciones públicas y sus agentes, que Roy califica de “perfecta desde un punto de vista de ciberseguridad”. Determina las amenazas, los controles, la gestión de los riesgos y los roles que tienen que darse en todos los casos.

En el ámbito europeo, existe la Ley NIS2, una norma que gestiona infraestructuras críticas y cualquier elemento que se retenga, que sea sensible para el estilo de vida y la industria. Esto quiere decir que afectara a todas las empresas, pasando a ser críticas o sensibles y, por tanto, deberán tomar medidas. Ley de privacidad origina una separación de los roles, debido al TPD, y la separación de estas figuras conlleva una incompatibilidad entre ellas.

Para Tomàs Roy “las empresas que se preocupen de todas estas leyes entraran en el mercado, los que no lo hagan, no entraran”. Así pues, toda esta normativa convertirá el sector en un sector más competitivo.

El robatorio de credenciales, el Ransomwhere (secuestro informático de las capacidades de las empresas), los ataques contra vulnerabilidades y las campañas de fishing son las ofensivas más extendidas actualmente.

El teletrabajo ha llevado a los cibercriminales a aprovechar la casuística para entrar en VPN que no estaban bien configuradas. El hecho de que un trabajador ejecute su labor en un entorno fuera del perímetro de protección de la empresa o los casos de obsolescencia han conllevado un mayor número de ataques. Todas las vulnerabilidades que hasta ahora no eran atacables dentro de un entorno de protección, como es la empresa, han quedado expuestas a un ataque al trasladarlas a un ámbito doméstico. Por otro lado, el caso de las VPN, herramientas empleadas en un entorno más técnico, han abierto una puerta de acceso para los cibercriminales al ‘democratizarse’ por la pandemia.

Asimismo, los riesgos se sectorializan. Los expertos en ciberseguridad tendrán que trabajar con especialistas de las diferentes áreas ya que, los ataques se dividen por sectores. Por ejemplo, un ataque a los ‘medical Devices’, para poder llevar a cabo una correcta resolución, deberán trabajar conjuntamente expertos de ciberseguridad con el personal médico.

Tomàs Roy aconseja disponer de una política de passwords que evite la reutilización de passwords en diferentes equipos o que obligue a cambiar la contraseña con una determinada frecuencia. “En el mundo de la ciberseguridad, cambiar el password es vida” declara Roy.

Otra medida a tener en cuenta es la realización de copias de seguridad, eficiente en caso de ataque o pérdida, puesto que permite a cualquier organización rehacerse en un menor tiempo. Una opción correcta es optar por servicios en la nube, pese al miedo que existe, es un entorno seguro para proteger los recursos.

Por último, es importante la concienciación, la capacitación y la formación según las responsabilidades y los roles que tenga cada persona en la empresa. Las empresas proveedoras deben contar con medidas en función del riesgo al que se exponen.