"Cryptolocker es una realidad que sufren cada vez más pequeñas y medianas empresas"
Entrevista a Manuel Cazorla, director general de la consultora Sistel
El secuestro de la información o ‘Criptolocker’ crece exponencialmente en las pymes y son muchas las empresas que han tenido que pagar un rescate para recuperar sus datos, según la consultora TI Sistel. Para abordar estas y otras cuestiones sobre la ciberseguridad, hablamos con Manuel Cazorla, director general de Sistel.
Ya hace un tiempo que en la seguridad informática de las empresas se habla del Cryptolocker. ¿Qué es y en qué se diferencia del resto de amenazas que sufren las compañías? ¿Cómo actúa este virus?
Desgraciadamente, Cryptolocker es una realidad que sufren cada vez más pequeñas y medianas empresas. Normalmente, estos virus se presentan bajo la apariencia de un inofensivo correo que en el asunto hace referencia a una factura impagada o a una reunión con un cliente. Las prisas llevan a hacer click rápidamente y entonces se desencadena el ataque, cifrando toda la información de los equipos afectados y pidiendo un rescate por liberarla. A menudo, los virus son tan potentes, o la empresa tiene tantas brechas, que llegan a colarse en los sistemas de seguridad en la nube, con lo que cifran la información de la pyme que esté almacenada online. Emiten en un mensaje que invita a pagar una cantidad que oscila entre los 3.000 y los 20.000 euros; valoran el precio en función del volumen y la relevancia de lo que han encriptado y, para que las víctimas comprueben su fiabilidad, envían una prueba de vida, es decir, parte de la información que han secuestrado. Estos ciberdelincuentes, que actúan a través de programas autónomos que investigan direcciones de IP susceptibles de ser atacadas, se preocupan de no defraudar a sus víctimas, y son serios cuando se les paga.
Una vez el sistema está infectado, ¿hay alguna forma de reconocerlo?
Es importante que los trabajadores sean conscientes de las consecuencias de sus acciones. Hay que informar y formar a las plantillas para que sepan reconocerlos y evitarlos antes de que se produzca el daño. Normalmente se trata de mails con un remitente extraño, escritos con faltas de ortografía o que llegan sin firma, y siempre con un archivo adjunto. Una vez abierto e infectado, el virus se autopresenta, pidiendo un rescate.
¿Cómo debe actuar la empresa ante un ataque de este tipo de virus?
Resulta muy difícil aislarse totalmente de un ataque, ya que los ciberdelincuentes siempre están innovando. Por eso, es importante establecer un protocolo ante los casos en los que el sistema ya ha sido infectado. Una vez detectado el virus, lo más importante es desconectar o aislar el equipo infectado para evitar que se propague y vaya subiendo por las capas de información de la compañía. En paralelo, hay que comunicar inmediatamente la incidencia a los informáticos para restaurar todas las contraseñas de acceso al dispositivo. Además, si se hubiera producido la revelación de información personal de terceros, hay que notificarlo ante la Agencia de Protección de Datos y a los afectados. Finalmente, en caso de extorsión o revelación de secretos, hay que notificar el delito ante la Policía Nacional, pero nunca pagar.
Los ciberataques son cada vez más habituales y pueden paralizar la empresa. ¿Qué buscan los ciberdelincuentes con esto?
Fundamentalmente dinero, luego el desprestigio de las empresas atacadas y también una especie de notoriedad y reconocimiento, aunque los atacantes queden en el anonimato.
¿Se puede afirmar que ya es un hecho que las empresas están en el punto de mira de los ciberdelincuentes?
Desde siempre, las empresas están en el punto de mira de los delincuentes. Antes eran ataques físicos, robos de mercancías o de dinero, hoy secuestran la información que les permite trabajar, bloqueando su actividad con graves pérdidas de todo tipo. Teniendo en cuenta que se trata de ataques masivos, son mucho más graves, porque afectan simultáneamente a cientos o miles de empresas y organizaciones.
Según Sistel, sólo una de cada 10 empresas hace regularmente copias de seguridad, muy pocas tienen un sistema de firewall eficaz y casi ninguna dispone de un plan de contingencia en casos de desastre que les permita recuperar su información. ¿A qué es debido?
A la falta de una cultura de seguridad. Desgraciadamente se está aprendiendo a la fuerza y tomamos las medidas después de haber sufrido una agresión. Pensamos que a nosotros nunca nos va a pasar y no es así. Nos puede pasar a todos y cuando te pasa solo queda lamentarte por no haber tomado las medidas oportunas antes. No es un problema de presupuesto, porque normalmente las medidas preventivas son muy costosas. En este caso bastaría con que los empleados fueran conscientes de lo que hacen y no abran ningún archivo si no están seguros de quien lo remite.
¿Qué consecuencias tiene para una empresa el secuestro de información o Cryptolocker?
Múltiples: dinero, bloqueo de la actividad de negocio con todo lo que conlleva, plantilla paralizada, paralización de la actividad comercial y de las ventas, interrupción de servicios a terceros, pérdida de credibilidad en el mercado y de clientes…
Para impulsar el cambio cultural hacia un modelo de empresa ciberprotegida, Sistel ha definido una hoja de ruta que les permita jerarquizar los pasos a seguir. ¿Por qué es importante llevarlo a cabo?
De otra manera no estarán seguras. El primer paso es realizar copias de seguridad de manera sistemática. Los datos tienen que estar protegidos y replicados. Además, es recomendable tener siempre una copia de los datos externalizada en la nube. Este problema es muy habitual entre las pymes, que se resisten a hacer esta inversión ‘porque nunca ha pasado nada’.
El siguiente paso es contar con puestos de trabajo seguros, controlando los accesos y lo que está ejecutando cada usuario. El uso emergente de tabletas y móviles en el puesto de trabajo crea nuevas oportunidades para los ciberdelincuentes y hay que protegerlos también. La virtualización del escritorio permite proteger de manera sencilla todos los dispositivos de trabajo que utilizan los empleados.
La protección perimetral, de la red fija e inalámbrica, especialmente de los accesos WiFi, es clave. Muy pocas redes WiFi están debidamente protegidas y suelen ser una puerta de entrada de los delincuentes. Es clave tener un WiFi seguro y saber quién entra a tu red. Además, el entorno de seguridad perimetral tiene que estar bien configurado y bien mantenido. El Data Center es otro punto frágil. Es necesario tener los sistemas actualizados y disponer de un buen control de acceso y de gestión de usuarios. El paso siguiente sería asegurar la continuidad de negocio en cualquier circunstancia, con soluciones y servicios de recuperación de desastres. Finalmente, Sistel recomienda una seguridad preventiva que puede incluir los servicios de una empresa de Hacking ético que revise que nuestros entornos públicos están securizados.
Como es lógico, las empresas más sensibles a la seguridad son aquellas que tienen un mayor número de empleados que, normalmente, cuentan con técnicos informáticos y por lo tanto están más mentalizados con el tema. Las más pequeñas no están tan mentalizadas, por lo general no tienen técnicos y, si los tienen, están a mil cosas y la seguridad no suele ser una tarea prioritaria.
Para Sistel, la ciberseguridad sigue siendo la gran asignatura pendiente de las medianas y pequeñas empresas. ¿Cuál es el principal reto de futuro frente al que se encuentran las compañías?
El gran reto es abordar esa hoja de ruta, proteger la compañía y estar continuamente al día para ser capaces de dar respuesta a las nuevas ciberamenazas. Los ciberdelicuentes no descansan nunca.
