Las pequeñas y medianas empresas
(pymes) caminan descalzas por ese camino plagado de cactus que es Internet.
Hace algunas semanas unos hackers conseguían bloquear 400.000 archivos
del recinto ferial de Madrid (Ifema) en cuestión de segundos. Un falso mensaje
que parecía proceder de la empresa pública Correos bastó para desencadenar el
caos. Esa infección masiva se expandió a través de un virus llamado
CryptoLocker, un tipo de ataque que se popularizó en 2013 y que sigue causando
estragos a través de versiones renovadas.
Alfonso Mur, socio director
de Riesgos Tecnológicos de Deloitte, califica esta práctica como “el fraude directo más
común”, parecido a los secuestros reales de personas. “A través de una descarga
imprudente entran en el ordenador de tu empresa, bloquean la información y
piden un rescate en un breve periodo de tiempo mediante una cuenta de Paypal”,
explica. Suelen exigir pequeñas cantidades, de 1.000 o 3.000 euros, a cambio de
restablecer los archivos de sus víctimas si éstas acceden al chantaje, algo que
afortunadamente no sucedió en el Ifema gracias a que conservaban los datos en
copias de seguridad.
Según un
estudio del fabricante de antivirus Symantec, en España las pérdidas anuales por
robos de información en empresas alcanzan los 482 millones de euros (datos de
2013). La memoria de 2014 de la Fiscalía General del Estado recoge un aumento
de las estafas informáticas en un 60% (se tramitaron más de 9.000
procedimientos). Sabotajes en la red, accesos sin autorización, descubrimiento
y revelación de secretos y falsificación de documentos son otros delitos cada
vez más comunes. Iñaki Ortega, director de programas de Deusto Business School,
cree que las grandes multinacionales son conscientes de sus puntos débiles. “Su
preocupación es buena, demuestra que están dispuestas a tomar decisiones”.
Sectores como el financiero o empresas energéticas invierten enormes recursos
en su seguridad.En cambio, las pymes, según la quincena de expertos
consultados, ni están preocupadas ni preparadas. Incluso las que utilizan
internet para vender sus productos y tienen en sus bases de datos información
confidencial de clientes o proveedores.
“Si tienes una tienda pones una
alarma, una verja, y quizá contrates un furgón de seguridad que retire el
dinero de la caja. Si te tomas estas molestias, ¿por qué no haces lo mismo en
el mundo digital?”, se pregunta Mario García, director para la península de
Checkpoint. “La tecnología sobra, pero es necesario invertir en medios físicos
y humanos, en procedimientos. Conozco a empresas pequeñas que se protegen de
forma muy efectiva, todo depende de si se lo toman en serio o esperan a tener
un problema”. Para él la cuestión no es si se va a producir un ataque, porque
eso ocurrirá tarde o temprano, sino cómo reaccionará la empresa ante el acoso.
Lo mismo piensa Alexandros Triantafyllou, director de fraude e identidad de
Experian en España, que advierte de que “nada en Internet es realmente seguro”.
Cree que las pymes se han centrado en tomar medidas para identificar a las
personas que interactúan en sus páginas web, pero los procesos de identificación
no son eficaces. “Si tu cliente es víctima de ingeniería social y sus datos
acaban en manos de un defraudador, tu empresa no se podrá defender por mucho
que hayas establecido largos procesos de autenticación”, reflexiona.
El negocio del sector que se dedica
a ofrecer soluciones contra la ciberdelincuencia ronda, según varios expertos,
los 150 millones de euros en España. Telefónica, Indra, Unitronics, Nextel,
Dimension Data, HP o IBM se llevan la parte del león de este mercado junto a
firmas más especializadas como Grupo Sia, Cisco, Checkpoint, Fortinet, Paloalto
Networks, S21Sec y gigantes de los antivirus, amén de las big four:
Deloitte, PwC, KPMG y EY. Siempre un paso por detrás de organizaciones
criminales, afrontan las mil caras de la ciberdelincuencia: al día se
identifican 160.000 webs que tienen puntos débiles de seguridad; más de 320.000
direcciones IP registran actividad maliciosa (la mayoría pertenecientes a botnets,
redes de equipos infectados que actúan como robots para enviar mensajes de
correo electrónico no deseados, propagar virus, atacar equipos y servidores o
cometer otros fraudes). Los incidentes más habituales, según datos del Instituto
Español de Ciberseguridad (Incibe) consisten en accesos no autorizados a
información confidencial (un 37% de los casos) y fraudes tipo phishing
(suplantación de identidad para robar datos o información personal como números
de tarjetas de crédito, contraseñas o datos de cuentas bancarias). La Policía
registró en 2014 hasta 70.000 ataques en España.
Pymes de producción y distribución
de contenidos de vídeo, televisión, música, sonido o editoriales son las que
más incidentes de seguridad presentan en España detrás de las grandes
tecnológicas y los bancos, aunque están menos protegidas que éstas según el
análisis del Incibe. En un escalón por debajo se encuentran agencias de viajes,
empresas de contenido científico o técnico que utilizan nuevas tecnologías y
que están registrando numerosas incidencias de seguridad. Las microempresas del
comercio y la hostelería, por último, son las más despreocupadas por mantener a
salvo información confidencial.
Deloitte tiene en Alcobendas un
centro de seguridad en el que trabajan 200 personas los 365 días del año.
Recientemente tuvieron que enfrentarse a un ataque dirigido a una financiera
que enviaba remesas de divisas a otros países a través de una treintena de
oficinas en España. Una mañana todas las sucursales recibieron un paquete
postal personalizado acompañado de un programa informático y una carta firmada
supuestamente por el director de la compañía. Todo parecía real. El ejecutivo
les pedía amablemente que ejecutasen el dispositivo para actualizar los sistemas.
Sólo una lo hizo, pero desató un virulento ataque masivo que inmediatamente
provocó el desvío del dinero de cuentas de sus clientes a un banco de Rumanía.
Esa jornada perdieron 300.000 euros.
Fue un ataque planificado,
estudiado y dirigido probablemente por un grupo criminal que había estudiado
durante meses las debilidades de la empresa. Lo que se conoce en sus siglas
inglesas como APT Amenazas Persistentes Avanzadas. “Los que están detrás tienen
muy claro lo que quieren y planifican su ataque. Buscan una patente, un
desarrollo, una información concreta e intentan entrar por todas partes, a
través de spam, por debilidades de la web, por los empleados. Utilizan
la ingeniería social. El mayor problema es cuando esas incursiones no dejan
huella”, analiza Juan Bautista López, de la empresa Tecnocom. Habla de cómo han
evolucionado las estrategias para delinquir: “Las pymes suelen ser víctimas de
ataques más tradicionales. En el entorno medio no está claro que las APT
lleguen por el momento a ese nivel. Pero hay que intentar tener una seguridad
360 grados y el punto débil aquí siempre es la persona”. La concienciación de
los empleados es, para el director de ciberseguridad de Prosegur, Isaac
Gutiérrez, lo más importante. “La persona es el eslabón más débil. A veces las
empresas ni siquiera son conscientes de la fuga de información. Más allá de las
medidas básicas, como antivirus, cortafuegos o copias de seguridad, hay que
concienciar de los riesgos de utilizar teléfonos móviles y otros dispositivos”.
Los ciberdelincuentes saben que desde un móvil pueden obtener datos cruciales.
Su perfil poco tiene que ver con los hackers de antaño que buscaban notoriedad.
“Han evolucionado. Ahora hay una amalgama de perfiles más amplia y
preocupante”, cree el director de ciberseguridad de Indra.
Qué hacer frente a las amenazas:
Principales errores:
Visitar una página inadecuada, ejecutar un archivo adjunto de un correo
electrónico desconocido, desactivar un antivirus o introducir un programa
malicioso desde una memoria USB son algunas de las conductas de riesgo que
pueden comprometer la seguridad de una empresa. Frente a ellas una de las
estrategias comunes es el bloqueo del acceso a ciertas webs o restringir o
eliminar la posibilidad de que los empleados ejecuten una serie de funciones.
Aunque la experiencia demuestra que un excesivo control es menos efectivo que
la concienciación.
Consejos. Los
atacantes utilizan ingeniería social para conseguir información confidencial de
una víctima haciéndose pasar por un tercero. Para evitarlo hay que actualizar
aplicaciones, escribir las direcciones web en vez de usar enlaces, introducir
los datos sólo en páginas seguras (que empiecen por https://) y saber que a
través de llamadas telefónicas uno puede ser víctima de una estafa.
(Fuente: www.elpais.com)