El pasado domingo día 2 de abril Heraldo de Aragón publicó un artículo titulado “Stop a la amenaza de un ciberataque” en el que Hiberus Legaltech tuvo el placer de colaborar con la intervención de su directora Susana González. En esta entrada os dejamos el enlace a la entrevista publicada bajo el título “Ciberataques” y algo más de detalle en la información sobre el estado de la ciberseguridad empresarial, las amenazas más frecuentes que estamos observando y cómo prevenir los ciberataques.
¿Cuál es la amenaza real de un ciberataque a nivel de empresas? ¿Ha habido algún ataque que haya supuesto una paralización de la producción en alguna compañía?
Todos estamos siendo víctimas de ciberataques constantes. Algunos dirigidos, otros simplemente a través de botnets o redes informatizadas programadas para realizar ataques a gran escala con determinados parámetros de acceso a vías abiertas, expuestas, mal securizadas o accesibles en aplicación de técnicas de ingeniería social.
Las amenazas cada día son más diversas y sofisticadas buscando atacar información de valor de las empresas porque es más rentable que la obtenida de individuos particulares. Sin embargo, los individuos particulares están siendo el vector de ataque más fácil para infectar la red de las empresas y acceder a información confidencial sensible y datos personales, que actualmente tienen un valor económico importantísimo en el mercado. El motivo, sin duda, es que aunque la empresa ponga medidas técnicas y organizativas para prevenir, los usuarios todavía no estamos suficientemente informados, sensibilizados o concienciados.
Ciberataques que cifran equipos e información
La mayor parte de los ciberataques que cifran los equipos (tipo ransonware, mediante descarga de archivos ejecutables infectados o links insertados en correos electrónicos que contienen malware– Phishing -, códigos QR o acceso a equipos de dispositivos USB que contienen código malicioso), suponen una pérdida de productividad. De la infección de otro tipo de virus quizás no nos enteremos, pero de éstos sí. Este tipo de infección cifra con una clave los equipos de la red de la empresa y solicita el pago de un rescate por la clave de descifrado a pagar generalmente en Bitcoins.
En el mejor de los casos, la paralización de la producción se produce hasta que la empresa reestablece su última copia de seguridad completa y desinfecta los equipos y la red. Pero, por desgracia, en la mayoría de los casos se están produciendo cuantiosas pérdidas porque, la mayor parte del tejido empresarial aragonés, no tiene una sólida política de seguridad en la que se establezca con claridad el procedimiento de respuesta ante este tipo de incidentes, o ni tan siquiera un procedimiento sólido de realización de copias de seguridad periódicas y seguras.
Es decir, se pierde productividad por la paralización mientras se reestablece el servicio, pero también si la recuperación de la información no es la última porque la empresa no tenga contratado copias en remoto, cifradas y en soportes diversos, por ejemplo.
El Virus del CEO
El segundo ciberataque más conocido, y que más consecuencias legales y económicas está causando a las empresas en la actualidad, es el llamado “Virus del CEO”. Mediante ingeniería social los atacantes estudian bien a directivos de las compañías, generalmente por la información que ellos mismos exponen públicamente en Internet (cargo y cuenta de correo electrónico básicamente) y consiguen suplantar la identidad de la cuenta de correo del directivo y solicitar, usando su cuenta de correo suplantada, a otra persona de la empresa con facultades de autorizar o realizar pagos por transferencia, el pago de una determinada cantidad a una cuenta que no corresponde con ninguna operación de la empresa, sino del atacante.
Si el directivo o responsable financiero no está lo suficientemente formado y alertado como para sospechar, o si la empresa no tiene establecidos procesos de pagos que impidan y controlen este tipo de solicitudes de pago sin más comprobaciones o autorizaciones, se producen las consecuencias.
Robo de dinero y extorsión están a la orden del día debido a estas técnicas de ciberdelincuencia. Y lo peor, a la hora de perseguirlas, es que aunque se está avanzando mucho en investigación tecnológica por miembros y fuerzas de seguridad del estado, si la IP de procedencia del ataque está fuera de España, la tramitación de cualquier denuncia y localización del autor se complica al no pertenecer directamente a una jurisdicción nacional.
Debemos denunciar pero sobre todo debemos prevenir y estar concienciados
¿De qué tipo de ciberataques estamos hablando? ¿A qué ataques están expuestas las empresas aragonesas?
Según los últimos estudios de entidades tipo Cisco, ESET España y kaspersky entre otras, 2016 fue el año de la extorsión online debido a la eclosión del phishing y el ransomware [el conocido virus de la policía, el de correos, el de la factura de ENDESA, entre otros]; seguido de la suplantación de identidad y robo de importantes cantidades económicas utilizando correos corporativos de directivos con privilegios de autorización de pago [como el virus del CEO del que hemos hablado antes]; robo de información en tránsito no securizada en local en su viaje a la nube; acceso a información confidencial y bases de datos a través de WiFis públicas; infecciones por adware (software que descarga publicidad no consentida por el usuario); sofisticadas técnicas de ingeniería social; descuidos de los usuarios y a partir de ahí, un largo etcétera de formas de ataques.
¿Afecta más a unos sectores que a otros?
En los casos de ciberataques por ransonware afecta a todos los sectores. De hecho cada vez es más habitual. Lo que ocurre es que el temor a reconocer que se ha sido víctima de un ataque todavía existe por el daño reputacional que causa, y por el temor a ser denunciado por los titulares de los datos en caso de que hayan podido ser interceptados o robados (no siempre lo son). En el caso del virus del CEO o de ataques en WiFis abiertas de hoteles de cinco estrellas buscan obviamente llegar a grandes cuentas con capacidad económica para realizar grandes pagos.
Pero por lo general, lo que importa al cibercriminal es el dinero del rescate o los datos, la información que luego va a vender en el mercado negro para la realización de estudios de Big Data o análisis de perfiles a los que otras empresas pueden dirigir publicidad segmentada a los usuarios o incluso configurar la creación de productos y servicios dirigidos a perfiles de consumo determinado, por ejemplo.
Sectores con especial sensibilidad al ciberataque
Sin embargo, sí hay sectores con especial sensibilidad. La información confidencial de empresas de diseños de piezas exclusivas, de productos farmacéuticos o químicos específicos, los pactos de colaboración empresarial, estudios de cotización en bolsa por ejemplo, es información caprichosa. Y a nivel de datos personales, información sensible de trabajadores de las empresas, hábitos de consumo de usuarios, datos de salud, de menores y, qué decir obviamente de los datos bancarios y contraseñas con las que ordenar libremente operaciones.
Las empresas que almacenan y tratan este tipo de información tienen reforzadas obligaciones legales para prevenir la pérdida de confidencialidad, disponibilidad y acceso a la información; pero por lo general, todavía queda, en muchos casos, un largo camino por recorrer para que tengan bien controlada su seguridad por capas.
¿Cómo se pueden proteger las empresas ante el riesgo de ciberataques?
La mejor forma de protegerse y prevenirse de ciberataques es conocer bien nuestro propio nivel de exposición y los riesgos que estamos asumiendo sin saberlo. Programar un ataque dirigido controlado es la mejor forma de conocer hasta dónde podría un atacante malintencionado llegar a la información de nuestra red.
Las empresas que están trabajando en prevención en este ámbito realizan periódicamente análisis de sus riesgos, los evalúan en cuanto a la potencialidad de que se produzcan y el impacto que significaría su producción; determinan así qué riesgos pueden asumir y cuáles de ninguna manera se podrían permitir.
A partir de ahí, toman prioridades tanto de inversión en sistemas técnicos de prevención y detección de ataques y fugas de información para poder incluso agilizar un plan de respuesta ante un ataque, y otras medidas organizativas que tienden a ser de toma de decisiones internas sobre cómo actuar ante determinadas cuestiones con incidencia en seguridad así como mediante la constante formación, sensibilización y concienciación a todo el personal.
Nuestro mayor riesgo: los dispositivos móviles
A nivel usuario, tanto desde la empresa, como desde el hogar o en itinerancia, nuestro mayor riesgo está focalizado en los móviles. Hasta la empresa más securizada puede tener un empleado que tenga el correo electrónico corporativo en el móvil. Justo cuando más nos relajamos es al llegar a casa, donde la inmensa mayoría de las personas no se molestan en configurar el router cambiándole las claves por defecto; o en una WiFi abierta el sábado en un centro comercial donde la mayor parte de la gente realiza operaciones bancarias con el móvil o dejan el móvil al niño para que juegue, mientras cualquier persona mal intencionada puede estar accediendo a sus cuentas, su correo personal y el de la empresa, sus archivos compartidos en Dropbox o en Drive. Como vemos es fácil perder el control.
Sentido común, mucha información y desconfianza.
Para protegernos, lo esencial es disfrutar de las herramientas tecnológicas con sentido común, mucha información y cierto nivel de desconfianza. Permanecer informados y alerta.
20 precauciones básicas para minimizar el riesgo a ciberataques
- Configurar bien la privacidad y seguridad de las cuentas de correo y redes sociales;
- Evitar estar constantemente geolocalizados;
- Evitar compartir información personal que defina nuestros hábitos;
- Actualizar siempre los sistemas operativos y aplicaciones;
- Descargar siempre aplicaciones de sitios oficiales;
- Utilizar contraseñas fuertes, distintas en las distintas cuentas, renovarlas periódicamente y, desde luego, no decírselas a nadie ni mucho menos tenerlas apuntadas (para eso es más recomendable tener un buen gestor de contraseñas);
- Sospechar de enlaces y archivos adjuntos en correos verificando la información de la cabecera de los correos (La agencia tributaria nunca os escribirá desde una cuenta de gmail) y el lenguaje utilizado en los mismos (generalmente los correos phishing suelen estar mal redactados o presentar errores al proceder de traducciones automáticas. Además, las compañías en nombre de quien suelen venir enviados esos correos suplantados nunca se dirigen a sus clientes por correo electrónico para solicitar datos u operaciones, ni incurren en errores ortográficos);
- Sospechar de correos de entidades de las que no somos clientes y a las que nunca hemos autorizado expresamente que nos envíen comunicaciones electrónicas;
- Al detectar o sospechar de un correo phishing debemos bloquear al remitente, cerrar el correo y eliminarlo de inmediato. Si queremos reenviarlo a otras personas para ponerles en alerta, debemos desactivar los vínculos y omitir los archivos adjuntos para evitar que por despiste puedan quedar comprometidos.
- Configurar las opciones de correo no deseado deshabilitando los vínculos y otras funciones en los mensajes malintencionados así como activando los avisos de nombres de dominio sospechosos en las direcciones de correo.
- Tener instalado y actualizado un buen antivirus tanto en equipos de sobremesa como en los dispositivos móviles, tanto en la empresa como en casa;
- Cambiar las contraseñas que vienen por defecto incluido las del router WiFi de casa;
- Cifrar la información con clave si la vamos a subir a la nube o compartir adjunta en correo electrónico;
- Cifrar los equipos de sobremesa y dispositivos móviles;
- Evitar hacer transacciones económicas o compartir información confidencial si estamos conectados a una WiFi abierta, es mucho mejor hacerlo a través de la tarifa de datos;
- Fijarnos siempre que nuestra navegación sea en webs con certificado de seguridad (https en la URL);
- No comprar en webs que no tienen políticas de privacidad identificando al responsable de la web, o que no contienen condiciones de contratación y de privacidad que nos aseguren qué datos recaban de nosotros igual que cómo van a operar las devoluciones y cancelaciones;
- Evitar trabajar en local y hacer copias de seguridad siempre tanto de equipos como de dispositivos móviles, por si nos vemos obligados a reestablecer la información.
- Cumplir siempre las políticas de seguridad de la información de la empresa en la que trabajamos.
- Ante la más mínima duda, ante la sospecha de que tu equipo o tu información haya sido comprometido, o ante la mejor opción de prevención y securización de tu información, consúltanos. En Hiberus LegalTech & CyberSec podemos ayudarte.
¿Qué hacemos en Hiberus LegalTech & CyberSec en ciberseguridad?
Hiberus está abarcando actualmente la seguridad informática de forma integral. Tanto desde Hiberus ofreciendo sistemas de prevención de ataques y detección de fugas, el diseño de estructuras de red securizadas, los servicios de copias de seguridad en remoto; asistencia en caso de recuperación de información; el desarrollo web y de aplicaciones sometido al cumplimiento de estándares de seguridad en aquellos proyectos en los que los clientes comienzan a ver claro el valor añadido que ello supone; hasta toda la parte legal y organizativa empresarial.
En Hiberus LegalTech & CyberSec estamos realizando con éxito lo que creemos es la mejor forma de protegerse. Ataques autorizados cumpliendo las máximas políticas de confidencialidad, situándonos como si fuéramos un atacante malintencionado y proporcionando así a los clientes un mapa de todos los vectores de ataque que dispone en su superficie de exposición.
Les identificamos así las vulnerabilidades expuestas para que puedan poner medidas para que desaparezcan o minimizarlas; les identificamos los riesgos, evaluamos la potencialidad y el impacto en los objetivos de negocio de la empresa, y les recomendamos las medidas técnicas y organizativas a medida de sus necesidades.
Paralelamente, trabajamos toda la seguridad de la información de la empresa facilitando el análisis de riesgos potenciales y su impacto en la empresa, revisamos, estudiamos y confeccionamos las recomendaciones de las medidas organizativas necesarias para minimizar los riesgos de ciberseguridad, las políticas de seguridad necesarias para cumplir las normas y evitar sanciones y reclamaciones de responsabilidad civil y penal, incluida la formación a los trabajadores, la realización de simulacros y campañas de concienciación.
Está empezando a ser un problema serio lo de los ataques y los virus, deberían esforzarse más todas las empresas en el tema de la seguridad informática, buena noticia. La comparto.