24 de marzo de 2019
24.03.2019
I Jornada de Ciberseguridad

Ciberseguridad, el punto débil de las empresas en España

La seguridad en Internet supone todo un reto para las pequeñas y grandes empresas que cada vez más deben invertir en proteger su negocio de los ciberataques

24.03.2019 | 04:00

Con motivo de la primera jornada sobre ciberseguridad que organiza LA OPINIÓN el próximo jueves 28 de marzo, dos expertos en este campo
hablan sobre los problemas a los que se enfrentan las compañías para combatir la delincuencia en la red.

Mario García Satién, director de Check-point para España y Portugal: "El robo a través de transferencias puede llegar a arruinar a una pyme"


"Todas las empresas están informatizadas y todas son objetivos claros. Se llegan a ver ataques muy complejos"

¿Hay diferencia en la inversión que cada empresa realiza en ciberseguridad en España?
La primera diferencia entre empresas es la inversión que hacen en seguridad. Podemos encontrarnos con empresas con un sistema muy avanzado en ciberseguridad y muy profesional, con buenos ingenieros y que están bien equipadas y con una alta inversión no solo en tecnología sino en procesos y en personal, y al mismo tiempo nos encontramos con empresas que son del mismo tamaño y que no tienen prácticamente nada más que lo mínimo en defensa. En el lado de los malos nos encontramos con profesionales, nada de aficionados. Hay gente que está especializada en el robo a los más pequeños, a las pymes; y otros especializados en ataques muy concretos a sitios en los que buscan una recompensa mayor.

En robos u otros ataques a las empresas. ¿Qué se encuentran hoy en día?
Hay dos tipos de robos muy comunes. Uno de ellos lo llamamos el 'ataque del CEO', el ataque del director. Las personas encargadas de realizar las transferencias de una empresa reciben un correo que supuestamente es del jefe, muy bien estructurado, con algún tema de que «estamos trabajando con este asunto confidencial, haz un pago de una cantidad muy específica». Cuando esa persona lee que es un correo del jefe, con su forma de escribir, llegan a realizar el pago porque no sospechan. Si tu jefe en un correo te dice que realices el pago el viernes por la tarde, cuando ya no hay nadie más a quien llamar y estás solo, pues si ve que es urgente lo hace. Esta semana estaba frente a un cliente al que de esta manera les habían robado 42.357 euros haciéndose pasar por el CEO de la empresa. Esto pasa en España.

La solución sería sencilla, confirmar la transferencia por teléfono y, aunque el 'jefe' diga en el correo que es muy urgente, no se realiza hasta que no tengas confirmación oral. Otro ataque común son los ataques a las pymes, un ataque a un ordenador de la persona que hace las transferencias en un ordenador. Me cuelo en su ordenador y no hago nada con él, me limito a ver pasar todas las transferencias que realice la empresa, y cuando tenga un negocio importante que implique un gran volumen de producción, entro en el ordenador, le cambio la factura, y con suerte la persona encargada no preguntará. Eso para una pyme puede suponer la ruina mañana. Otros ataques muy comunes son los 'ransomware', que te encriptan toda la información de tu ordenador y te piden un rescate.

¿También existen ataques que no impliquen el robo de una cantidad de dinero?
Este año hemos visto, por ejemplo, menos 'ransomware', y luego otros diferentes como con las criptomonedas. El negocio de las criptomonedas se conoce con el término de hacer 'minería', consiste en hacer un proceso informático que si lo logras ganas dinero con las monedas, pero la capacidad de cómputo que te hace falta para hacerlo es enorme, tendrías que tener unos servidores muy potentes para poder acceder a ese dinero. Una granja de servidores cuesta dos cosas: los servidores y la electricidad. Sería mucho mejor que yo atacara una empresa, tomara el control de todos tus ordenadores y cuando tú no los estás usando, yo te pongo al 100 por cien la unidad de procesamiento central (CPU). Utilizo el ordenador para mi propio beneficio, es el más común y el más popular y el que ocurre en todos los países. Hay mucho dinero en juego y la gente no está protegida.

Hablamos de ataques muy serios. ¿Cómo podemos llegar a evitarlos o paliar las consecuencias de esto?
Hay que contratar a un profesional que sepa. Pero más que eso es importante formar a los empleados, la gente debe concienciarse de que no se puede hacer click a un enlace en cualquier enlace. Todo el dinero que se invierta en darle una formación al empleado, para el PC o el móvil, viene muy bien.

¿Qué sectores se ven más afectados?
No existe un sector concreto al que se le ataque más. El sector de las finanzas está a la cabeza como foco de ataque, pero por otro lado son los más preparados con mucha diferencia. Compañías de seguros o bancos emplean equipos informáticos de primer nivel, ¿eso significa que no les ataquen? No, les atacan todos los días. Las empresas industriales tampoco tienen grandes defensas en ciberseguridad y son atacadas. Parar una pequeña empresa industrial es muy fácil y sería un destrozo enorme si les paralizas la producción dos o tres semanas. Un secuestro virtual en el que al final acabas pagando. Ahora también es común en las empresas del sector servicios. Todas las empresas están informatizadas y todas son objetivos claros. Se llegan a ver ataques increíblemente complejos, muy personalizados contra empresas industriales de un tamaño mediano.


Joaquín Molina Balsalobre, security advisor en Verne Technology Group: "En Internet ocurren estafas económicas, extorsión o acoso todos los días"

"La seguridad de la red social puede acabar en trastornos psicológicos serios, más allá de la pérdida de intimidad"

¿Tenemos una idea muy precaria de la seguridad en Internet y en los dispositivos móviles?
La población en general, y el sector empresa por desgracia también, no es consciente de los riesgos que se asumen cuando navegamos por Internet, o incluso sin hacerlo.  Solo por la mera conexión de móvil o del wifi de casa. La gente tiene la sensación de que los peligros de Internet se quedan en internet, en un ordenador lento, en un 'formateo' del equipo, pero la realidad es que mediante Internet ocurren estafas económicas todos los días, extorsión, acoso. Imagina un niño al que le roban la contraseña de la red social y sus 'amigos' se dedican a publicar en su nombre. Esto ha llegado a casos muy serios como el suicidio. Es decir, la seguridad de la red social puede acabar en trastornos psicológicos serios, más allá de la perdida de intimidad, de un robo o similar.  Es algo muy serio y está ocurriendo.

¿A qué amenazas concretas nos enfrentamos día a día? 
Imagina que alguien controla tu móvil mediante un 'malware' específico para móviles. Pueden ver dónde estás, donde compras, cómo compras, correos, contraseñas, bancos, fotos. Imagina, si alguien quiere hacerte daño con esa información, lo que puede lograr. Imagina que alguien controla la TV de casa conectada a Internet, o las cámaras de vigilancia.

¿Se puede parar un ataque o un robo en tus móviles o en tu ordenador? 
La seguridad informática es algo muy complejo. ¿Cómo se soluciona el tema de las drogas? ¿O del tráfico de armas? Difícil solución tienen porque hay intereses detrás a nivel mundial. Con esto pasa lo mismo. Se requiere de profesionales muy cualificados. No vale tu empresa de informática, tu amigo o tu vecino. El conocimiento experto de una empresa que se dedique a la ciberseguridad es el primer paso empresarial para, según los casos, ir luchando para ampliar las cotas de seguridad. La seguridad 100% no existe, es un proceso de mejora constante. Quizás para el ciudadano de a pie darle el mejor consejo que puedo: Actuar en Internet como si estuviese en la calle. Desconfiar de ofertas raras, de personas que no conoce, no dar información a nadie, cuando detecta algo raro ser previsor más que confiado...  
 
¿Cómo puede reforzar una empresa y a qué amenazas se enfrenta si su sector es el comercio electrónico? 
Imagina una tienda online que no puede vender en el día del Black Friday, o las semanas de Navidad. Un servicio básico en la ciberseguridad es la auditoria o 'pentesting'. Son un conjunto de ataques, diseñados a medida para cada cliente según su casuística, que imitan cómo lo harían los malos. Sólo con esta información podemos adecuar las necesidades defensivas de la tienda o empresa a sus necesidades. 

¿Las empresas grandes y pequeñas son conscientes de la importante inversión que deben hacer en ciberseguridad en España?
Si y no. Existe una preocupación general, pero no acompaña con la suficiente fuerza para acometer las reformas necesarias. No siempre son económicas, muchas implican solo cambiar la manera de hacer algunas cosas, como modificar procesos, pero cambiar la manera de trabajar a un humano es mucho más complejo que a una máquina. Las empresas de ciberseguridad nos encontramos con directivos poco concienciados. Con responsables de informática que ven estos servicios como una evaluación a su trabajo, nada mas lejos de la realidad. Somos la ayuda que los departamentos de informática necesitan.

¿Qué perfil tiene el atacante que decide robar a una empresa? 
Hay varios perfiles. Interno, de la organización o exempleado. Al final las empresas confían en sus empleados, pero suele ser habitual este vector. Piensa en un comercial que se va de la empresa con el Excel de clientes, precios o similar, esto es 'hacking'. Otro vector es el externo, el más peligroso, que es cualquiera en Internet. Puede ser un humano en Chile o un robot en Uzbekistán. Se tardan segundos en recorrer todo Internet buscando una víctima. Por lo general, suelen ser mafias organizadas que no saben de informática, solo compran las herramientas y las usan. 

¿Qué función tiene un hacker hoy en día en una empresa? 
La figura del hacker dentro de la empresa lleva más de 20 años en las grandes compañías internacionales, y en España en el Ibex 35 desde hace más de 15 años. Su papel, y el del departamento entero de seguridad, es el conocer los ataques para preparar las defensas. Constantemente aparecen nuevos ataques, y hay que estar preparados. En España hay más de 10.000 profesionales dedicados a la ciberseguridad y más de 1.000 seguro haciendo 'hacking ético'.
Compartir en Twitter
Compartir en Facebook