uando se habla de ciberseguridad, habitualmente se piensa en los bancos y las grandes empresas. Recientemente, Kaspersky Lab informaba que en el 2013 una banda criminal, de nominada Carnabak había atacado a más de 100 bancos de 30 países, habiendo generado unas pérdidas globales a las entidades, cercanas a los mil millones de dólares. Cierta ente son estos los bocados más apetitosos para los atacantes, pero no los únicos. Sobre todo, porque son los más protegidos. De aquí, que bajen el listón de sus objetivos y se dirijan a las pymes, donde la protección es mucho menor. El botín puede ser también interesante, ya que a través de ellas pueden alcanzar de un salto a piezas de caza mayor. “Notamos en los últimos seis meses que la tendencia apunta a una mayor sensibilización por parte de las pequeñas empresas sobre esta eventualidad, al comprobar que los black hats –personas con intenciones maliciosas– van contra ellas”, comenta Xavier Gracia, director de Deloitte Cyber SOC.
Hoy se ataca por motivos puramente económicos. La prueba es que en 2014, el 91% de los ataques que se realizaron en el mundo fueron dirigidos a una empresa, organización, persona… con un objetivo variopinto, desde el espionaje industrial, hasta el robo de información, (datos, tarjetas…) que luego se vende. “Hace años el hacker buscaba notoriedad personal, ahora los blackhats, no,su motivación es económica y para entrar en una compañía saben que tienen dos caminos, atacar directamente a la empresa o a sus trabajadores”, explica Sergi Gil, responsable de la Cyber SOC Academy de Deloitte.
Ambos expertos insisten en que por mucho que la empresa proteja su perímetro corporativo, hay una puerta abierta muy difícil de cerrar: internet. “Los empleados llevan dispositivos conectados a la empresa y son el punto más vulnerable, por ello, es muy importante que la empresa proteja también su perímetro externo, conformado por los móviles, redes, conexiones a proveedores…”, apunta Gracia. De ahí lo importantes que resultan las recomendaciones que hacen en el decálogo adjunto. Afirman que una empresa puede gastarse mucho dinero en an tivirus, pero si no logra mentalizar a sus empleados de la importancia de lo que tienen entre manos no sirve para nada. El pasado año, se estima que el 66% de ataques recibidos por empresas fueron propiciados por negligencias de sus empleados. Hoy son muchos los empleados que usan aparatos propios de tecnología más avanzada de la que les ofrece la empresa. Por ello, cada vez más, las compañías colocan dispositivos BYOD (Bring your Own Device) que dividen el entorno empresarial del personal dentro del aparato y protegen al primero, como forma de control. “Lo preocupante es que solo el 53% de empresas está protegida por esta vía”, apunta Gil.
Ambos hacen hincapié en que es necesario desmontar el mito de que la ciberseguridad es cosa solo de multinacionales y aportan una serie de argumentos muy interesantes. Así, por ejemplo, apuntan que el 50% de pymes están siendo atacadas, aunque razonan que este porcentaje puede ser más alto en la actualidad. Por algo se estima que el 71% de ataques van dirigidos a pymes, por que están menos protegidas. El trasfondo de atacar a una pyme, un objetivo menos interesante en principio que una gran empresa, está en que a través de ella se puede tratar de llegar a proveedores y clientes. Hay un dato que atañe directamente a los empleados, ya que un 77% se van del trabajo sin bloquear su ordenador y otro de alarmante: el 95% de fraudes en tarjetas de crédito se produce en clientes de pymes…
Ante este panorama, ¿qué puede hacer una pyme que no tiene posibilidad de realizar un gran dispendio en ciberseguridad? La solución que los expertos de Deloitte aportan va por dos caminos complementarios: mentalizar y formar a los empleados en este aspecto y contratar externamente servicios gestionados. Estos se prestan por parte de centros especializados y la pyme se ahorra tecnología y gente. Por último, uno de los puntos que señalan como preocupante es la falta de profesionales en ciberseguridad.
Consejos para protegerse
Se estima que el 66% de ataques a empresas fueron propiciados por negligencias de sus empleados. Por ello recomiendan:
- Utilización de contraseñas seguras. Una clave segura es aquella que no es de diccionario, no es pronunciable en castellano, mezcla letras, dígitos y signos de puntuación y tiene al menos 8 caracteres de longitud.
- Mantener actualizados todos los aplicativos de los dispositivos, incluido el antivirus. Regularmente se debe de hacer un chequeo de todo el equipo con el antivirus.
- No entrar en el sistema con privilegios de administrador. Para una navegación más segura por Internet hay que evitar conectarse desde un usuario con privilegios de administración.
- No dejar sesiones abiertas. Se deben utilizar siempre los botones logout, salir, cerrar sesión o desconectar al dejar un servicio web.
- No pinchar nunca sobre enlaces, sino teclear el enlace en el navegador. Tampoco en enlaces que se reciban vía mensajería instantánea como chats o WhatsApp.
- Utilizar https para una navegación segura. Forzar a la navegación https://
- Desconfiar al conectar un USB ajeno. Nunca conectar dispositivos ajenos a nuestros equipos, USB, MP3, dispositivos móviles, discos duros externos…
- No ignorar avisos del navegador sobre certificados de seguridad. Los certificados de dominio son la única manera de reconocer que el sitio al que se está accediendo es legítimo.
- Utilizar tarjetas bancarias específicas para la compra online. Para la compra online hay que utilizar tarjetas que estén asociadas a cuentas bancarias dedicadas exclusivamente a compras online y controlar regularmente su saldo y movimientos.
- La descarga no controlada o certificada de aplicaciones supone un alto riesgo para cualquier sistema o dispositivo. Las aplicaciones descargadas en dispositivos móviles o PC deben estar acreditadas y certificadas como legítimas y libres de un posible malware.
Este artículo se publicó en La Vanguardia el 10 de mayo de 2015
