En los últimos seis años se han duplicado los ciberataques por medio de la ingeniería social. Es decir, para un ciberdelincuente es, literalmente, el doble de fácil engañar a una persona con falsos emails, SMS y mensajes de WhatsApp que encontrar una vulnerabilidad de software para robarle directamente.
Se trata de un verdadero problema porque la ambición de los hackers no tiene límite. En muchas ocasiones se ‘conforman’ con hacerse con los datos bancarios o cuentas de email de una persona. Pero otras muchas veces aprovechan la información que recaban sobre uno o varios individuos para ciberatacar la empresa u organización en la que trabajan.
En este sentido, cada día es más habitual leer noticias en las que ‘todo el sistema informático de una compañía ha sido tumbado por unos hackers que consiguieron introducir un virus por medio del email en un trabajador’. Por ello, se ha extendido la errónea idea de que, si los profesionales de una empresa u organismo público están bien formados en cuanto a la ciberseguridad, toda la organización está a salvo de ataques.
“Confiar en la educación como única solución a la ciberseguridad es un error muy común, y está demostrado que un exceso de formación incluso llega a ser contraproducente” advierte Hervé Lambert, Global Consumer Operations Manager de Panda Security.
En ciberseguridad pasa lo mismo que en el resto de circunstancias de la vida. Al igual que los trabajadores de las empresas que han hecho demasiados simulacros contra incendios, dejan de hacer caso a las alarmas y siguen trabajando justo el día en el que el incendio es real, cuando se han hecho demasiados tests de seguridad, las personas tienden a caer en errores ‘de principiante’.
Es importante tener en cuenta que todas las personas cometemos errores. Todas. Desde el empleado que se acaba de incorporar hasta el máximo directivo de la organización. A veces, los fallos se producen por falta de atención, es decir por un despiste; por errores de percepción, cuando por ejemplo, pensamos que un correo es legítimo cuando en realidad no lo es; o por o errores en la decisión tomada, es decir, cuando sospechamos que algo puede ser peligroso pero asumimos el riesgo y finalmente vemos que hemos tomado una decisión incorrecta.
“La educación es necesaria, pero no es suficiente para evitar riesgos por ataques que explotan el factor humano. Invertir más en formación puede dar resultados hasta un punto. Pero llega un momento en el que la tecnología y la evaluación de riesgos son mucho más importantes para mitigar ataques. Es decir, por muy formados que estén los empleados de una compañía, si hay alguna vulnerabilidad en los servidores corporativos, tarde o temprano, los hackers conseguirán engañar a alguien para tener barra libre en el sistema”, señala Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Además, cuando se ha producido un ataque en una empresa, no solo hay que mirar al que ha cometido el error o su educación. Siempre hay muchos otros factores, incluso organizacionales, que han podido influir en la situación de riesgo o incidente.
Por ello, “las empresas del sector de la ciberseguridad y los organismos públicos deberíamos crear un marco de análisis e investigación del factor humano cuando se producen incidentes, para buscar las raíces de los problemas a todos los niveles, desde el plano tecnológico hasta las responsabilidades personales”, añade Hervé Lambert. Este tipo de marcos de actuación ya existen en otras industrias, como en la aviación, donde siempre se pone en marcha el HFACS (Human Factor Analysis and Classification System) cuando se produce un accidente para evitar futuros riesgos.
En definitiva, es imposible estar protegido siempre al 100%, aunque se puede estar mucho mejor preparado para evitar los incidentes y también cuando ya han tenido lugar. No existe la seguridad perfecta, y los ataques pueden venir desde fuera o desde dentro.
Por ello, se debe empezar por evaluar los riesgos y los activos a los que afectan, en función de la probabilidad de ataque y del impacto potencial en el negocio. Con ese mapa de riesgos y activos, se deben priorizar y planificar las acciones para mitigarlos. Esto debería ser el punto de partida para ir subiendo el nivel de madurez en ciberseguridad de cada empresa.
Hoy en día la mayor parte de las empresas, sobre todo las pymes, siguen teniendo un nivel bajo de seguridad. Por tanto hay una extensa área de mejora por cubrir. En resumen, la prioridad en cuanto a las mejoras debe ser hacer esa evaluación y tener un plan para mitigar los riesgos y para saber cómo actuar en caso de incidencia. “Lamentablemente, hay muchas empresas que todavía no cuentan con ello”, apostilla el Global Consumer Operations Manager de Panda Security.
1. Cuáles son los errores más comunes que cometen los empleados de las empresas en cuanto a seguridad informática?
El mayor problema es la dejadez: no instalamos los parches de seguridad…. y esto es un problema porque en los ciberataques a empresas, da igual el tamaño, el primer vector de ataque es este (medio de entrada).
Dos: somos demasiado confiados. Creemos que el mundo digital es la panacea donde no va a pasar nada, pero siempre pasa. Hay malware en muchísimos emails, muchísimo spam. Hay mucho engaño.
En tercer lugar, las contraseñas: la más usada del mundo es 12345. Tienen que ser nunca menos de 9 caracteres, intercambiar mayúsculas y minúsculas, evitar que sean fáciles de recordar, fechas, el nombre de mi familia, fechas de mi familia. Que sean cosas que no tengan ninguna relación personal conmigo
Hay que usar un gestor de contraseñas. Él lo hace todo por ti. Solo tienes que acordarte de la clave maestra. Es difícilmente hackeable. Todo lo que está en el gestor es casi imposible de hackear, si entran en el sistema no pueden acceder a la conformación del gestor de claves, la información no se almacena en ningún sitio.
Uno de los errores típicos del post it es una cagada. Vale ya. Eso está pasado de moda. Eres libre de hacer lo que te dé la gana, pero esto tiene consecuencias para ti y también para los demás (toda tu familia, y toda tu empresa). Los datos que puedas tener sobre tu familia o amigos les vienen bien a los malos. No buscan tanto tu información sino sacarle rendimiento a tu información para ganar pasta.
Olvidémonos del texto del escritorio, el cuaderno… Usemos gestor de claves, que estamos en el siglo XXI.
Esto aplica a toda la sociedad, no solo a la generación Zeta o millenial. A todos. Mi madre que tiene más años que la tos también. Los niños lo publican todo. Se ve a sus madres en las fotos.
Solo hay un módulo, no hay uno digital y uno offline. Todo es lo mismo. No compartas con unos unas cosas de uno de los dos mundos que no compartirías en el otro.
Todo va más allá del antivirus: gestor de claves, VPN; todas esas pequeñas cosas que hacen que tu mundo sea un poco más seguro. No solo hay malware, detrás de él hay unos malos que son muy buenos en lo suyo. Su motivación es la pasta y los datos que puedan conseguir. Hacer el mal: saber los servidores de mi empresa, datos de clientes, estrategias…
Dejemos de pensar que eso no me va a pasar a mí o que yo no soy interesante. Todos suponemos un poco de información.
A las empresas les pasa lo mismo. Da igual que seas una Ibex 35 o un organismo público o una pyme. No ignoremos las prácticas básicas de seguridad.
No se puede tener el ordenador abierto para que todo el mundo vea lo que hay en él. Un tío que se va al baño y deja el dispositivo abierto en la mesa del bar. Si lo dejas, te pueden robar tus datos (y sobre todo los de tu empresa).
No se puede navegar en redes wifi gratuitas. Ni en la del potencial cliente ni en la de tus partners. Usa una VPN que es mucho más seguro.
Jamás entres en nada que no sea SSL.
Ojo a los fabricantes de dispositivos porque a veces se les olvida avisar a los usuarios en los móviles de que la navegación no es segura. En un ordenador se ve más. Las advertencias de seguridad de Google no dejan de ser rediseñadas porque los usuarios las ignoran: no le ven un valor a la ciberseguridad.
No descargar apps de fuentes desconocidas. Hay aplicaciones maliciosas en las tiendas oficiales, imagínate en las no oficiales.
Volviendo a los móviles: olvidarse del jailbreak.
Todos los empleados cometemos errores. Hasta yo. No se trata de los más comunes, sino cuál es el nivel de preparación de la empresa para hacer frente.
Generalmente es por falta de atención, por falta de percepción (parecía que el email realmente era de la agencia tributaria); errores de decisión (sabía que no tenía que hacer clic en el archivo, pero le di sin querer…. Estos son los errores más comunes. En el fondo no es más que tomar una decisión incorrecta.
El tema es que hay mucha ingeniería social por detrás que hace pruebas y pruebas. Cuando es un ataque dirigido a una empresa es todavía más difícil de adivinar. Llegan incluso a suplantar la identidad de una persona de confianza.
Hay un informe anual de Verizon que dice que el peso del factor social ha crecido mucho en las empresas. Para un atacante es 100% posible encontrar un humano atacable independientemente del nivel dentro de la empresa.
2. ¿Creen que las empresas invierten suficiente en la educación de sus trabajadores en cuanto al uso de herramientas TIC?
Si no consigo educar a mis hijos, cómo voy a conseguirlo en la empresa. La educación es necesaria, pero no es suficiente para evitar estos ataques relacionados con el factor humano. La empresa tiene invertir más en seguridad. Da igual el tamaño de la empresa.
La comunicación para arriba y para abajo es vital. Liderazgo estratégico, cooperación, cultura de seguridad. Y mucha formación. Todo esto es clave para que la empresa aminore el riesgo.
En aviación, el análisis sobre el error humano es súper importante. Pues en ciberseguridad debemos hacer lo mismo. Encontrar las raíces de todos los problemas para encontrarles soluciones.
Pero la formación no es suficiente. La seguridad tiene que subir de nivel como pasó con los aviones cuando empezaron a caerse.
3. ¿El riesgo de que una empresa ayude a los hackers a causa de sus malas prácticas, es el mismo para las firmas pequeñas y las grandes?
Hay muchas vulnerabilidades y nosotros se lo ponemos muy fácil a los malos, que además son cada vez más listos y más estructurados. Cada vez son mejores preparando sus ataques estratégicos porque ven que ganan mucho dinero con esto.
Las empresas grandes con muchos recursos para atajar la seguridad lo tienen mejor. Cuanto más concienciada está la empresa, más lo están los empleados. Hay empresas muy maduras que suelen ser siempre muy grandes.
La administración, si bien hace cosas buenas utilizando ciertas asociaciones, grupos, incluso empresas privadas como la nuestra, creo que no lo valoran en su justa medida. No entienden bien el esfuerzo que hay que hacer. Ellos tienen que dar el ejemplo a la sociedad. Pero ponen en riesgo la estructura de la sociedad de hoy.
Las pymes lo tienen más difícil. Tienen que ir a empresas que proveen de diferentes niveles de seguridad para cada empresa. Las empresas de seguridad nos hemos adaptado muy bien a los paradigmas de seguridad que necesitan las empresas en función de su tamaño y su negocio.
Nosotros tenemos Panda Adaptive Defense, que integra tecnologías que permiten clasificar todos los procesos que corren dentro de la pyme, y esto nos ayuda mucho a evitar problemas en cada empresa.
Tenemos visibilidad de lo que pasa en la pyme y lo clasificamos. Tras un tiempo de adaptación, podemos evitar procesos que se ejecutan sin control de forma automática.
Protección detección y respuesta en todos los dispositivos de la empresa. Tenemos una foto fija de todo lo que usa la empresa y todo lo que es nuevo, lo paramos. Pero tenemos un árbol de decisiones. Clasificamos el 100% de los procesos con machine learning y IA para hacer clasificaciones automáticas sin la necesidad de un experto detrás de la empresa. Así evitamos ataques con o sin malware. Cuando vemos un comportamiento raro, lo paramos. Algo que no sea normal, como por ejemplo un proceso de Outlook que no suelen hacer más de tres veces, pues lo paramos. Da igual que esto sea o no por malware.
Todo esto se aplica a todos los dispositivos que usamos. No solo el endpoint de la pyme sino a todo lo que hay en la empresa.
Adaptamos todos nuestros productos a las necesidades de la pyme. Ella es la que decide qué quiere proteger y cómo; y nosotros se lo ponemos a su alcance.
4. ¿Qué no debe perder de vista un CIO dentro de la compañía para asegurarse de que los empleados no facilitan el trabajo de los hackers?
Los empleados no tienen que ponérselo difícil a los hackers. Eso es tarea de la empresa.
La empresa debe evaluar todos los riesgos y todas las vulnerabilidades. Necesita un sistema que las adivinen para que pongan remedios a todos los sistemas que usan los empleados. No hablamos de sistema operativo, hablamos de todo dispositivo, desde un USB a un móvil.
Todo esto tiene que hacerlo la empresa. La empresa tiene que disponer de tecnologías y procesos que impidan la explotación de los programas más utilizados por los empleados.
Hay que minimizar el riesgo de ataque, pero siempre acaban ocurriendo. Por eso hay que hacer pruebas y definir escenarios para tener pautas para remediar los ataques. Esto es clave en el contexto de la empresa.
La concienciación y formación es muy importante. Pero el sentido común no es igual para mí que para el becario o para el CEO.
La concienciación es un paso importante, pero no el más importante. El empleado tiene que tener en cuenta los protocolos, saber qué es un proceso o un archivo sospechoso y saber que no tiene que abrirlo, pero la empresa tiene que tener claras muchas más cosas.
5. ¿Qué mejoras consideran que se pueden llevar a cabo en el mercado actual para que las empresas estén realmente preparadas frente a posibles ataques?
A nivel de administración pública hay que concienciar a las empresas. Las seguridad 100% no existe. Ni en el mundo físico ni en el online, ni en el personal ni en el empresarial. Hay que formar a la gente para saber evitar riesgos, pero también hay que saber reaccionar cuando se produce un ataque.
Por ejemplo con una empresa del Ibex. La probabilidad de un ataque y el impacto en un negocio es brutal. Tiene que haber protocolos para evitarlos pero también para responderlos y mitigarlos: planificar todas las acciones cuando esto ocurre.
Este debe ser el punto de partida para empezar a mejorar el punto de madurez de la empresa. Hoy en día en la gran mayoría de las empresas, en torno al 90% y más en las pymes, sigue habiendo un bajo nivel de madurez y preparación para la seguridad.
Hay mucho trabajo que hacer. A nivel de usuario, de directivos, de trabajadores, de protocolos de acción ante un ataque. Todos recibimos ataques.
Hay que tener en cuenta los activos de la empresa. Evaluación constante de riesgos y tener planes para evitarlos y atajarlos.
Las administraciones públicas y empresas privadas tienen que tener un dolor de tripa terrible con el dineral que han perdido en forma de software, hardware, archivos, bitcoins…