Hace poco, el gigante farmacéutico Bayer reveló que estaba siendo víctima de intensos ciberataques. Los responsables podrían ser Wicked Group, un grupo de cibercriminales de origen chino. De hecho, ni siquiera había sido un incidente puntual, ya que Bayer llevaba cerca de un año controlando y monitorizando dichos ataques.
El hecho, de entrada, puede resultar sorprendente. Cuando hablamos de ciberataques, hay un tipo de empresas especialmente proclives a sufrirlos: grandes bancos, compañías de seguros, petroleras, gobiernos, instituciones públicas o, en general, organizaciones con datos de sus clientes o usuarios, ya sean hoteles, aplicaciones móviles o portales online, por poner algunos ejemplos. Así pues, ¿por qué un laboratorio farmacéutico iba a ser susceptible de un ciberataque?
La respuesta la forman dos palabras clave: espionaje industrial. En un mundo altamente tecnologizado e impregnado de innovaciones científicas, dichas innovaciones también se pueden volver objeto de robo para los ciberdelincuentes. Y en los casos de grandes empresas del ámbito científico, los productos o servicios patentados se colocan en el centro de la diana. Y eso es precisamente lo que le pasaba a Bayer.
Las consecuencias de un robo de patentes
Para una empresa de este tipo, el hecho de que un ciberataque usurpe sus productos patentados supone un grave problema, por varios motivos:
1.- Negocio. Para una empresa de producto tecnológico, las patentes pueden ser un factor importante, pero nunca esencial. Sin embargo, en una organización del sector científico una patente es el punto central de su trabajo y, por tanto, de su modelo de negocio. Un nuevo desarrollo no servirá de nada sin su patente, y una patente no servirá de nada si los ciberdelincuentes consiguen hacerse con su contenido.
2.- Competencia. Si quien ha robado la patente es un competidor, está claro que no usará esa fórmula al 100%, ya que podrá ser acusado no solo de plagio, sino también de robo. Sin embargo, el mero hecho de acceder a la patente le podrá marcar una hoja de ruta para hacer desarrollos similares, con lo que la empresa afectada verá cómo su competencia crece de manera inmediata tras años de inversión en su investigación interna.
3.- Reputación. A ninguna gran compañía le gusta ser víctima de un ciberataque o de un espionaje industrial, pero mucho menos si trabaja en un sector tan delicado como el sanitario. En este tipo de actividades la imagen de la compañía es un componente más de su negocio, y un ciberataque de esta magnitud podría incidir negativamente de manera significativa.
Cómo evitar el espionaje industrial
Proteger la ciberseguridad empresarial es un requisito obligatorio para cualquier empresa, sea cual sea su tamaño, dimensión, importancia o sector económico. Para ello han de tomarse varias medidas.
1.- Monitorización. A menudo el cibercrimen muestra su cara cuando ya es demasiado tarde para contenerlo, con lo que cualquier gran organización debe saber en todo momento qué está ocurriendo en sus entrañas informáticas. Soluciones como Panda Adaptive Defense monitorizan de manera automática y en tiempo real todos los procesos activos en el sistema de una empresa, con lo que puede prever y evitar los incidentes antes incluso de que ocurran.
2.- Control de accesos. Hay ciertos tipos de información a los que no todos los miembros de una empresa tienen por qué tener acceso. En el caso de una patente registrada, por ejemplo, solo los desarrolladores e investigadores que vayan a trabajar con dicho material deberían poder tener acceso a ella. El resto de miembros de la organización no deben tener acceso de ninguna de las maneras.
3.- Aislamiento de información. Aunque prácticamente todas las organizaciones trabajen conectadas a internet o incluso compartiendo información en la nube, hay información que debe estar lo más aislada posible. En el caso de algo delicado como una patente, siempre se debe hacer lo posible por mantenerlas en servidores aislados o, en la medida de las posibilidades, incluso sin ningún tipo de conexión a internet. Cualquier capa de seguridad adicional ayudará a mantener a los cibercriminales a raya.
Y es que, a la hora de que una empresa sea víctima del cibercrimen, hay información que puede ser delicada aunque no esencial, pero las patentes, en este tipo de compañías, son el factor a partir del cual se construye el modelo de negocio de toda la empresa, así que la protección de dichas patentes debe ser una prioridad en la estrategia de ciberseguridad empresarial.