Entradas

ciberseguridad

7 pasos para ponerte a salvo de un ciberataque

La vulnerabilidad digital

El ciberataque del pasado viernes contra miles de empresas de todo el mundo ha vuelto a poner el foco en la vulnerabilidad digital. Telefónica y más de un centenar de multinacionales del mundo han sufrido una extorsión que no les suena raro a muchas pymes españolas. El cibercrimen se está expandiendo como la espuma en los últimos años. A pesar de no estar rodeado de tanta expectación mediática como el ataque de la semana pasada, lo cierto es que estos secuestros de datos a cambio de dinero, extorsiones y robo de información son cada vez más habituales entre los más vulnerables. Las pequeñas compañías. En 2016, el 32% de las pymes españolas sufrió un ciberataque, según el International Business Report de Grant Thornton.

Estar prevenidos

Si la suya no es una de esas compañías, la pregunta que debe hacerse, según los expertos, es: ¿cuándo me va a tocar a mí? Resignados a lo que parece inevitable, el esfuerzo debe concentrarse en tratar de minimizar los daños de cualquier intento de abordaje informático hostil.

Por supuesto, decirlo es mucho más fácil que aplicarlo. El viernes que se produjo el ya famoso ataque de ransomware, Microsoft no tardó informar que el virus estaba atacando a una debilidad de su software e informaba de que el parche para “tapar” esa debilidad estaba disponible. Esto que para Chema Alonso, el famoso hacker contratado por Telefónica, pudo ser clave para frenar el ataque.  Pero seguro que esas indicaciones sonaban a chino en muchas pymes en las que el informático suele ser un colega del jefe que de vez en cuando se pasa por la empresa para “dar un repaso a los ordenadores”.

Dando por sentado que, aunque no debería ser así, la informática y la ciberseguridad no son las prioridades de muchas pymes, hay una serie de recomendaciones que hay que tener siempre muy presentes para guardar a buen recaudo la información más importante de la compañía.

Recomendaciones para evitar un ciberataque

1.- Ordenadores con antivirus. Sí, parece de Perogrullo, pero ocurre en más pymes de las que sería deseable: hay ordenadores con el antivirus sin actualizar. Eso que parece un descuido sin demasiada importancia es vital como primer muro de contención contra los continuados ataques informáticos que arrecian cada año. Más de 105.000 contra las pymes durante 2016, según los datos de Instituto Nacional de Cibersguridad (Incibe). Eso sí, tampoco hay que pasarse e instalar 10 como hacen algunas empresas. Con uno bueno es suficiente.

2.- Contraseñas cuidadas. Otro básico como el anterior. Increíble pero cierto, todavía hay contraseñas en el mundo empresarial, del tipo abc, o 1234. Que la pereza por pensar un poquito y utilizar alguna que otra neurona para la memoria no consigan ponérselo tan fácil a los hackers. Aquí sí, cuanto más rebuscada mejor, hasta que se generalicen los accesos vía lectura del iris del usuario o a través de la huella dactilar que ya usan algunas entidades financieras.

3.- Copias de seguridad guardadas en el cajón de la abuela. Aunque los términos puedan parecer contradictorios es la mejor de las decisiones. Hay que hacer copias de seguridad de manera periódica. No solo una, sino varias. Y de todas ellas, una debe ir a un lugar totalmente desconectado de internet. Esa será la tabla de salvación más segura para recuperar toda la información tras un posible ataque.

4.- Apostar por la nube. En este blog ya hemos hablado en muchas ocasiones de los beneficios de la nube para las pymes. Sin olvidar el consejo anterior. Alojar los archivos clave de una compañía en la nube, cada día se plantea como un requisito más imprescindible. Cualquier proveedor de alojamiento en la nube tiene sistemas e informáticos más capacitados para velar por la seguridad de los datos que albergan. Más que nada porque esa y no otra es la base de su negocio.

5.- Actualizar y actualizar y volver a actualizar. “Hay una nueva actualización disponible”. Quién no se han encontrado esta frase al abrir el ordenador y ha dicho. “Uff ahora no tengo tiempo”. Pues aunque suene repetitivo, cada vez que un proveedor de software envía este tipo de actualizaciones lo hace para “parchear” alguna fisura en la seguridad de los programas que suministra. No parase a actualizar significa dejar un poco más abierta la puerta a los ciberdelincuentes.

6.- Formación y concienciación de los empleados. No, no hay que estudiarse un tratado de informática. Solo aplicar el sentido común. El buzón del correo electrónico hay que gestionarlo de la misma forma que se gestionan las relaciones personales. Y todos los directivos y empleados de la empresa deben tener esto muy claro. El Instituto Nacional de Ciberseguridad Español (Incibe) asegura que el mayor riesgo de las empresas no está en los ataques externos, sino en las prácticas de riesgo de los propios empleados.

Estos deben saber que hay que ser tan precavidos en sus comportamientos virtuales como en la vida off line. Es la manera más segura de actuar. Por ejemplo, imagine que se encuentra a alguien en el metro y le dice, ¿me podrías dar tu email y te envío cositas? ¿Cómo reaccionaría? Probablemente espantado. De la misma manera hay que actuar cuando un desconocido en Internet o en redes sociales solita información personal.  Hay que huir de mails de desconocidos y mucho menos si en ellos te invitan a pinchar en algún link. Por supuesto, ni que decir tiene si la información que solicita es algún dato personal como: emails, contraseñas, números de cuenta.

7.-Redes sociales. Se han convertido en una herramienta clave para las estrategias de marketing de las pymes. Pero también son un peligro de alto voltaje para la seguridad digital. Es el lugar donde es más natural interactuar con desconocidos que pueden tratar de colocar algún tipo de virus en las empresas a las que, por ejemplo, quieran robar datos. Aunque el principal problema al que se enfrentan las empresas en las redes sociales es la suplantación de identidad y los perfiles falsos que pueden dañar su imagen y los equipos de sus clientes.

Protocolos contra un ciberataque

Además de estos consejos básicos, todas las empresas deberían actualizar sus protocolos de seguridad y atender a la formación especializada que el Incibe está impartiendo para las pymes. Tampoco está de más repasar su Kit básico de concienciación.

hacking_etico

El hacking ético, un modelo de ciberseguridad cada vez más habitual

Hoy en día prácticamente todas las empresas, ya sean grandes, medianas o pequeñas, tienen un nexo de unión con las nuevas tecnologías y el entorno digital. Un medio que ofrece infinidad de ventajas pero que también abre puertas a nuevos riesgos, como los ciberataques: caída de sistemas, robos de bases de datos, desaparición de secretos industriales…

Los ciberataques

A cierre de 2015, España era el tercer país del mundo donde más ciberataques se registraban, unos 70.000 incidentes según el Ministerio de Asuntos Exteriores. Por eso, parece que no es baladí invertir recursos en la protección de los equipos informáticos que guardan en su interior datos sensibles de la compañía. Mucho más si ésta se mueve a nivel internacional, algo cada vez más frecuente. Y se traslada tanto en softwares eficaces contra las infecciones como en profesionales especializados en la materia.

Este último caso, mucho menos económico pero más efectivo, está recomendado para aquellas corporaciones cuya supervivencia depende del correcto funcionamiento de sus sistemas o de la información que guarda en ellos: servidores, servicios en la nube, patentes, propiedad intelectual e industrial o bases de datos son sólo algunos ejemplos.

El equipo

No se trata sólo de contar con un buen equipo de especialistas informáticos que ponga sus esfuerzos en gestionar de forma óptima las distintas redes de una compañía. También existen profesionales centrados en la ciberseguridad capaces de descubrir los ‘puntos flacos’ de los sistemas y de trazar un plan que tape esos agujeros que ponen en peligro a nuestra empresa.

Se trata de los llamados hackers de sombrero blanco o hackers éticos, que ya están muy presentes en aquellos sectores críticos para mantener los servicios básicos de nuestro día a día: luz, agua, telecomunicaciones, banca, transportes. Éstos realizan pruebas en sus propios ciberespacios para detectar vulnerabilidades y poder corregirlas antes de que ocurra un ciberataque. De esta manera se combate al ciberdelincuente con sus mismas armas.

¿A quién se debe recurrir?

El empresario debe ser muy consciente de que el hacker al que vaya a contratar tendrá acceso a todo tipo de información confidencial para poder evitar ciberataques, así que se recomienda tener plena confianza en el profesional o en la empresa proveedora de servicios. También sería pertinente formalizar un contrato con todo tipo de cláusulas que penalicen con dureza al experto informático si filtra o emplea para su beneficio propio datos de la compañía.

La mayoría de los especialistas en la materia aseguran que, a la hora de decantarse por uno de estos hackers, es mejor elegir a alguno que trabaje para reconocidas compañías de seguridad informática. O que, al menos, cuenten con las certificaciones pertinentes, emitidas por entidades de sobrada reputación. Cualquier precaución es poca cuando se trata de la seguridad de nuestro negocio.

¿Cómo pueden ayudarnos frente a ciberataques?

La pericia de estos profesionales puede salvarnos no sólo de pérdidas de información que repercutan en nuestra cuenta de resultados. También nos evitará una caída de reputación, denuncias y falta de credibilidad por no haber evitado la filtración de, por ejemplo, datos sensibles de clientes.

Y para muestra, un botón: ¿recuerdan aquella plataforma web que invitaba a cometer infidelidades de manera premeditada y con todo tipo de garantías de seguridad y privacidad para mantener al usuario en el anonimato? Pues hace unos meses sus sistemas sufrieron un ciberataque. Se filtraron los datos de todos sus clientes y ahora éstos sufren la extorsión de determinadas mafias, que amenazan con desvelar sus secretos. Por supuesto, la compañía tuvo que cerrar.

Quizás sea éste un caso muy extremo en ciberataques, algo oscuro, pero no hay que olvidar qué tipo de datos guardan ciertas compañías sanitarias, farmacéuticas o de investigación de salud humana. Muy sensibles, relacionados con ensayos de nuevos fármacos, en los que los resultados de los pacientes deberían ser sólo números anónimos. ¿Cómo afectaría un ciberataque a una corporación de este calado? O a las empresas editoriales, discográficas, cinematográficas, ¿qué repercusiones tendrían si un hacker entrase en sus sistemas y robase gigas y gigas de propiedad intelectual?

Son sólo ‘pequeños’ ejemplos en un océano de casos. Hoy por hoy, prácticamente todas las empresas están en internet, y es importante saber protegerse para poder seguir adelante con el negocio.

malware

Cuatro motivos tontos por los que su pyme puede ser objetivo del cibercrimen

Lunes por la mañana. Como cada día Juan (nombre ficticio) introduce su contraseña en el ordenador para comenzar la jornada. Algo va mal. La clave no funciona y el error es generalizado en todos los ordenadores de su pequeña gestoría. Unos segundos después un mensaje aparece en su pantalla.

“Sus archivos están encriptados”. Para obtener la clave para descifrar los archivos tiene que pagar 3.000 dólares en menos de 24 horas. Si no lo hace, el precio subirá a 5.000. Si no ha pagado, en una semana todos los archivos de su empresa quedarán destruidos para siempre.

Seguro que más de un cinéfilo encontrará en esta escena similitudes con alguna película de ciencia ficción de los años ochenta del siglo pasado. Pero, en pleno siglo XXI, ésta es una terrorífica realidad para muchas pymes.

Se trata de un caso de los llamados ataques de ransomware  o cibersecuestros. Hackers que se cuelan en cualquier pyme a través de ficheros infectados distribuidos en los emails. Porque,  aunque alguno le cueste creerlo, no hace falta ser una entidad financiera, una emisora de tarjetas de crédito o una multinacional de la informática para ser objetivo del cibercrimen.

Robos de información, extorsiones, suplantación de identidades… y todo tipo de versiones de malware informático avanzan en progresión aritmética a media que transcurre el siglo XXI. Las empresas están cada vez más conectadas, más expuestas a la red, y eso las hace más vulnerables. Los datos que manejan los expertos abruman. Solo en un día se pueden registrar en España 162.000 páginas web con algún tipo de virus malicioso o malware. El Instituto Nacional de Ciberseguridad registró en 2014, unos 17.000 incidentes conflictivos, en lo que va de 2015 ya han superado esta cifra.

Evitar convertirse en destinatario de alguno de estos terroríficos mails no es tarea fácil. Las grandes empresas destinan cientos de millones a esta protección y ni siquiera evitan los ataques. En este mundo, los malos siempre van por delante, pero eso no quiere decir que haya que quedarse parados.

Desde este blog hemos recomendado invertir en ciberseguridad, pero en muchas ocasiones la prevención es mucho más efectiva que la lucha.

1.-Por ejemplo, ¿sabe que el principal motivo para ser víctima de un ciberataque es tener ordenadores obsoletos? En muchas empresas se tiene la idea de que la inversión en  herramientas tecnológicas debe tener una amortización máxima. Esto se traduce en que los ordenadores no se cambian hasta que no andan con bastón o se rompan.  Error. Los equipos y programas informáticos antiguos tienen menores actualizaciones por parte de los desarrolladores. Es decir, dejan el camino más fácil al los hackers.

2.- Nada es gratis. Esta es otra de las máximas que deberían recordar todos los pequeños empresarios. Optar por un software o una aplicación gratuita para ahorrarse unos euros puede resultar muy costoso a la larga. Desde las grandes consultoras, los expertos en ciberseguridad advierten de que muchos de estos programas contienen peligrosas fórmulas de compartir datos con otras aplicaciones.

3.- Fiarse en exceso de los proveedores.  No es extraño que una pyme comparta claves de acceso a sus servidores con determinados proveedores. El criterio habitual para hacerlo es la confianza personal que se tiene con ellos, pero no se repara en que una vulnerabilidad del sistema informático del proveedor puede ser la vía de contagio. Exigir unos mínimos de seguridad informática a los proveedores debería ser tan primordial como exigirles una factura a cambio de sus servicios.

4.- Falta generalizada de concienciación del riesgo. Ésta es según apuntan los expertos en la materia, la principal causa de contagio. Las pymes consideran que ellas no son objetivos de los cibercriminales. No se piensa en ello. No hay protocolos de gestión de mails no identificados, las claves de seguridad son débiles y socializables, es decir, que todo el mundo las conoce. Solo si todo el mundo tiene presente que el riesgo está a la vuelta de la esquina podrá esquivarlo.