A día de hoy ninguna empresa, ya sea grande o pequeña, está protegida al cien por cien de un ciberataque. Bajo está premisa, La Tribuna ha reunido a un grupo de expertos de diferentes sectores con el fin de analizar por dónde entran y qué se puede hacer para acotar este riesgo, sobre todo en el ámbito de las pymes. Todos coinciden en que el llamado factor humano es la puerta de entrada de muchos de estos ataques. Y es que, el simple gesto de abrir un correo electrónico puede estar poniendo en manos de los malos toda la contabilidad de la empresa y los datos de sus clientes.
Borja Paternina, responsable de Producto Ciber del BBVA, es claro: «ya no hay que pensar en qué hago si me atacan, ese condicionante ya no existe, lo que hay que hacer es pensar en qué voy a hacer cuando me ataquen, porque lo van a hacer seguro». Como explica, «el 80% de los siniestros se generar por un error humano y no ha sistema de seguridad que lo pueda impedir». Además, «son ataques son ciegos, se lanzan cientos de millones de documentos con virus que pueden llegar a cualquiera».
Sin olvidar que otro factor de riesgo es, precisamente, el falso sentimiento de seguridad de muchas pequeñas empresas. Óscar Hidalgo, de la Federación de Empresarios de Toledo, advierte sobre ello. Como señala, «siempre se han asociado los ataques informáticos con las grandes empresas, pero no es cierto, estamos viendo que todos los días muchos de nuestros empresarios están sufriendo ataques». «Recibimos muchos correos que no abrimos y eliminamos por defecto, y no somos consciente de que estamos sufriendo un ataque en es momento».
Este tipo de ataque recibe el nombre técnico de ramsomware y es «el más común en las pymes», según informa Hugo Gómez, experto en ciberseguridad de Quantum. «Por norma general entra a través del correo, encripta todos los documentos sensibles y pide un rescate. No hay seguridad que proteja contra esto, entra por un error humano».
Porque ya hay que desterrar la idea de ciberataque que venden las películas, con un hacker en su casa decidiendo dónde y cuándo actuar. «Son robots que atacan miles de sitios por segundo y su porcentaje de éxito es muy alto», apunta Gómez.
Y tampoco hay que asociar ya estos correos infectados con los que se veían hace unos años: con faltas de ortografía garrafales y logotipos falsos. Como insiste Borja Paternina, «en muchos casos te están siguiendo física y tecnológicamente y aprovechan que el empresario se va de viaje para mandar un correo a un subalterno y pedirle que haga una transferencia en su nombre».
«Los mensajes son brutales, saben con que empresa de mensajería estás funcionando y te mandan un correo hasta con tu número de pedido» y «no ha seguridad que te proteja de esto», es «un error humano», añade Hugo Gómez.
«Son empresas, en el mal sentido de la palabra. Este es un sector, que, lamentablemente, se ha profesionalizado mucho», asegura Nicolás Sobrino, responsable de Information Security Awareness del BBVA. Y aquí incide en un hecho, que es que el mayor factor de riesgo pesa hoy sobre las pymes. «Todos somos objeto de un ataque pero, en el ámbito empresarial, hacerlo a una pyme es un poquito más sencillo».
En este sentido, pone sobre la mesa otro tema de debate: la concienciación. «Todos tenemos que poner de nuestra parte porque todos constituimos la defensa tanto de nuestra empresa como de nuestra casa. Con una serie de comportamientos y buenas prácticas, podemos ayudar a mitigar muchos de los riesgos a los que estamos expuestos».
Por ejemplo, «estadísticamente está comprobado que no todas las pymes pagan sus licencias», corrobora Borja Paternina. «¿Qué consecuencias tiene esto?», se pregunta, «pues que las licencias que no se pagan no se actualizan» y, sin darte cuenta, «vas dejando brechas» en tu defensa.
Otro error muy común sería hacer backups -copias de seguridad- y dejarlos en la red de la empresa, por lo que se irán con el resto de la información en caso de ataque. «Y también hemos visto casos donde no se prueba estos backups sean correctos».
Sin olvidar tampoco básicos como no conectarse a wiffi públicas «más allá de para leer el periódico», proteger con antivirus los equipos periféricos, cambiar los códigos de fábrica de routers e impresoras wiffi, implantar contraseñas robustas y «que no sea la misma para 20 servicios distintos», o «no aceptar nunca un USB», abunda Nicolás Sobrino.
En este sentido el experto de seguridad de BBVAhabla de tres líneas básicas de defensa. La primera de ellas sería la llamada «barrera técnica», que no es otra cosa que «tener una infraestructura preparada, al día en actualizaciones, filtros, antivirus... y contar con proveedores de servicios más o menos contrastados». «Muchas veces buscando el ahorro se contrata a proveedores de dudosa reputación y por ahí te vienen los problemas».
La segunda línea de defensa serían las personas, «concienciar a la gente en buenos hábitos de seguridad». Y no sólo a los trabajadores de la empresa en sí, sino también a todos los que de una forma u otra tienen acceso a la red. Porque «de nada sirve tener concienciada a tu empresa, si tus clientes y proveedores no están alineados contigo». Como alerta Hugo Gómez, «puedes invertir mucho en seguridad y tener en manos de un proveedor un dispositivo que, por equis motivo, no esté controlado y que el ataque te entre por ahí».
Y la tercera línea de defensa sería contar un seguro ciber «que te pueda cubrir los posibles daños» en caso de ataque, concluye Sobrino.
Por su parte, Hugo Gómez apuesta también por hacer, lo primero de todo, una consultoría que te diga «cómo está tu empresa, sus puntos críticos», con especial atención al factor humano.
Como conclusión, los expertos insisten en no bajar la guardia nunca. Como recalca Nicolás Sobrino, «ya no hay un Castilla-La Mancha o un Madrid, estamos en un mundo completamente interconectado y es un todos contra todos». Además, en los países más evolucionados ya se está viendo una evolución hacia los «ataques por encargo», concluye Paternina. «Con muy poco dinero, puedes atacar el software de tu competidor y paralizarle una entrega». Se verá.