Pensemos en la tecnología que nos rodea y en todos los aparatos que están conectados a Internet. Pero ¿lo hacen de una forma segura? Tal y como apunta el informe de la Sociedad Digital en España 2019, publicado en mayo de 2020, el 86,2% de las empresas andaluzas disponen de acceso fijo a Internet. Pero cuando hacemos un recorrido por la ciberseguridad de las empresas los datos se van al otro extremo.

Tres de cada diez responsables de informáticas de las PYMEs nacionales confiesan no conocer el concepto de ciberseguridad. Esto queda reflejado en el estudio del Panorama actual de la Ciberseguridad, realizado por The Cocktail Analysis para Google y publicado en 2019. Este mismo informe señala que el 67% de las PYMEs encuestadas no dispone de un protocolo específico ni de normas sobre medidas de seguridad.

Para encontrar el camino que conduzca a un plano digital más seguro, el primer paso es la concienciación. Distintas entidades del sector ponen a disposición pública canales de divulgación en ciberseguridad, como el INCIBE –Instituto Nacional de Ciberseguridad– y su canal de Telegram para la concienciación entre empresas. También encontramos perfiles como el de Belén Delgado, experta en ciberseguridad con un recorrido internacional, que actualmente trabaja como formadora, speaker y consultora para empresas, universidades e instituciones españolas.

 

 

Retos y desafíos para una empresa cibersegura

Para saber si estamos tomando las decisiones más seguras en nuestro día a día digital os planteamos una serie de retos. Elegid sabiamente vuestra respuesta para ayudar a Julia, una joven emprendedora que ha decidido dar un paso al frente y poner en pie su pequeña empresa.

¿Cuál es el primer paso para trabajar la ciberseguridad?

Lo más indicado no es instalar a lo loco, sino hacer una valoración general de las necesidades.
Lo ideal es hacer un análisis de riesgos para ver las posibles amenazas, y uno técnico para establecer qué medidas hay que tomar.

Belén Delgado nos asesora con las claves y matiza: «También es necesario asignar responsabilidades y roles en caso de que haya un ciberataque». Es importante que la ciberseguridad de la empresa siga un plan estratégico para no dejar las cosas al azar. De cara a los posibles riesgos hay que estar preparados para poder intervenir rápidamente y que todo esté lo más controlado posible, pues una respuesta rápida ante los incidentes es fundamental.

Con el análisis técnico, por otra parte, se valoran las mejores opciones: contratar un antivirus, copias de seguridad de la información, activar cortafuegos, gestor de contraseñas, etc.).

Una de las medidas de seguridad más básicas que podemos encontrar para las cuentas de correo electrónico pasa por la verificación en dos pasos. De esta forma, añadimos el número de teléfono a la cuenta para acceder a ella a través de un código enviado al móvil. Julia no está muy convencida: le parece una pérdida de tiempo. ¿Quién iba a estar interesado en sus cuentas de correo? Como ella, el 99,8% del tejido empresarial español no se considera un objetivo atractivo para un ciberataque, según apunta el estudio de Google.

¿Debería utilizar la verificación en dos pasos?

Es una capa más de seguridad y, además, Julia será notificada cuando intenten acceder a su cuenta y podrá ponerle remedio en el momento
Cuantas más capas incluya, más difícil será que se produzca un ataque. Además, con la notificación sí que podrá intervenir en el momento del hackeo para evitarlo.

El 99,8% del tejido empresarial español no se considera un objetivo atractivo para un ciberataque. Clic para tuitear

Cada vez que se haga un registro en un dispositivo diferente o en un lugar desconocido, llegarán los códigos al teléfono móvil. «Esto puede aplicarse tanto para nuestras cuentas de correo electrónico como para nuestras redes sociales o servicios de mensajería. No existe el riesgo cero de ser atacados, pero cuantas más capas de seguridad tengamos, más difícil será que se produzca un ataque. Podemos incluso frenar un intento de hackeo», cuenta Belén. El cibercriminal tendría que llevar a cabo un doble hackeo pues tendría que acceder también al teléfono móvil o recurrir a otras técnicas más avanzadas.

Sin este sistema es más fácil que se acabe sufriendo algún ataque. Uno de los más frecuentes en redes sociales es el de la suplantación de identidad. Este canal es fundamental para Julia y su negocio, al igual que lo es para muchas empresas.

¿Cómo actuar en caso de suplantación de identidad en redes sociales?

Si no avisa a sus seguidores, estos podrían interactuar con el ciberdelincuente y acabar perjudicados.
Tiene que tomar todas las medidas de seguridad necesarias y, una de ellas, es alertar a sus seguidores para que no interactúen con las publicaciones de la cuenta hackeada.

«La suplantación de identidad puede llegar a ser un caso complejo, dependiendo de la gravedad del ataque», comenta Belén. Con su experiencia trabajando en la ciberseguridad de redes sociales como LinkedIn, Belén recomienda denunciar en primer lugar ante la red social suplantada, aportando todos los datos y bloqueando la cuenta suplantada.

«Las redes sociales cuentan con mecanismos internos de ciberprotección e invierten en tecnología constantemente, como inteligencia artificial y herramientas para evitar los problemas o resolverlos rápidamente en caso de producirse.» — Belén Delgado.

Es necesario que en caso de ataque se prevenga a los seguidores de la cuenta, pues se corre el riesgo de que intenten engañarlos mandando mensajes que dañen la reputación digital de Julia, o cualquiera que haya sufrido el ciberataque. Mediante este hackeo, el ciberdelincuente podría también estafar a los usuarios con un ataque de phishing. Este es otro de los ataques frecuentes que pueden encontrarse en la red. Aquí Julia podría verse afectada si no se hubiera documentado antes en materia de ciberseguridad. El phishing es, básicamente, una estafa asociada a la suplantación de identidad. Los ciberdelincuentes se hacen pasar por una identidad con la que trabajas habitualmente y te piden que rellenes formularios con tus datos personales, por ejemplo, para utilizarlos en su beneficio.

¿Cómo gestionar un caso de phishing?

No hay garantías de poder sanear el daño ocasionado por el ciberataque, por eso es fundamental la concienciación de los riesgos de ciberseguridad y medidas que se deben tomar adicionales, así como la formación preventiva.
Aunque sí que hay que poner el caso a disposición de las autoridades, no hay garantías de solucionar el daño ocasionado. Por eso es fundamental la fase de prevención de los ataques.

Es fundamental contar con unas redes sociales seguras y no esperar a sufrir ciberataques para actuar. La propia Belén Delgado lo explica en su cuenta de Twitter:

Todo suma para construir el camino hacia la ciberseguridad. Sin embargo, en muchas ocasiones, tanto los ciudadanos como los emprendedores o las PYMEs aprenden sobre ciberseguridad a partir de haber sufrido un ciberataque. Julia está en la misma situación y un ransomware tiene bloqueada su producción. Este malware, también conocido como secuestro de información, se trata de uno de los ataques más extendidos y solo en 2018 el número de afectados superaba los mil millones en todo el mundo. Para recuperar su información, los ciberdelincuentes piden un rescate a Julia.

¿Qué hacer en caso de ransomware?

Nunca hay que pagar porque no hay garantías de que le devuelvan la información, además de que sentaría precedentes.
No hay que ceder a los chantajes de los ciberdelincuentes. Hay que intentar ponerle solución con empresas dedicadas a la ciberseguridad.

Uno de los pilares sobre los que construir la ciberseguridad pasa por estar informado y en constante aprendizaje para mantenerse al día de los peligros y de cómo se producen. Tal y como cuenta Belén:

«Solamente hace falta un click para que este secuestro de datos suceda. Se debe formar para identificar posibles riesgos y hacer las copias de seguridad necesarias para proteger su información».

Esto, sumado a las medidas específicas de seguridad, ayudan a prevenir un ataque que no tiene vuelta atrás en la mayoría de ocasiones. Por otra parte, los Cuerpos y Fuerzas de Seguridad internacionales –entre los que se encuentran la Policía Nacional y la Guardia Civil– ponen a disposición de los ciudadanos la plataforma No More Ransom, en la que se publica la contraseña de aquellos ransomware que han sido interceptados.

Siempre ha sido necesario tener presente la ciberseguridad y trabajar por estar expuestos a los menores riesgos posibles, pero en la actualidad ha cobrado mayor relevancia. Como consecuencia de la crisis sanitaria actual, el teletrabajo está a la orden del día y Julia no es una excepción.

¿Cómo afrontar el teletrabajo con seguridad?

Además de tomar medidas en ciberseguridad, no hay que bajar la guardia y utilizar los mismos dispositivos para temas personales y laborales.
Podemos encontrar incluso más ya que las empresas suelen incorporar mejores medidas en ciberseguridad de las que tenemos en el WiFi doméstico.

En su blog, Belén Delgado dedica una extensa entrada a tratar el teletrabajo y la necesidad de concienciación:

«Hay una clara necesidad de integrar la importancia de la ciberseguridad como parte de la cultura empresarial. Lo cual se debe hacer a través de la formación continua de los empleados con campañas de concienciación».

 

Belén Delgado enseña que una de las claves en ciberseguridad es estar informado y concienciado

 

Tal y como nos cuenta Belén, se busca apostar por la ciberseguridad con el Plan España Digital 20-25, con el que se busca convertir a España en unos de los referentes de la materia a nivel internacional. Este planteamiento pasa también por la implantación de un centro de Operaciones de Ciberseguridad. «Hay unos tres millones de empresas que no tienen las medidas de seguridad necesarias para evitar ser hackeadas».

A lo largo de los diferentes retos hemos ido viendo cómo estar informado es crucial para estar prevenido ante los ataques. A su vez, la prevención es la clave, pues una vez producido el ataque no siempre hay solución posible. Por otra parte, «la ciberseguridad no debe verse tan solo como una obligación sino como un valor añadido para que nuestras empresas generen confianza y sean más competitivas», señala Belén.