Mientras que la seguridad informática plena resulta imposible, tres de cada cuatro empresas españolas de menos de 250 empleados afirman no tener constancia de haber sufrido ataques.
Una guerra con armas y víctimas, donde la metralla adquiere forma de bits y los disparos se efectúan a golpe de clic. Internet se ha convertido en un campo de batalla, en territorio hostil para las compañías que no se encuentren blindadas. Más allá de poder, la información constituye un suculento botín que enriquece a una industria perfectamente organizada, la del «cibercrimen».
Pesquisas personales, cifras bancarias, planes estratégicos o secretos confidenciales. Todos los datos tienen un precio, y su pérdida puede hacer temblar la estabilidad de un negocio. España es el tercer país del mundo que más ataques informáticos recibe, tras Estados Unidos y Reino Unido. En 2014, ciudadanos, empresas e infraestructuras sufrieron más de 70.000 incidentes cibernéticos. De hecho, estas ofensivas suponen una de las doce amenazas más significantes y serias para el país. Los cibercriminales, en su mayoría, buscan hacer dinero fácil y rápido. Luis Javier García Villalba, director del Grupo de Análisis, Seguridad y Sistemas (GASS) de la Universidad Complutense de Madrid, considera que no es sorprendente que España sea preferible a Etiopía, y menos jugosa que EE.UU. o Reino Unido.
Desde las grandes compañías hasta las pequeñas empresas, nadie está a salvo de sufrir una embestida. No obstante, mientras las entidades con envergadura disponen de recursos suficientes como para implantar un cerco a los hackers y protegerse, las pymes resultan más vulnerables. Los vectores de ataque parecen ir en aumento y, en la actualidad, Criptovirus y CryptoWall son los que más daño causan.
Poco concienciadas
Lejos de que el “cibercrimen” cueste ya más de 320.000 millones de euros anuales en todo el mundo, los empresarios españoles no están concienciados como debieran. Y es que la gestión de la seguridad basada en poco más que el cumplimiento normativo no es suficiente. La mayoría de las compañías carece del personal o de los sistemas necesarios para hacer una buena gestión de estas herramientas y monitorizar las redes de manera constante, detectar amenazas y establecer protecciones en tiempo y de forma efectiva. Por lo tanto, se requiere un perfil de profesionales capaces de analizar los datos con mayor exhaustividad. Es decir, especialistas en análisis. De este tipo de profesionales hay un gran déficit. Cisco estima que, en la actualidad, faltan más de un millón a escala global. “La mejor forma de protegerse consiste en recurrir a empresas especializadas con la capacidad de llevar a cabo ese análisis basado en la inteligencia de red antes, durante y después de los ataques”, resalta Fernández.
Del último Informe Anual de Seguridad de Cisco se desprende que durante 2014 los cibercriminales han mejorado aún más su capacidad para aprovechar los agujeros de seguridad, burlar las defensas corporativas y ocultar su actividad maliciosa. El spam y los ataques de malvertising (inserción de código malicioso en publicidad) han crecido un 250%. Asimismo, el foco ha cambiado. Se comprometen los servidores y los sistemas operativos, pero también se aprovechan las vulnerabilidades de los usuarios en entornos de navegador y correo electrónico. Eutimio Fernández, director de Seguridad en Cisco España, asegura que aunque se desconozca el porcentaje real de compañías que reciben ataques informáticos, “el 100% está expuesta a malware. Una seguridad plena es imposible”.
El malware avanzado permanece en las empresas entre 3 y 6 meses, mientras que el tiempo que necesitan los atacantes para robar la información deseada es de sólo unas horas. Así, Fernández insta a tener la visibilidad y trazabilidad necesarias para conocer la brecha y limpiarla en un tiempo aceptable, precisamente “porque la experiencia indica que el que realmente quiere, va a entrar”.
Tres de cada cuatro empresas españolas de menos de 250 empleados y con conexión a Internet afirman no tener constancia de haber padecido incidentes de seguridad, según un estudio del Instituto Nacional de Tecnologías de la Comunicación (INTECO). Sin embargo, un gran porcentaje de ataques pasa desapercibido. El informe también desvela que las pymes dotadas con personal de seguridad especializado son las que detectan mayor número de incidencias (46,4%). La detección es menor si la plantilla no es experta (29,6%). Fernández aconseja dejar la seguridad TI (Tecnologías de la Información) en manos de profesionales con recursos internos o externalizando el servicio.
El nuevo modelo debe proporcionar una mayor visibilidad de las amenazas y de los vectores de ataque, centrarse en el análisis continuo para protegerse antes, durante y después de los ataques, ya que el malware (virus, gusanos, troyanos, spyware, adware…) puede permanecer en las redes durante largo tiempo. Por otra parte, tiene que ser capaz de aplicar inteligencia global en tiempo real y respuestas automatizadas, así como reducir la complejidad generada por la adopción de múltiples soluciones puntuales. En este sentido, “la evolución a servicios basados en la nube permite a las pymes mejorar su seguridad, al ser más robusta que la que una empresa pueda aplicar y gestionar sin tener recursos”, apostilla el director de Seguridad en Cisco España.
Mientras que algunos expertos sostienen que las pérdidas para las pequeñas empresas ascienden a alrededor de un 5% de sus ingresos anuales, otros destacan que pueden perderlo todo. El director del GASS resalta que las pymes se pueden ver obligadas a cerrar completamente y declararse en quiebra. “No hay límites superiores. También es posible hacer ataques de identity theft (robo de identidad) para pedir préstamos a nombre de sus directores y endeudarla, y volverla inoperativa en un escenario poco común, pero posible”, apostilla.
Los agujeros de seguridad y las infecciones por malware conllevan distintas consecuencias sobre las pymes, tanto en su operativa como en su imagen. Fernández explica que la más grave sería la paralización del negocio producida por el mal funcionamiento de los sistemas informáticos o por la apropiación indebida de datos corporativos críticos. Según la Alianza para la CiberSeguridad Nacional de Estados Unidos, el 60% de las pymes se muestra incapaz de mantener su negocio en los seis meses posteriores a haber sufrido un ataque que implique la pérdida de datos corporativos. Al mismo tiempo, el Centro de Estudios Internacionales y Estratégicos señala que cada año se pierden 100.000 millones de dólares y más de 500.000 empleos sólo en EE.UU. como consecuencia de la actividad maliciosa online. Más allá de la interrupción o paralización de sus actividades, las consecuencias van desde la pérdida de tiempo y productividad hasta la fuga de los clientes.
La joya de la corona o el tesoro más preciado. ¿Cuál es la información más valiosa que un “ciberdelincuente” puede sustraer de una empresa? Hoy en día, el ransomware apuesta por cifrar sus bases de datos (clientes, proveedores o empleados), y todos los demás ficheros relevantes, y solicitar el pago de un rescate para volver a recuperarlos. “A juzgar por su éxito, parece que han acertado. En empresas mayores o tecnológicas, el robo de patentes, de knowhow tecnológico o comercial puede ser desastroso”, advierte García. Y recomienda invertir más en seguridad informática, incluyendo formación específica para todos los empleados, particularmente contra phishing y amenazas similares.
Empleados en el punto de mira
A menudo, los trabajadores se convierten en la puerta de entrada de los ciberdelincuentes a las empresas. Constituyen el eslabón más débil de la cadena y los atacantes lo saben. Según un reciente estudio de Cisco, el 39% de los trabajadores españoles espera que los mecanismos de seguridad implementados por su empresa les protejan frente a cualquier riesgo, mientras el 45% cree que mantener a salvo los datos personales y corporativos es también su responsabilidad.
Fernández revela que esa actitud constituye una creciente fuente de riesgos que se debe más a la falta de conciencia y al desconocimiento que a la malevolencia. Además, el 27% considera que la seguridad TI dificulta su trabajo, y algunos deciden saltarse las políticas corporativas de seguridad. “Si a esto le sumamos que a escala global sólo el 40% de las compañías aplica el parcheo y la configuración para evitar las brechas de seguridad y garantizar que se están utilizando las últimas versiones de sistemas y aplicaciones, nos encontramos con un panorama complicado”, apostilla el director de Seguridad en Cisco España.
Foto: greyweed