Opinión|04/08/2016
Luis Corrons, Director Técnico de PandaLabs
Cómo estar a salvo de los Ciberriesgos
La motivación del 99,99% de los ataques que las empresas sufren hoy en día tienen motivaciones económicas: extorsión, robo de propiedad intelectual… Las bandas de delincuentes organizadas que se encuentran detrás de la mayoría de ataques mueven más dinero que las compañías dedicadas a la protección de empresas y usuarios.
Vemos que día tras día aparecen noticias de empresas que han sufrido algún ataque o brecha de seguridad a través del que han sufrido numerosas pérdidas, con la sensación de que no hay nada que se pueda hacer. Pero, ¿es esto cierto? ¿no podemos hacer nada para protegernos?
No existe la seguridad perfecta y cualquiera que proclame esto está simplemente mintiendo. Sin embargo, sí que se pueden tomar medidas para minimizar los riesgos. Si analizamos las vías de entrada de los atacantes, podemos ver dos estrategias que se repiten constantemente: técnicas de ingeniería social, mediante las que engañan a los usuarios para que sean ellos mismos quienes comprometan la seguridad de la empresa, y la utilización de agujeros de seguridad para conseguir entrar en la red de forma silenciosa.
Respecto a las técnicas de ingeniería social, en la mayor parte de los casos todo se inicia por un correo electrónico. Muchas de las defensas que tenemos instaladas en nuestros sistemas no reaccionarán, ya que aparentemente estamos ante un mensaje inofensivo. Recientemente hemos visto varias oleadas de ataques en España donde los atacantes se hacen pasar por Endesa. En el mensaje no hay ningún fichero adjunto, sólo viene información de una supuesta factura y en el mismo correo electrónico nos facilitan un enlace a una página web por si queremos ver el detalle de dicha factura. Si vamos a la página parece que realmente estamos en la web de Endesa y allí nos darán la opción de descargar el detalle de la factura. Si descargamos el fichero y lo ejecutamos nuestro equipo se habrá visto comprometido y el malware cifrará todos nuestros documentos, que sólo podrán ser recuperados si pagamos el rescate reclamado.
Si bien estos ataques están muy bien urdidos y pueden engañar a muchos usuarios, solo es necesaria un poco de formación donde se enseña a los empleados ejemplos de ataques reales que se pueden evitar en su mayoría. Hace unos años el CERT de Japón realizó un ejercicio con varias empresas del sector privado donde demostró lo sencillo y efectivo que era un poco de formación para mejorar mucho la protección de la empresa. En primer lugar lanzó un ataque simulado a través de correo electrónico a empleados de las empresas participantes en el ensayo y se vio que el porcentaje de usuarios que fueron engañados y llegaron a pinchar el enlace que se incluía en el mensaje era muy alto.
Tras este ejercicio, el CERT japonés fue a cada una de las empresas y habló con los empleados, enseñando el ataque que habían lanzado y cómo habían podido engañar a la mayoría comprometiendo así la seguridad de la empresa. Meses después volvieron a repetir el mismo tipo de ejercicio y el porcentaje de empleados que cayó en la trampa en esta ocasión fue muchísimo menor.
Respecto a los agujeros de seguridad, estos son continuamente aprovechados por ciberdelincuentes para infectar ordenadores. Basta con tener algún programa no actualizado en nuestro ordenador para que puedan entrar a su antojo y robar toda la información que deseen. En este caso, la solución es “sencilla” y pasa por tener actualizados todos los programas que tengamos. Pero cuando hablamos de empresas con cientos o miles de ordenadores, esta tarea sencilla se convierte en algo realmente complejo y difícil de llevar a cabo.
Para responder a la pregunta inicial, podemos decir claramente que no, no podemos estar completamente a salvo. No se trata de si vamos a evitar que nos ataquen, sino de que seamos capaces de darnos cuenta en el menor tiempo posible cuando uno de estos ataques tenga lugar y poder así minimizar los daños.
También debemos tener en cuenta que los ciberdelincuentes hacen sus estudios de coste-beneficio, por lo que aquellas organizaciones que estén peor protegidas serán las primeras en convertirse en objetivos.
Para estar protegidas, las empresas necesitan servicios y soluciones de seguridad avanzada que le permitan tener una visibilidad completa de lo que está sucediendo en su red en tiempo real. Saber qué se está ejecutando en todos los ordenadores de la red, que se monitorice todo lo que hacen estos programas, señalando aquellos que no estén actualizados para poder tomar medidas a tiempo. Con esto, incluso si se produce un ataque, podemos tener todas las respuestas que necesitamos ante una situación de este tipo: ¿qué ha sucedido? ,¿por dónde ha venido?, ¿cuándo?, ¿a qué información han accedido?, ¿se han llevado algo? El conocimiento es poder y tenerlo está en nuestras manos.