En un mundo cada vez más conectado, la ciberseguridad emerge como primera línea de defensa de toda nuestra actividad virtual, también entre los equipos de comunicación
— En internet hay virus, antivirus, infecciones y contagios. Pero no se trata de una enfermedad al uso, sino de un conjunto de riesgos que amenazan la seguridad de nuestras comunicaciones. Toca inmunizarse con ciberseguridad.
El riesgo de sufrir un ciberataque en España en 2021 fue más del doble que durante el año anterior. La mitad de las empresas a nivel mundial anticipó que en 2022 también aumentarían este tipo de accidentes. Incluso entre las compañías más punteras. En agosto Google denunció un ataque y MailChimp un robo de datos; en septiembre fueron Samsung y Revolut las que los padecieron.
El acceso a sistemas informáticos privados, el robo de datos y hasta la extorsión
económica con información sensible han aumentado en los últimos años. Igual que la vida física tiene una
extensión digital, también los delitos han encontrado vías de crecimiento en la red.
La vida digital cada vez se asemeja más a la vida física, y con ella también los riesgos y precauciones. Si en el mundo presencial evitamos determinadas prácticas de riesgo o tomamos ciertas medidas preventivas, en el virtual es conveniente conocer qué situaciones nos hacen vulnerables y de qué manera podemos evitar quedar expuestos en internet.
La ciberseguridad abarca el conjunto de acciones y desarrollos destinados a proteger entornos, redes y programas de posibles ataques digitales. Estos ataques suelen buscar acceder a cierta información, modificar o destruir datos y, en ocasiones, interrumpir el desarrollo de una actividad o incluso extorsionar a los afectados.
Si asumimos que el mundo virtual es una extensión de nuestras vidas físicas, tiene sentido que actuemos de forma similar en ambos entornos. Con precaución, protegiendo la información sensible con el mismo celo. Igual que no daríamos las llaves de nuestra casa a un desconocido, conviene asegurar bien las cerraduras de las cosas que más nos importan: datos bancarios, información personal, la estrategia de una compañía o conversaciones con nuestros seres queridos.
Del mismo modo que las amenazas son diversas, las formas de protección también lo son. La posibilidad de ser objeto de un ataque aumenta no solo por el interés de la información que se maneje, sino también por lo fácil que sea ejecutar dicho ataque si se toman pocas precauciones. Seas un ciudadano o parte de una empresa, hay hábitos recomendables para protegerte.
— Cómo lograr un sistema (digital) inmune
Hay microorganismos que sólo pueden vivir dentro de otros organismos. Su objetivo es reproducirse y sobrevivir. Al multiplicarse son capaces de pasar a nuevos huéspedes infectándoles e incluso causando la muerte. En algunos casos “aprenden” a defenderse, dando lugar a variaciones que permiten mutar sus efectos y desarrollar resistencia frente a atacantes.
La “podadora” de Tomlinson llegó cuando la “enredadera” de Morris llevaba ya un año saltando de ordenador en ordenador. Los remedios a los ciberataques sirven para prevenir futuras malas prácticas, pero por lo general siempre llegan demasiado tarde. Por eso es fundamental conocer los riesgos de cara a evitar los contagios.
El 94% de las empresas encuestadas por la consultora Deloitte ha sufrido al menos un incidente grave de ciberseguridad en 2021. Las compañías aseguradoras, de telecomunicaciones, medios o tecnología, industria y banca fueron las más atacadas, junto a la Administración Pública.
No todas las amenazas son iguales: los virus informáticos fueron su
primera manifestación, automatizada y remota, pero la ciberdelincuencia tiene muchas formas. Y muchos
nombres.
Sin embargo, una de las vulneraciones más peligrosas no es la que consigue un acceso puntual a la información, sino la que abre un acceso no detectado a todo el sistema. Son las llamadas “puertas traseras”, que permiten la entrada del ciber delincuente hasta que dicha grieta de seguridad sea cerrada. En ocasiones llegan a convertir en“zombis” a los ordenadores, que aunque aparentan estar inactivos, se conectan a internet para mantener abierto ese acceso.
Estos virus y bacterias digitales usan técnicas de manipulación cada vez más creíbles y sutiles. Algunos cibercriminales consiguen estafar a los usuarios para que sean estos los que, o bien faciliten información comprometida, o bien den acceso a sus equipos para que puedan robarla directamente.
Consiste en enviar correos electrónicos que suplantan la identidad de productos o servicios para dirigir a los usuarios a páginas web falsas, donde estos introducen sus datos pensando que son verdaderas.
Una forma más sofisticada de engañar es dirigir esos mensajes a través de SMS o plataformas de mensajería como WhatsApp. En ocasiones, el engaño termina con una llamada de teléfono ante un supuesto problema que solicita datos privados del usuario.
Es un engaño similar al anterior, pero sustituye el envío masivo de correos por llamadas de teléfono. En estas, por ejemplo, el ciberdelincuente se hace pasar por representante de una empresa determinada gracias a datos personales que ha obtenido previamente.
El Centro Criptológico Nacional es un organismo dependiente del Gobierno y se encarga de reforzar la ciberseguridad en España. En su web no sólo se prestan soluciones para hacer frente a la ciberdelincuencia—todas ellas con nombres de mujer, tales como Amparo, Carmen o Vanesa—, sino que informan en tiempo real de vulneraciones detectadas. Dichas amenazas se clasifican en cinco niveles de alerta según su gravedad:
Ataque con capacidad de filtrar una gran cantidad de información valiosa y controlar muchos sistemas sensibles en muy poco tiempo.
Riesgo de obtener una gran cantidad de información valiosa y controlar grandes cantidades de sistemas sensibles.
Implica un riesgo potencial de que se obtenga información valiosa, además de tomar el control de ciertos sistemas.
Ataques con capacidad de extraer cantidades relevantes de información y controlar algunos sistemas.
Incidentes con capacidad limitada para acceder a un gran volumen de información o controlar sistemas informáticos.
Además del Centro Criptológico Nacional existe otro organismo estatal que
centra su actividad en educar sobre ciberseguridad. Se trata del INCIBE (Instituto Nacional
de Ciberseguridad), y su misión es concienciar sobre la importancia de una correcta
protección ante la delincuencia en línea. Desde el INCIBE lanzan seis recomendaciones
básicas para que cualquier ciudadano pueda proteger sus datos personales, tanto aquellos
que se generan por sus acciones en la red como los que se guardan en dispositivos. Son los llamados
“seis síes”.
La información de los usuarios es valiosa, pero la de las organizaciones puede ser además sensible: patentes, proyectos o inversiones pueden venirse abajo si se atacan determinados datos. Además, son entornos más vulnerables: ¿cuántos empleados pueden acceder a los sistemas? ¿Qué sucede si hay una alta rotación de personas que entran y salen de la compañía?
Para responder a esos retos de seguridad, en INCIBE han elaborado un kit específico de concienciación para empresas, que contiene cuatro consejos básicos.
Alguien tiene que conceder y revocar los permisos de acceso al sistema, y no tiene por qué contar con conocimientos de seguridad informática. Lo ideal es que sea un experto quien que gestione dichos permisos, que estos dependan del rol de cada empleado —a mayor responsabilidad, mayor acceso— y que sean fácilmente revocables.
El mayor peligro de las “puertas traseras” es que puede pasar mucho tiempo hasta que son detectadas. Por eso es fundamental crear un protocolo regular de revisión del sistema, para controlar de forma continua que no existen riesgos de seguridad.
Es conveniente cifrar la información sensible que se maneja en la empresa, de forma que contemos con una doble capa de seguridad: primero tendrán que acceder al sistema, y después saber decodificar el contenido para poder hacer uso de él.
Las contraseñas deben ser robustas, con letras y números, con doble factor de verificación y una renovación periódica obligatoria.
Los profesionales de la información y comunicadores son un colectivo especialmente expuesto a las amenazas de seguridad por su amplia capacidad de alcance e influencia. Por eso es necesario llevar a cabo una vigilancia especial.
Ten tus terminales protegidos, con sus discos duros encriptados, además de copias de seguridad físicas y en la nube.
Hacerse pasar por una persona es fácil en redes sociales: basta con crear un perfil falso para que muchos caigan en la trampa.
Es importante estar prevenido ante posibles engaños generados con inteligencias artificiales y pensados para extorsionar.
En un entorno saturado de información a veces resulta difícil distinguir la procedencia de la información: chequea antes de difundir.
Nunca está de más algo de seguridad extra: usa servicios para encriptar tus correos electrónicos e informaciones —de forma que sólo tú y el receptor podáis consultarlas— y VPN para navegar —redes privadas virtuales para evitar usar conexiones compartidas a internet—.
Otra novedad reciente en el ámbito empresarial ha sido el auge del teletrabajo. Pero lo que es una enorme ventaja para muchos supone también un potente riesgo de seguridad informática.
En una oficina es sencillo controlar qué equipos se conectan, cómo son las conexiones o cuáles son las medidas de seguridad del entorno virtual de trabajo. Pero cuando los empleados están en casa, la cosa se complica. En una lógica deslocalizada es crucial controlar qué equipos pueden conectarse en remoto al sistema, bajo qué requisitos y con qué niveles de acceso.
Otro riesgo importante es el uso de las cuentas y dispositivos de la empresa. Por ejemplo, si se usan cuentas corporativas para recibir correos externos o para darse de alta en servicios que requieran permisos extra. Lo mismo sucede con equipos informáticos que no restrinjan qué tipo de programas pueden instalarse.
Uno de los primeros usos que tuvieron los ordenadores fue encriptar y desencriptar información: la idea era interceptar y procesar las comunicaciones del enemigo. En tiempos de guerra contra el ciber crimen, la encriptación vuelve a ser una gran defensa. Existen infinidad de programas para cifrar los mensajes en origen y destino para que sólo autores y destinatarios puedan acceder a ellos; así como servicios para añadir capas de encriptación a las comunicaciones y hacerlas más seguras.
Permite que en todo proceso se puedan comprobar de forma creíble cada uno de los pasos. Aplicado a las comunicaciones, implica que se pueda hacer un seguimiento de quién accede a unos datos determinados, qué hace con ellos y dónde se encuentran en cada momento.
Correos electrónicos cifrados, plataformas encriptadas o notas de prensa con sistemas de chequeo y trazabilidad son algunas de las acciones básicas para controlar quién tiene acceso lo que envías. Complementa con direcciones de correo temporales y contraseñas generadas de forma aleatoria y tendrás una buena primera capa de seguridad cibernética.
Si la información es poder, los datos son la herramienta más efectiva para conseguirlo. Y cada vez hay más. La seguridad y la privacidad se convierten en cuestiones clave en la batalla contra el cibercrimen.
A medida que antivirus y navegadores aumentan sus prestaciones de
seguridad, los cibercriminales buscan nuevos “huecos” para operar. Durante años, el lenguaje de
programación Java ha sido terreno abonado para sus incursiones. Ahora operan con kits de
ataque de fácil uso que se compran y venden con finalidades delictivas.
Aunque vaya aumentando la concienciación en materia de seguridad
informática y redes y navegadores estén cada vez más protegidos, los atacantes siempre buscan pequeños
espacios desactualizados, sin protección o con fallos por los que entrar en los sistemas privados.
Muchas compañías levantan sistemas de defensa propios, como
cortafuegos empresariales, ante las amenazas externas. La actualización de aplicaciones y la cautela
en el intercambio de información digital son esenciales para proteger los sistemas corporativos.
La mejor forma de combatir una infección es evitarla. Y con la
ciberseguridad sucede algo similar: hay cosas que podemos hacer para protegernos ante posibles ataques y
evitar así daños a veces irreparables.
Todo son datos. Y no sólo cuando creas una cuenta en algún servicio digital y
facilitas información personal de forma voluntaria. Cada vez que realizas una compra se generan datos sobre
por cuánto o dónde ha sido la transacción. También cada vez que buscas algo en la red, cuando intercambias
mensajes con alguien, cuando echas un vistazo a un perfil de otra persona, cuando consultas un anuncio o
cuando lees un contenido. La explotación masiva de información supone una importante ventaja competitiva en
la toma de decisiones en muchos ámbitos, no sólo comerciales. La informaciones el nuevo oro digital, pero
también el oscuro objeto de deseo del cibercrimen.
Además de la precaución y un buen sistema de defensa, es fundamental ser cuidadosos con nuestros pasos. Los ciberdelincuentes prestan mucha atención a los datos que generamos y cedemos sin ser conscientes, una fuente valiosa de información para sus ataques.
Es el rastro de pisadas que dejamos de forma consciente al navegar
por internet: las fotos que publicamos, los mensajes que compartimos, nuestros comentarios o
reacciones, por ejemplo. Son una fuente de información sencilla y directa que sirve de base para
perfilarnos.
A diferencia de lo anterior, la sombra es aquello que proyectamos
sin poder evitarlo y de forma inconsciente. Es todo aquel rastro digital que dejamos sin darnos
cuenta, y que las empresas van recopilando para conocernos mejor. Combinada con nuestra huella digital
sirve para identificarnos y ubicarnos de forma más precisa.
Estar más o menos seguros en la red tiene mucho que ver con nuestros hábitos. Al final,
las páginas web o aplicaciones que utilizamos en el día a día también recopilan datos e información valiosa para
saber más de nosotros y ofrecer una mejor experiencia de uso. No olvidemos que nuestra huella digital puede ser
un rastro muy suculento para el cibercrimen.
Si quieres saber más sobre ciberseguridad y protección de datos, escríbenos. También puedes hacerlo para compartir remedios caseros. Estamos en época de catarros.
Hablemos
