Tamaño grande

«Hernán Cortés liberó a las tribus mexicanas de la tiranía del Imperio azteca» Una de las ilustraciones incluidas en «Los Invencible...

sábado, 17 de junio de 2017

Tres de cuatro firmas españolas han sufrido ciberataques en el último lustro. Los expertos recomiendan definir bien las estrategias de defensa y no descuidar las actualizaciones

Las empresas se rearman tras el huracán WannaCry

La agilidad y la prevención son indispensables para minimizar riesgos -

Como una moneda que girara a cámara lenta en el aire, las grandes oportunidades siempre conllevan importantes riesgos. El proceso acelerado de digitalización y maxima conectividad abre un mundo de infinitas posibilidades a las empresas pero, como demostró el paso del huracán Wannacry, destapa también la cruz de la vulnerabilidad con la que organizaciones empresariales, administración y usuarios particulares se enfrentan a nuevos y sofisticados modos de delinquir.

El dañino «ramsonware» (programa informático que infecta archivos o partes de un sistema y exige un rescate para restablecer la normalidad) afectó a más de 360.000 equipos de 180 países. Grandes corporaciones, pequeños negocios, sistemas institucionales... nadie quedó libre de una plaga que parece dibujar un antes y un después en el modo en el que las organizaciones deben afrontar el reto de los ciberdelitos, convertidos en gran freno para el despliegue de la economía digital.

En los días de máxima efervescencia del ataque, Julio Linares, presidente de la Comisión de Sociedad Digital de la CEOE y vicepresidente de Telefónica, una de las compañías españolas mas afectadas por Wannacry, resaltaba que «el gran reto del mundo digital es la seguridad. El ataque de este virus nos tiene que ayudar a aprender y a ser más ágiles contra el cibercrimen. Nos queda mucho por hacer».

Y es que el mal digital nunca duerme. Y se multiplica. Antes del estallido de Wannacry, el número de incidentes de ciberseguridad en empresas se había incrementado en un 22% durante el primer trimestre de este año respecto al mismo periodo del año anterior, desde 8.1768 a 11.879, según datos del Centro de Respuesta a Incidentes de Seguridad e Industria (Certsi). El reciente «International Business Report» de la consultora Grant Thornton, también recoge que el 32% de las empresas medianas y grandes españolas reconoce haber sufrido al menos algún ataque informático en el último año. Las cifras son similares en Europa: según el informe CIOSurvey 2018 de Harvey Nash y KPMG, un tercio de las organizaciones han sufrido un ciberatque en los últimos 24 meses. Sin embargo, las cifras no siempre reflejan la magnitud real del peligro, porque en ocasiones los incidentes no trascienden por su posible coste reputacinonal.
Liquidar esteriotipos

En una reciente «Jornada sobre Ciberseguridad organizada por Club Diálogos para la Democracia», Enrique Cubeiro, jefe de operaciones del mando conjunto de ciberdefensa del Estado Mayor, aseguraba que tres de cada cuatro empresas han sido víctimas de un delito de este tipo en los últimos cinco años. Y lanzaba un mensaje contundente para pasar a la acción contra la ciberdelincuencia organizada: «Es frustrante observar cómo, a pesar de que estos ataques son reconocidos como peligrosos, no se pasa de las palabras a los hechos para tratar de combatirlos. Se invierte mucho en seguridad física, pero yo me pregunto, ¿qué es más fácil, atacar cruzando una valla o a través de la red?».

Según Cubeiro, «estos ataques son cada vez más masivos y peligrosos. Es muy duro que tenga que pasar algo grave para que se tome conciencia de la gravedad del asunto. Hay que quitarse ese estereotipo de que la gente que ataca por la red son chicos raritos, que están encerrados en un cuartucho, porque no es así», aseveró.

Reconocida la peligrosidad del enemigo, la resaca de Wanna Cry deja ahora varias inquietudes. ¿Es posible otro ataque masivo similar en el corto y medio plazo? ¿Están nuestas empresas preparadas? ¿Es la ciberdelincuencia el gran freno para el despegue de la digitalización en las compañías?

Marc Martínez, socio responsable de IT Advisory y también de Servicios de Ciberseguridad de KPMG en España, defiende que la ciberseguridad «nunca debe ser un freno para abordar nuevas iniciativas. Al contrario, ha de ser un facilitador de las mismas para ser más agiles, reducir riesgos y diferenciarnos de la competencia».

David Pozo, director técnico de Siemens coincide en que nunca hay que abandonar una iniciativa por los posibles riesgos; «Internet tiene conexión a nivel global. Lo que hay que hacer no es dejar de hacer el proyecto, sino pensar en la arquitectura óptima para proteger esa conexión a internet, pensar en esa protección».

Martínez resalta que las estrategias de las compañías frente al ciberdelito deben tener en cuenta tres aspectos claves. El primero es que la defensa siempre es posible:«Los grandes riesgos se pueden reducir, en gran parte, aplicando medidas de seguridad básicas».
«La ciberseguridad nunca debe ser un frenopara abordar nuevas iniciativas»Marc MartínezPero el factor a tener en cuenta es que quizás no se pueda intentar proteger al mismo nivel todos los activos de una compañía. «Hay que hacer un análisis de riesgos riguroso, basado en la relevancia de los activos y el apetito al riesgo de la entidad», explica Martínez. Y el tercer factor, «y más importante», es empezar a considerar «otras tendencias en ciberseguridad (ciberinteligencia, Big Data, etc.) como un aspecto clave de nuestra estrategia de defensa. Tenemos que anticiparnos a los cibercriminales conociendo qué les está pasando a otras empresas, a nuestro sector y al mercado en general», concluye.
Los expertos coinciden en que no se pueden poner diques a todas las amenazas que surgen continuamente en el proceloso mar digital, pero también en que la agilidad y la prevención son factores indispensables para minimizar riesgos. Por ejemplo, en casos concretos como el «ransonme», Lorenzo Martínez, CTOde Securízame, cree que «la lección más importante es que hay que tener el sistema operativo actualizado. Asimismo, disponer de sistemas de copias de seguridad es imprescindible. Para empresas, además, incorporaría un buen diseño y segmentación de red, y exponer a internet sólo los servicios imprescindibles, controlándolo desde un cortafuegos, evitando que los servidores tengan las direcciones IP públicas. Esto no evitaría completamente el problema, pero acotaría su impacto».

Carlos López Infante, administrador de sistemas en la compañía Appforbrands también destaca que el mal de Wannacry tenía remedio, pero casi nadie aplicó la vieja receta que reza que siempre es mejor prevenir. «Es cuanto menos llamativo que su forma de distribución, una vulnerabilidad en todos los sistemas Windows, estaba ya corregido desde hace más de dos meses, pero nadie la había actualizado. La política de actualizaciones de entornos en red ha demostrado ser completamente ineficiente. Es por ello que Microsoft, desde Windows 8, obliga a los usuarios a aplicar los parches de seguridad de forma forzosa, gusten o no, ya que muchos de ellos no instalaban las actualizaciones recomendadas y eso provocaba miles de vulnerabilidades. No obstante, las ediciones empresariales de Windows permiten que las actualizaciones sean completamente voluntarias para evitar romper sistemas en producción, pero salta a la vista que las empresas no están haciendo los deberes en cuanto a la seguridad se refiere», concluye.
La amenaza sigue ahí fuera

Hay que aprender de los errores, porque la amenazas siguen ahí fuera. Maite Moreno, experta de S2Grupo no descarta que «surjan variantes de Wannacry que causen algún brote nuevo de infección. Tampoco hay que olvidar que -sobre todo en los últimos meses- se están publicando muchas vulnerabilidades y «exploits» que los delincuentes pueden aprovechar».

Josep Albors, director de laboratorio de ESET España, coincide en que la principal lección de WannaCry «es la necesidad de parchear sistemas vulnerables lo antes posible», pero reconoce que «esto es más fácil decirlo que hacerlo, porque muchas empresas y administraciones públicas tienen que evaluar cada actualización que van a aplicar para evitar incompatibilidades». Del ciberataque masivo «también hemos aprendido la importancia del robo y filtración de este tipo de información, algo que debería estar monitorizado para evitar que se trafique y se ponga en peligro la seguridad de millones de sistema», concluye.

El hacker Yago Hansen, uno de los fundadores de Mundo Hacker, cree que por su distribución «masiva, rápida y dirigida» WannaCry va más allá de los ataques de «rasomware» conocidos hasta ahora y «es un ensayo de ciberguerra a modo de experimientación». El ataque, explica, demuestra la necesidad en las empresas «de unas políticas más eficaces y rápidas de actualización de seguridad en sus sistemas». Para Yago Jesús, uno de los responsables del blog especializado «Security by default», la principal conclusión que se puede extraer «es que los fallos se pagan. Cada vez más las amenazas están supervitaminadas para castigar el mínimo descuido. Por eso, la única forma de tener una oportunidad es fomentar la autodefensa, es decir, que los usuarios de una organización no deleguen plenamente la seguridad a personal o equipo concreto, sino que se han de involucrar y ser la primera barrera de defensa. ¿Recuerdan la película «Origen»?»,

Este experto advierte que «a toro pasado, casi todas las desgracias parecen evitables, pero la realidad es que cuando aparece un espécimen que añade algo novedoso, el ratio de éxito que obtiene suele ser elevado». Y coincide en que podría haber repuntes del virus, «sobre todo en organizaciones menos acostumbradas a lidiar con amenazas, como las pymes».
Las pymes, en la diana

La mayor parte de los expertos se muestran de acuerdo en que, mientras las empresas españolas de gran tamaño van mejorando con sus deberes en ciberseguridad, son las pymes las que están en el punto de mira de los ciberdelincuentes. Sobre el nivel general de preparación de nuestras compañías, Miguel Arias, socio responsable de KMPGImpulsa, asegura que los últimos datos disponibles en Eurostat indican que «en base al porcentaje de empresas que han definido y revisado su política de seguridad en relación a las tecnologías de la información, España se encuentra por encima de la media de la UE, ocupando el décimo lugar entre los 28».

Sin embargo, muchas pymes siguen estando desprotegidas. Un gran problema, porque según los cálculos del Instituto Nacional de Ciberseguridad (Incibe), el 70% de los ciberataques tienen como destino este tipo de compañías, limitadas por sus posiblidades económicas. «En efecto, nos encontramos con un círculo vicioso respecto a la seguridad de la información en muchas pequeñas empresas, ya que muchas de ellas consideran que no son el objetivo frente a las grandes corporaciones, una creencia que acentúa la falta de foco y acrecienta el riesgo. Al ser más vulnerables, aumenta su atractivo para los ciberdelincuentes ya que, además de la información, que tiene valor propio, pueden ser la vía de acceso a otras entidades de mayor tamaño o relevancia», asegura Miguel Arias. En definitiva, la falta de seguridad de muchos pequeños proveedores puede acabar convirtiéndose en un Caballo de Troya para las compañías de mayor tamaño.

En su «Plan Digital 2020», presentado recientemente, la CEOE instaba a lanzar un Plan de Nacional de Concienciación sobre Ciberseguridad dirigido específicamente a pymes y reclamaba al Gobierno el diseño de un Programa de Incentivo, siguiendo el modelo del Plan PIVE en la industria de la automoción, para fomentar la renovación y la modernización de la infraestructura de ciberseguridad de las pymes.

En este recetario de la patronal para impulsar la digitalización de la sociedad española se hace también especial hincapié en la necesidad de fomentar la colaboración público-privada en materia de ciberseguridad. Un mensaje que el secretario de Estado de Defensa, José Antonio Nieto, también destacó en la mencionada Jornada sobre Ciberseguridad. Según Nieto, «los retos ciber» están propiciando un esfuerzo conjuntp con el sector privado que «ha generado una confianza mutua que está permitiendo aflorar este tipo delitos». La unión hace la fuerza contra una amenaza virtual, pero muy real para las empresas españolas.
I. MARTÍNEZ / ÁLEX JIMÉNEZ / JORGE AGUILAR / FERNANDO PÉREZ