Conócenos

Cómo evitar los ciberatracos

Por Luis Corrons

  • Imprimir

Luis Corrons

La mayoría de los ciberataques que vemos hoy en día tienen como objetivo la ganancia económica y esto ha provocado que las empresas, independientemente de su tamaño, sean el objetivo predilecto de las bandas que perpetran estos robos.

Sin duda, en las empresas el tamaño importa. En el caso de grandes compañías, estamos hablando de organizaciones enormes con miles de ordenadores, móviles y demás dispositivos que se conectan a la red corporativa. Muchos puntos a proteger y con que uno solo de ellos falle puede ser suficiente para causar un gran quebranto (robo de información, etc.). Además, su tamaño implica que son empresas conocidas, por lo que la cantidad de potenciales atacantes es mayor.

A los delincuentes habituales se les pueden sumar competidores, e incluso ataques esponsorizados por gobiernos extranjeros cuando la empresa es de vital importancia para su país (aquellas que participan en sectores energéticos, telecomunicaciones, defensa, financieros...). En definitiva, a primera vista son un objetivo mucho más suculento que empresas de menor tamaño.

Sin embargo, tienen otra serie de fortalezas derivadas de su tamaño. Estas empresas suelen contar con equipos de seguridad propios que tienen como principal objetivo el garantizar la seguridad de la infraestructura informática de la compañía y no solo están vigilando las defensas de forma activa, sino que llegan a simular ataques tratando de descubrir cualquier punto débil que puedan tener.

En el caso de pequeñas empresas es evidente que el número de ordenadores y demás dispositivos a proteger es infinitamente menor, con lo que a priori parece que es una tarea mucho más sencilla. A esto le podemos sumar que al ser empresas mucho menos conocidas el riesgo de ser atacado es menor.

Por tanto, ¿las pequeñas empresas corren menores riesgos de sufrir un ciberataque? Es cierto que muchos de los ataques más avanzados que se producen hoy en día van dirigidos a grandes corporaciones, por lo que podríamos pensar que las pequeñas empresas pueden estar más relajadas en esta área. Pero no es exactamente así. Como ejemplo podemos utilizar el ataque que sufrió Target Corporation, cadena de grandes almacenes norteamericana que fue víctima de un ataque en el que infectaron los terminales de punto de venta de sus establecimientos y lograron robar los datos de 46 millones de tarjetas de crédito de los clientes que pagaban con ellas en sus establecimientos físicos. Ciertamente se trató de un ataque dirigido, pero lo interesante del mismo es cómo consiguieron entrar en la red de la empresa.

En lugar de ir a por ella directamente, lo que tiene los inconvenientes para los atacantes que hemos descrito anteriormente, fueron a por una pequeña empresa de aire acondicionado. Esta empresa daba servicio a la cadena Target y se conectaban a la red de esta para comprobar que los sistemas de aire acondicionado estaban funcionando bien, si hacía falta realizar algún tipo de mantenimiento, etc. Evidentemente las medidas de seguridad de esta empresa –que las tenía- no eran del mismo nivel que las que puede tener una gran compañía, por lo que para los atacantes fue mucho más sencillo comprometerlos. Una vez dentro solo tuvieron que conectarse a Target haciéndose pasar por esta pequeña empresa, sucendiendo lo inevitable.

Queda demostrado que las pequeñas empresas no solo pueden ser víctimas de ataques dirigidos, sino que al contar con menores medidas de protección son las mayores candidatas para este tipo de delincuentes. Para estos el tamaño de la empresa no se basa en su tamaño real, sino en el tamaño de todos y cada uno de sus clientes y proveedores.

Además, en los ataques más “mundanos”, donde se trata de robar información y/o dinero, son las víctimas más apetecibles. Estas empresas no suelen contar con recursos especializados en seguridad informática, lo que hace que sea muy sencillo atacarlas teniendo la ventaja de seguir siendo una empresa, lo que hace que la información que puede ser sustraída o secuestrada sea mucho más valiosa que la que pueda tener un particular.

Desde finales de 2013 hemos visto como los ataques de ransomware –también conocido como CryptoLocker- se han popularizado de forma masiva. Una vez consiguen infectar un ordenador, este tipo de ataques busca todos los documentos del ordenador afectado y todas las unidades de red a las que tiene acceso. Cifra todos estos documentos y borra los originales, exigiendo un rescate que suele rondar los 300€.

Muchas pequeñas empresas han sido víctimas de estos ataques, algunos de ellos tremendamente dramáticos. Hemos visto despachos de abogados donde todos sus documentos legales han sido cifrados. Si no existía copia de seguridad, la única opción de no cerrar el negocio era pagar a los delincuentes y cruzar los dedos para que les devolvieran el acceso a sus documentos.

La mayoría de ataques tienen dos claros vectores de entrada: o utilizan las conocidas como técnicas de ingeniería social, donde se trata de engañar a la víctima para que sea ella la que comprometa el equipo informático, o bien utilizan agujeros de seguridad en los diferentes programas instalados en el ordenador para infectarlos de forma silenciosa sin que el usuario haya llevado a cabo ninguna práctica de riesgo.

Recientemente hemos sido testigos de cómo una banda de delincuentes ha lanzado en España una campaña masiva a través de correo electrónico donde se hacían pasar por Endesa. En este mensaje utilizaban el logotipo de la empresa y no incluía ningún adjunto en absoluto. Aparecía una supuesta factura, y te daba la opción de ver la factura detallada pinchando en un enlace proporcionado en el correo electrónico. Al ir a dicho enlace llegabas a una página muy similar a la de la empresa eléctrica, donde te solicitaba introducir un captcha para poder acceder a los detalles de tu factura. Una vez realizado esto se descargaba un fichero comprimido en formato zip que tenía dentro un fichero javascript, con extensión js. Si el usuario lo abría, el fichero contenía una serie de comandos que se descargaban un ransomware que se encargaba de cifrar todos los documentos del equipo. Se trataba de un engaño muy bien realizado, y hemos visto anteriormente otros similares haciéndose pasar por Correos, por empresas de mensajería, y un largo etcétera.

Respecto al uso de agujeros de seguridad, este mismo año fuimos testigos de un ataque que se produjo a través de páginas web muy populares (The New York Times, BBC, MSN, AOL, etc.) cuyos visitantes fueron infectados con ransomware. Estas páginas no fueron hackeadas, sino que los delincuentes hicieron uso de los anuncios mostrados en las mismas para llevar a cabo sus ataques. 

Consejos

A continuación ofrezco varios consejos que permitirán a cualquier pequeña empresa reducir el riesgo de convertirse en víctima de este tipo de ataques:

1. Actualizar: debemos asegurarnos de tener todo el software de los equipos actualizados. Los ataques basados en vulnerabilidades se aprovechan de que los usuarios no actualizan sus programas, por lo que simplemente instalando las actualizaciones de estos cerraremos la puerta a la mayoría de estos ataques. No solo se trata del sistema operativo, muchos de estos ataques buscan puntos débiles en suits de ofimática, navegadores, y especialmente en sus complementos (Java, Flash, etc.).

2. Contraseñas: en primer lugar debemos evitar utilizar la misma contraseña en diferentes sitios, ya que si uno de ellos se ve comprometido pueden comprometernos de forma completa. Para esto podemos utilizar un gestor de contraseñas que se encargará de poner contraseñas diferentes y complejas que no necesitamos memorizar. Además es imprescindible habilitar la opción –dada por la mayoría de sitios web hoy en día- de doble factor de autenticación. Normalmente funciona a través de un código que es enviado por SMS a nuestro teléfono móvil. Con esta opción activada, aunque alguien nos robe las credenciales si trata de entrar en nuestra cuenta no podrá, ya que no tendrá el código que nos envían.

3. Tu disco duro no es a prueba de bombas: guardar información relacionada con la actividad de la empresa o sus clientes en el disco duro del ordenador es, por lo general, una mala idea. Los equipos de sobremesa se rompen y están expuestos a fallos o ataques que pueden suponer la pérdida de datos valiosos. Los portátiles también y, además, pueden ser robados o perderse. Mejor pedir a los empleados que almacenen los archivos en los servidores de la compañía – si los hubiera – o en algún servicio en la nube.

Si de todos modos deben conservar información en el disco duro de sus equipos de trabajo, es fundamental que realicen copias de seguridad a menudo para poder recuperar el material si surge algún inconveniente.

4. La copia de seguridad no sirve para nada si la pierdes a la vez: parece de sentido común, pero sucede con más frecuencia de lo que parece. Si los trabajadores utilizan un portátil y realizan copias de seguridad en un pendrive, es fundamental que no los guarden ni transporten en el mismo sitio. Ejemplo práctico: si pierden o les roban la mochila del ordenador y la memoria USB está dentro, tanto los originales como las copias de seguridad se habrán perdido.

5. Almacenamiento y transmisión de datos a través de Internet: como decíamos, la mejor solución cuando la empresa no puede permitirse un almacenamiento interno en condiciones es recurrir a algún servicio en la nube, ya sea para guardar allí los documentos directamente o para almacenar las copias de seguridad. Por lo general, los proveedores de servicios ‘cloud’ están más preparados que una empresa pequeña o mediana para hacer frente a todo tipo de incidentes, incluidos los ciberataques. 

No obstante, hay algunos peligros asociados con el uso de herramientas online que se parecen a los ya descritos en puntos anteriores. La seguridad y confidencialidad de los datos que se guardan en almacenes virtuales depende, entre otras cosas, de la contraseña que utilice el trabajador, de que no se deje engañar por quien pretende acceder con dudosas intenciones y de que siga ciertas precauciones al utilizarlos: no subir documentos de trabajo a cuentas personales, acceder a los servicios en la nube desde equipos protegidos y mediante conexiones seguras, etc.

6. Correo electrónico: una de las principales herramientas que utilizan los cibercriminales para colarse en una organización y robar datos sigue siendo el correo electrónico. Si tus empleados tienen una cuenta corporativa, lo primero que deben procurar es no utilizarla para fines personales ni proporcionarla en sitios de acceso público (por ejemplo, en un foro o una página web a la que todo el mundo puede acceder). De lo contrario, podría acabar en una lista de envío de spam y recibir correos que, además de molestos, pueden resultar peligrosos.

En general, el mejor consejo que les puedes dar a tus trabajadores respecto al email es que jamás respondan al correo que proviene de un remitente sospechoso o desconocido, ni mucho menos abran o descarguen sus adjuntos. Podrían esconder malware capaz no solo de afectar a su ordenador sino, en algunos casos, a toda la red de la compañía.

7. No instalar programas de fuentes desconocidas: de nuevo, solo deben confiar en lo que conocen. Es habitual que las empresas restrinjan la capacidad de sus trabajadores para instalar nuevos programas en sus ordenadores mediante los permisos del sistema operativo. No obstante, si tienen credenciales suficientes para ejecutar nuevo software en sus máquinas, debes pedirles que eviten descargar de páginas que no conozcan o resulten sospechosas. De hecho, ni siquiera deberían navegar por ellas. El navegador también es una puerta de acceso para los cibercriminales en muchas ocasiones.

8. Cuidado con las redes sociales: el riesgo más reciente y, por lo tanto, uno de los más desconocidos o minusvalorados. La actividad de los trabajadores de una empresa en plataformas como Facebook o Twitter puede ser perjudicial para la compañía en ciertos casos, más allá del descenso en la productividad que pueda o no conllevar.

9. Un buen antivirus: antes de usar cualquier ordenador o dispositivo móvil que vaya a conectarse a Internet, lo primero que se debe hacer es instalar un buen antivirus. Si esta medida es importante en los entornos domésticos, en el corporativo se vuelve fundamental. Una solución de seguridad avanzada para empresas protege los equipos y los datos de la organización en multitud de circunstancias, incluso cuando los empleados cometen un error o alguna imprudencia. Conciencia a tu plantilla al respecto.

10. El camino fácil suele ser más inseguro. Esta lección no es para los trabajadores, es para ti de parte de tus empleados: si les pones las cosas demasiado difíciles, encontrarán la forma de burlar tus abusivas medidas de seguridad. Todo lo que te hemos explicado es de sentido común e imprescindible, pero no te pases de la raya. 

Si les pides que cambien de contraseña todas las semanas, vete preparándote para un aluvión de post-its pegados a sus monitores. Si acceder a una herramienta que utilizan para hacer su trabajo se vuelve demasiado complicado por razones de seguridad, usarán otra (o, peor aún, la que tengan para uso personal). Si no saben cómo almacenar archivos a tu manera, encontrarán su forma, probablemente insegura y poco confiable.

En definitiva, un equilibrio entre seguridad y complejidad es necesario para que los empleados se pongan de tu parte y escuchen todos estos consejos. Pueden ser tus mayores aliados o tus peores enemigos. Tú eliges.

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Buenas prácticas en el despacho

    El despacho deberá establecer una normativa de uso de dispositivos y sistemas informáticos por escrito, así como unos criterios de supervisión de su actividad, remitiendo ambos documentos a todos sus integrantes y haciendo que firmen una conformidad de la información recibida.

  • Funciones y obligaciones del personal del despacho (y II)

    El personal que tenga acceso a información propiedad del despacho jurídico estará obligado a conocer y a observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla en el despacho. 

  • Funciones y obligaciones del personal del despacho(I)

    Hay que tratar de inculcar al personal el carácter obligatorio de seguir estas disposiciones, así como de las consecuencias laborales y de cualquier otra índole que pueda tener su no observancia. Notifique estas medidas a su personal y fórmelos adecuadamente.  

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Facebook recurrirá la sanción de Protección de Datos y recuerdan que lo usuarios eligen la "información de su perfil"

La AEPD acusa a la red social de Mark Zuckerberg de recopilar, almacenar y utilizar datos, incluso especialmente protegidos, con fines de publicidad sin recabar el consentimiento del usuario.

AIshow, el evento de Inteligencia Artificial, llega a Madrid

Reunirá a investigadores y profesionales de diversos campos con el propósito de explorar las interacciones y los impactos prácticos de la Inteligencia Artificial (IA)

Metricson refuerza el área de compliance, protección de datos y propiedad intelectual

Incorpora a  Alejandro Martínez Méndez como director del departamento de protección de datos, propiedad intelectual y compliance de la sede de Barcelona. 

feedburner

Reciba LAW & TIC de forma gratuita.

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17