Para celebrar la semana de la Ciberseguridad que organiza Open Future a nivel global (FOCUS WEEK), hemos invitado a nuestros espacios de crowdworking de Sevilla, Málaga y Almería a una serie de ponentes especializados en la materia. Tanto La Farola como El Cable han recibido en los últimos días a Luis Pablo del Árbol, MKT & Delivery Manager en ElevenPaths.
Hemos charlado largo y tendido con él, en una conversación muy interesante donde nos ha aclarado perfectamente el concepto de ciberseguridad y el estado en el que se encuentran actualmente las pequeñas y medianas empresas, así como todo lo que debemos hacer para ponernos al día debido a su gran importancia para la seguridad de nuestro negocio.
¿Por qué el título de la ponencia, ‘Ciberseguridad, la otra cara de la Transformación Digital’?
Todavía hay bastante trabajo por hacer a nivel empresarial y de la administración pública para que el desarrollo de los servicios online explote de verdad. En este sentido, se aprecia una ligera desaceleración por cierto miedo a una exposición de la información de los datos de nuestro negocio por desconocimiento.
Todas las empresas e instituciones que podrían estar abiertas al mercado a través de la actividad online, por desconocimiento tienen cierto miedo porque hay que afrontar una transformación digital completa, de procedimientos, de dentro hacia fuera. Hay desconocimiento y hay miedo por las noticias que se escuchan.
¿Ese miedo es racional, está justificado?
Está totalmente justificado, el segundo mayor negocio delictivo en el mundo después del tráfico de armas es el cibercrimen, por encima del tráfico de drogas. La gente puede pensar que eso afecta a Repsol, a Telefónica, al Gobierno de España, a la Nasa… Ellos tienen un montón de recursos para estar continuamente vigilando a su alrededor.
Donde realmente hace daño es en la pyme que no tienen conocimiento para poder protegerse. Y ahí está el negocio para ellos.
¿Qué papel juega en concreto la ciberseguridad en una empresa? ¿Qué puede hacer?
Hasta ahora se entendía la seguridad como proteger tu perímetro: poner una puerta, rejas en las ventanas, una alarma y ya nadie va a entrar a tu casa, a tu empresa o adonde sea. Pero eso ya no es así. Más del 50% del comercio hoy en día ya es comercio online. Es decir, la gente se abre en internet, expone sus productos, expone sus servicios, interactúa con clientes y proveedores, y ya no basta con proteger tu perímetro porque ya has salido al exterior. Hay un nuevo escenario de juego que es internet donde no le puedes poner puertas al campo.
Tienes que estar vigilando permanentemente que no haya abuso de tu marca, que nadie te robe información y la publique en internet, previniendo posibles ataques, etc. Y todo ese concepto de prevención, detección y respuesta es el concepto de ciberseguridad.
De esos tres pasos, ¿en qué fallan exactamente las empresas?
Fallan en un paso anterior: la concienciación. Todo el mundo piensa que a él no le atacan. La inmensa mayoría de la gente ya está siendo atacada y está siendo afectada por el malware de alguna forma. A partir de ahí, como la gente no está concienciada, ni previene, ni detecta, ni responde.
¿Cuáles son las amenazas más comunes?
Depende un poco del segmento. Entre las pymes lo más común es el ransomware. Como no hay concienciación, te envían correos que simulan ser los correos auténticos, la gente confía en ellos, los abre y hacen clic en un enlace y ya se recibe el ransomware.
Según un informe que leí hace poco en Gartner, el fishing o la suplantación de identidad de una empresa para confundir a un cliente que va a buscar un servicio en internet es una de las principales causas de ataque en el mundo.
En internet se habla, más que de amenazas, de vectores de ataque. Estas prácticas son las primeras puertas que se consiguen abrir para penetrar en el cliente y poder inyectar algún código o hacer que el cliente confíe y, a partir de ahí, comenzar a tirar del hilo de la información.
¿Qué se puede hacer con estos datos?
Si yo soy un banco y un ciberdelincuente ─la diferencia entre un hacker y un ciberdelincuente es que el primero tiene una curiosidad tecnológica por saber cómo funcionan las cosas y las analizan para generar algún tipo de conocimiento y el segundo es uno de estos perfiles que utilizan este conocimiento con fines delictivos─ suplanta mi página web y confunde a la gente, que confía en esa página e introduce su nombre de usuario y clave, dándole así esta información al ciberdelincuente. Hoy en día existen técnicas como la doble autenticación que evitan estos ataques.
Sin embargo, con la información que consiguen hacen otras campañas con un nivel mayor de sofisticación a través de suplantaciones por email, solicitándoles nuevas informaciones con los datos que ya poseen y lograr así un acceso mayor, generando un conjunto de acciones para confundir aún más. Hacen ingeniería social, conocen ciertos aspectos de nuestro entorno a través de informaciones en redes sociales, correos o cualquier otro sitio, para generar un envío donde nos confunden para sonsacar algún tipo de información.
¿Cuál es el perfil del ciberdelincuente?
Un delincuente a sueldo, porque hoy en día ya es un negocio. Y tiene unos conocimientos técnicos avanzados, en muchos casos autodidacta, desde luego no es porque provenga de una carrera específica. Tiene un perfil delictivo como lo puede tener un ladrón cualquiera. Hay gente que empieza haciendo sus propios programas que modifican o mejoran determinado software que es legal, empiezan a obtener una serie de conocimientos, van avanzando y se dejan llevar por el lado oscuro.
Luego hay otro perfil más especializado, gente con un conocimiento técnico muy alto, que son reclutados por algún Gobierno y forman una fuerza para impactar en otro Gobierno, para obtener impacto político, social o económico en términos de inversiones… Es más profesionalizado porque trabajan para Gobiernos o porque trabajan para otras empresas que en algún momento pueden querer afectar a su competencia.
En resumen, es un perfil con conocimiento técnico y profesionalizado.
¿Qué podemos hacer nosotros para estar más seguros?
Lo primero es tener claro en qué nivel de seguridad, por ley, normativa, o por propia iniciativa quieres estar. Yo soy una pyme que me dedico al sector retail, pues voy a ver cuál es la normativa que debería aplicarse a nivel de iniciativa particular para poder estar lo más seguro que sea. Y, sobre todo, trabajar para tener una foto que me dé como resultado un plan de adecuación a ese marco de referencia que es el que me asegura que estoy lo más protegido posible. A partir de esta consulta, elaborar un plan de trabajo, de inversión, de evolución para poder cumplir todas las medidas necesarias en términos de seguridad.
A nivel particular, tener un cortafuegos, un antivirus, tanto como para los ordenadores de sobremesa como para móviles y tablets, alguna herramienta de filtrado de navegación (son servicios muy económicos), etc. Concienciarte y consultar al proveedor de servicios habitual, como puede ser Telefónica, y que te diga las soluciones que tiene en catálogo.
Siempre que hablamos de ciberseguridad pensamos en ordenadores, ¿pero qué pasa con el usuario del móvil?
Lo mismo. No hay una diferencia entre un pc, un portátil y un móvil. Al final tienes un sistema operativo, tienen una CPU, tienen ficheros, conexión WiFi… exactamente lo mismo. La gente joven utiliza como mucho la tablet, pero el ordenador lo utilizan solo para hacer trabajos del colegio. Sus vidas giran alrededor del móvil.
¿Hay un poco menos de conciencia sobre la protección con el móvil?
Totalmente. Personalmente creo que debería estar hipercomunicado a nivel educativo con charlas con mucha frecuencia. Los chicos no tienen un lenguaje técnico y hay términos que les cuesta entender. Por ejemplo, asumen que cuando mandan una foto a través de Snapchat esta desaparece al 100% y no es cierto. Asumen también que cuando se mandan una foto de un móvil a otro a 30 centímetros de distancia, ese es el viaje que hace el archivo, no entienden que viaje a Estados Unidos y vuelva.
Es importante dar charlas no solo de concienciación, también con cierto perfil técnico para que ellos comprendan cómo funcionan para que deduzcan por sí mismos los riesgos que hay por ahí. Pero si no saben cómo funciona, es muy difícil de entender. No tienen por qué ser charlas a nivel universitario, pero sí alguna charla que diga que cuando hay un servicio que da un tercero y es gratis, el producto eres tú y se trafica con tu información, o que cuando hay un envío de un dispositivo a otro, eso siempre pasa por otro ordenador que hay en otro sitio que lo gestiona, lo coordina y ahí queda. Yo creo que sería bueno hacer ese tipo de formación con mucha frecuencia. Eso también añade que gente que no tiene esa inquietud por este tipo de tecnologías en la etapa escolar abra los ojos a estas salidas.
¿Se habla demasiado poco de la seguridad en internet en las noticias? Y las que hay, ¿no son demasiado alarmistas?
Yo creo que se habla poco depende del medio, depende del canal. En televisión se habla poco, excepto en programas específicos, y cuando hay información se informan muy poco; pero quizás en prensa no pasa lo mismo. En las secciones tecnológicas de los medios generalistas hay multitud de noticias relacionadas con la seguridad,en general. Desde ataques hasta nuevos parches disponibles, o lo que sea. En las secciones específicas de los medios generalistas hay bastante información.
En el caso de Wannacry se creó demasiado alarmismo. En España, el nivel de respuesta fue bueno en general y el número de ordenadores infectados fue muy bajo. Cuando ocurren este tipo de noticias sería conveniente ir por el lado pedagógico o didáctico, más que por el lado del amarillismo, aunque yo sé que no es sencillo.
Unos consejos básicos para empezar
Lo principal es hacer un ejercicio de autoconcienciación. Hay que ser consciente de que tenemos un valor, sobre todo los que trabajamos con datos, con información. Si los datos son valiosos para ti, también lo son para alguien en el mundo. Si es valioso para ti, es valioso para alguien y ya buscará la manera de intentar robártelo. Una vez que tenemos eso claro, la propia iniciativa nos lleva a poner dos pestillos en lugar de uno para proteger la casa, ponemos alarmas, preguntamos a los vecinos, nos informamos.
La principal herramienta es la concienciación y, a partir de ahí, todo lo demás viene solo.
¿Dónde pueden acudir los emprendedores?
La principal fuente de información y comunicación de este tipo de situaciones en España es el Instituto Nacional de Ciberseguridad (Incibe). Ellos están permanentemente publicando cosas en su página web y, a su vez, ellos como cabecera, hacen referencia y te redirigen cada vez que hay algo específico que alguna otra entidad ha encontrado o ha publicado.
A partir de aquí encontramos otros sitios más específicos como ElevenPaths.
