El pasado 28 de mayo, Microsoft alertó de una «oleada» de ciberataques con origen en Rusia contra más de 150 gobiernos, think-tanks, consultoras y ONG de 24 países.
En esta ocasión, los piratas informáticos intentaron acceder a 3.000 cuentas de correo electrónico mediante la técnica conocida como phishing, que normalmente consiste en el envío de e-mails a trabajadores de una empresa haciéndose pasar los hackers por emisores de confianza para la descarga de archivos infectados. Este malware puede robar datos e infectar a otros ordenadores conectados a la misma red.
“Aunque las organizaciones de Estados Unidos fueron las que recibieron la mayor parte de los ataques, las víctimas se encuentran repartidas por 24 países distintos”, alertó el vicepresidente corporativo para la seguridad y confianza de los clientes de Microsoft, Tom Burt, en una entrada en el blog oficial de la compañía. Y es que la amenaza que suponen los ciberataques es cada vez mayor y se extiende tanto a entidades del sector público como del privado, muy vulnerables a ataques sofisticados, constantes y maliciosos.
Según datos facilitados por Microsoft, los hackers lanzan una media de 579 ataques a sistemas informáticos por segundo, la mayoría de ellos sin éxito. Uno de los más comunes es el phishing, aunque el ransomware, un programa que bloquea el acceso a la información a cambio del pago de una recompensa, se está volviendo especialmente problemático. De hecho, en mayo también, Colonial, la empresa que opera la mayor red de oleoductos de EEUU, sufrió un ciberataque de ransomware que le obligó a interrumpir el suministro de gasolina, diésel y combustible de aviación.
El factor humano, el flanco más fácil
En un contexto así, la seguridad debe ser una prioridad para las empresas, sobre todo en un momento en el que muchas de ellas han tenido que pasar a trabajar en remoto e incluso están instaurando un modelo híbrido que combina la asistencia a la oficina con el teletrabajo, como consecuencia de la pandemia. En este sentido, la iniciativa #AhoraMásCerca de Orange ofrece consejos y recomendaciones a autónomos y pequeños empresarios para reactivar sus negocios tras la crisis y superar los retos de un entorno cada vez más complejo como son las amenazas de ciberseguridad.
Hacer frente a este desafío no solo pasa por mejorar las infraestructuras y los sistemas de información y control, así como la colaboración público-privada. Tener una plantilla de empleados formados en esta materia es imprescindible, porque la tecnología va mejorando, pero el factor humano siempre es el más débil. Y es precisamente de los errores de las personas de los que intentan aprovecharse los cibercriminales.
De hecho, la gran mayoría de los ciberataques tienen su origen en un fallo humano y, por tanto, las personas son el elemento crítico a tener en cuenta en la estrategia de ciberseguridad de las empresas. En el caso, por ejemplo, de phishing, un empleado que sabe distinguir entre un intento de suplantación de identidad y un correo legítimo puede prevenir por sí solo un ciberataque.
Instaurar una cultura de seguridad en la empresa
Ahora bien, instaurar una cultura de seguridad en el seno de una organización es uno de los objetivos más complejos que se pueden marcar. Requiere de una planificación pormenorizada y de acciones continuadas en el tiempo. Además, son muchas las empresas que todavía hoy consideran la formación de sus trabajadores en ciberseguridad un gasto innecesario, y no una inversión. Esto supone pasar por alto que la prevención es siempre más rentable que la mitigación de los efectos que puede acarrear un incidente de seguridad. Por el lado de los trabajadores, es corriente que vean los protocolos de seguridad como una complicación o un incordio.
El Instituto Nacional de Ciberseguridad (Incibe) recomienda a las empresas desarrollar un plan director de seguridad que analice la situación de la organización, evaluando los riesgos a los que está sometida y aglutinando las medidas de protección que se llevarán a cabo. En cuanto a la preparación y formación de los trabajadores, el personal informático no debe ser el destinatario exclusivo de la formación en materia de seguridad de la información. Y es que la gran mayoría de empleados trabajan con ordenadores o con dispositivos que les permiten conectarse a los sistemas corporativos. En este sentido, y de acuerdo con el Incibe, las empresas deberían considerar, grosso modo, las siguientes variables para prevenir incidentes de seguridad:
- Enseñar a los empleados a reconocer un ataque de ingeniería social y a evitarlo, de forma que se garantice que no proporcionan información corporativa a personas no autorizadas.
- Igualmente, los trabajadores deben conocer cómo proteger de forma adecuada su puesto de trabajo, con la instalación de antivirus, realizando las actualizaciones del sistema requeridas, etcétera.
- También deben respetar los controles de acceso físico de la entidad: entrada solo a las dependencias de la empresa autorizadas, acompañamiento en todo momento a clientes y proveedores, etc.
- Es clave, asimismo, saber manejar adecuadamente los distintos soportes y dispositivos móviles a disposición del personal, como ordenadores portátiles, tabletas o smartphones.
- También es necesario entender los verdaderos riesgos que conlleva el acceso a páginas web externas y aplicaciones de terceros, las descargas o las actualizaciones no validadas por el departamento de informática.
Dentro de este ámbito de la ciberseguridad en las empresas, podemos utilizar el símil de los eslabones, considerando a cada uno de ellos como clave en el funcionamiento de la cadena, por lo que, con que uno de ellos falle, la seguridad corporativa podría verse comprometida.
Es por ello que, si queremos que nuestros trabajadores se conviertan en un eslabón fuerte de la cadena, deberemos otorgarles la importancia que merecen. Hay que tener en cuenta que a la hora de la verdad serán los empleados los auténticos protagonistas, pues son los encargados de gestionar y utilizar los sistemas de información de las empresas.
Los autónomos y pequeños empresarios son los grandes afectados por la pandemia y por sus consecuencias más directas, como las derivadas de los mencionados ciberataques. Cada historia de estos autónomos y responsables de pymes supone un gran ejemplo de superación y resiliencia. El periodista Javier Ruiz, de la mano del programa para pymes de Orange #ahoramáscerca, analiza la situación y apunta consejos que pueden serte de utilidad.
Imágenes | Lagos Techie (Unsplash) | Sigmund (Unsplash) | Joan Gamell (Unsplash)
