Cuando hablo con clientes, amigos que tienen una pequeña empresa o profesionales como yo misma, me doy cuenta de que al mencionar la palabra ciberseguridad sus expresiones pasan del ¿De qué narices me hablas? o el ¿para qué me sirve a mi eso? , al Eso es cosa de informáticos, ¿Quién va a querer atacarme?. Teniendo en cuenta que todos somos vulnerables ante un ataque y que pymes, micropymes y autónomos forman la mayor parte del tejido empresarial en España, quizás sea hora de que quienes tenemos un negocio nos empecemos a tomar en serio esto de la ciberseguridad.
Basamos nuestro trabajo en herramientas digitales, estamos casi permanentemente conectados a internet, llevamos nuestra vida, y la de nuestra empresa, en el móvil, en la tableta o en el portátil. Seguramente a todos nos cause temor que un extraño entre en nuestra casa o en nuestra empresa, que pueda destruir nuestros archivos, alterarlos, robarlos o difundirlos, y ponemos una alarma y un cierre metálico en la puerta. Sin embargo muchas veces no somos conscientes de que para los delincuentes resulta mucho más sencillo y cómodo acceder a los activos de nuestra empresa o negocio desde un ordenador, sentados en el sofá de su casa. Por otro lado, nuestros propios descuidos o los de nuestros empleados también pueden causarnos perjuicios importantes.
Cuando voy al juzgado veo que cualquier abogado pide en la oficina judicial que le graben los autos en un pendrive y, sin más, el funcionario de turno, lo hace. El hecho no me resulta extraño ya que me he acostumbrado a ver que ese mismo funcionario, o su compañero, tiene en su mesa un post-it con la clave del ordenador del juez que usa para conectar el ordenador de sala en las videoconferencias o que el propio juez te pide que presentes en un USB o en un CD la transcripción de una conversación de WhatsApp que constituye la prueba de cargo en un proceso penal.
En este post sólo pretendo dar unas ideas generales sobre aspectos básicos de seguridad que probablemente a muchos les parecerán obviedades pero que, quizás sirva para que alguno se conciencie de la necesidad de adoptar buenos hábitos y tener ciertas precauciones, evitando así riesgos o minimizando el impacto de un ataque. Por ello no voy a llenar estas líneas de siglas en inglés, ni términos técnicos (solo los justos). Si lo hiciese, sé que muchos dejarían de leer y mi propósito es que deje hacérsenos bola la ciberseguridad y se empiece a pensar en ella no como en algo algo complejo y ajeno, sino como algo útil y necesario.
Aunque parezca un tópico, en la cadena de seguridad, el eslabón más débil es el factor humano. De hecho muchos de los ataques más importantes se han llevado a cabo aprovechando una vulnerabilidad humana, utilizando técnicas de ingeniería social, basadas en el engaño o aprovechando un descuido. Estas técnicas son cada vez son más sofisticadas y cualquiera podemos ser víctima de ellas.
En primer lugar, debemos saber cuales son los activos de nuestra empresa (inventario de activos). Normalmente habrá activos de información ( información de empleados, clientes, proveedores, registro de pedidos, facturas, informes, expedientes, nóminas, etc.); equipos informáticos: Portátil, ordenadores, smartfhones, pendrives, disco duro externo, datáfono, tableta, impresora, router, conexión a internet o cualquier aparato con tecnología IoT (Internet of Things); haremos uso de aplicaciones y programas, almacenamiento externo en alguna nube, del correo electrónico, de telefonía IP y casi seguro que tendremos una web y cuentas en redes sociales como Facebook, Linkedin o Twitter. Además de todo ello puede que tengamos activos de propiedad intelectual o industrial y procesos de negocio, además de instalaciones y recursos humanos.
Ahora preguntémonos que ocurriría, por ejemplo, si la información que se crea, almacena, transmite o comparte usando medios o herramientas tecnológicas se pierde, destruye, altera o cae en manos de terceros. No tardaremos en darnos cuenta de que todas las respuestas le llevan a pensar en un perjuicio cuantificable económicamente.
El siguiente paso, determinados nuestros activos, será conocer las amenazas que pueden ponerlos en peligro. Dichas amenazas pueden ser externas o internas. Sin ánimo de ser exhaustiva en su relación, trataré de hacer referencia a las más frecuentes.
Dentro de las externas encontramos:
Malware: En esta categoría se incluyen virus, gusanos ( un tipo de virus que se propaga por conexión a la red), troyanos, etc.
Exploit: Es un programa que aprovecha la vulnerabilidad de un sistema informático para robar datos o contraseñas, espiar, controlar o modificar las configuraciones del equipo. Los técnicos informáticos también lo usan para descubrir las vulnerabilidades del sistema y corregirlas.
Ataque de denegación de servicio (DOS o DDOS) Saturan un servidor, por ejemplo nuestra web, con peticiones, a veces incluso utilizando una red de dispositivos “”zombies” provocando el colapso de nuestra web. Actualmente con el auge de IoT (Internet of Things) y la escasa o nula protección que incorporan los aparatos, este tipo de ataques tiene el campo abonado.
Phishing: Se suele llevar a cabo mediante un correo electrónico que trata de hacernos confiar para que pinchemos en un enlace con el fin de robar información tal como contraseñas, claves de acceso, etc. También es frecuente este ataque por WhatsApp y otras mensajerías. Seguro que alguna vez ha recibido un mensaje pidiéndole que pinche en un link para obtener un regalo. Ni Lancôme regala cofres con cosméticos ni Mercadona vales para hacer la compra.
Ramsonware: El atacante secuestra nuestros ficheros, a los que no tendremos acceso si no pagamos el rescate que solicita. En la mente de todos está el famoso Wannacry. Por cierto, nunca se debe pagar a estos delincuentes. Mejor hacer con frecuencia copias de seguridad.
APT (Amenaza Persistente Avanzada): Es un conjunto de procesos informáticos sofisticados, que persisten en el tiempo y se dirigen a una entidad específica. Pensarás que estás a salvo por no ser un objetivo interesante, pero cualquiera puede ser la conexión perfecta en un ataque dirigido. En el blog de Karspersky se explica perfectamente como cualquiera puede ser un objetivo de este tipo de ataque.
Malware para minar criptomonedas: Consiste en el secuestro del CPU de los internautas para minar criptomonedas, principalmente monero, pero también bitcoin o ethereum. A primeros de marzo de 2018 leía la noticia de que casi 50.000 webs que usan WordPress han sido infectadas con este fin.
Uso abusivo de dominios (Cibersquatting) para impedir su uso a un poseedor con derechos previos a un competidor. Puede usarse para perjudicar a un competidor, para vender o alquilar el dominio, etc.
Utilización no consentida de derechos de propiedad industrial o intelectual.
Para quien desee ampliar información sobre las amenazas conocidas, ENISA publica anualmente un listado completo.
Las vías de infección más habituales suelen ser: Anuncios en webs, dispositivos infectados (USB, DVD), sitios web fraudulentos que imitan un entorno conocido o legítimos infectados, enlaces a sitios comprometidos en correo o mensajería, redes sociales, programas de compartición de ficheros, software gratuito o botnets (conjunto de robots informáticos capaz de controlar muchos ordenadores de usuarios de forma remota para propagar virus, generar spam, etc.).
Dentro de las internas el factor humano es la clave:
Empleados malintencionados: En ocasiones un empleado puede querer causar daño a la empresa en represalia a una sanción, un despido, etc.
Empleados descuidados: Los que no adoptan las debidas precauciones o carecen de la adecuada formación. La reciente filtración de los resultados de los exámenes del MIR incluyendo datos personales de quienes realizaron las pruebas se debió aun error de configuración que provocó que los buscadores indexaran un documento que no debió ser indexado. Se produjo una brecha de seguridad en datos personales que pudo y debió ser evitada.
Empleados engañados: Por falta de formación o por las cada vez más sofisticadas técnicas de ingeniería social.
Vistos los activos que debemos proteger y la principales amenazas, le toca el turno a un breve examen de las vulnerabilidades más frecuentes:
Un formulario web que no comprueba parámetros introducidos por el usuario.
Mala ubicación de un servidor de base de datos de la red corporativa de nuestra empresa.
Hardware o software obsoleto y sistema operativo sin actualizar o uso de software pirata.
Ausencia de copias de seguridad.
Cuentas de usuario mal configuradas, sobre todo a nivel de privacidad.
No tener instalado un cortafuegos (firewall) para bloquear el acceso no autorizado a nuestra red y permitir la salida autorizada de información de nuestros sistemas, o tenerlo mal parametrizado.
No tener instalado un antivirus (También en el móvil).
Mala gestión de contraseñas.
No usar cifrado de discos o carpetas con información sensible.
Falta de formación y concienciación del personal.
Carecer de normas de uso de dispositivos electrónicos o de una adecuada política de privilegios y credenciales (Recordemos al post-it de los funcionarios del juzgado con las claves del equipo del juez).
Contra las vulnerabilidades de código o diseño, la defensa será difícil porque lo normal es que no las conozcamos hasta que alguien con conocimientos técnicos se dé cuenta y el proveedor correspondiente busque la solución, como ha ocurrido recientemente con los procesadores de Intel . Pero son muchas más las vulnerabilidades que podemos considerar de arquitectura y configuración y, sobre estas, sí podemos y debemos actuar. A cada uno corresponde ahora su examen de conciencia.
Sobre las primeras, en CVE (Common Vulnerabilities and Exposures) pueden encontrarse relacionadas las que se conocen hasta este momento.
Teniendo en cuanta todo lo anterior, podríamos diseñar un plan en el que debemos tener en cuenta:
1.- El alcance (Parte de los activos o su totalidad), los objetivos (Por ejemplo, activos físicos, software, aplicaciones y servicios, datos e información) y el valor del impacto económico si una amenaza se materializase.
2.-La valoración del riesgo una vez examinadas las amenazas, teniendo en cuenta su frecuencia y el grado de vulnerabilidad de cada activo, puede calcularse el riesgo. También podemos aprovechar la herramienta gratuita que INCIBE ofrece en su web. Habrá algunos riesgos asumibles, otros delegables (Para estos quizás nos interese contratar un seguro que los cubra) y otros sobre los que sea necesario que adoptemos medidas de prevención y contramedidas para reducir o mitigar el riesgo.
3.-La selección de medidas preventivas y de contramedidas pueden ser muy diversas dependiendo de nuestro negocio o empresa.
Las preventivas pueden ir desde establecer políticas de seguridad y normativa de uso de los activos corporativos o establecer un sistema de clasificación de la información, a medidas de carácter técnico como soluciones antimalware o antifraude. A modo de ejemplo y como medidas básicas podrían adoptarse las siguientes:
. Política de mesas limpias. Todos los soportes que contengan información deben guardarse bajo llave cuando se termine la jornada laboral.
.Cifrado de datos, tanto en correos como en disco, móviles, dispositivos de almacenamiento o carpetas con información sensible.
. Hacer copias de seguridad en un disco externo y en la nube.
. Activar y actualizar un antivirus en todos los dispositivos, sin olvidar móviles.
. Instalar solo software con licencia y mantenerlo actualizado. El uso de software sin licencia no sólo constituye una infracción de la Ley de Propiedad Intelectual sino que además se encuentra tipificado como delito en el artículo 270 del Código Penal, el cual establece penas de hasta cuatro años de prisión.
Aquí hago un inciso porque para los usuarios de Lexnet, a quienes, con frecuencia, dejará de funcionarles correctamente al actualizar Java, por lo que tendrán que encomendarse a todos los santos, cruzar los dedos, buscarse las mañas con un simulador de versiones antiguas de Internet Explorer o esperar a que pongan el parche correspondiente.
.Tener un buen control de contraseñas. Lo más práctico es usar un gestor de contraseñas. Resulta la manera más sencilla de contar con contraseñas robustas. En cualquier caso evite siempre nombres propios, fechas importantes o el nombre de sus mascotas (Ese nombre con el que las exhibe en redes sociales).
. Bloqueo de dispositivos.
. Instalación de cortafuegos bien parametrizados.
. Tener un correcto control de accesos y una correcta administración de roles y perfiles con privilegios. Adoptar el principio de mínimo privilegio por defecto es la mejor opción. Los sistemas de autenticación multifactor en accesos también son recomendables.
. No ejecutar programas o ficheros de dudosa procedencia.
.Concienciar y formar a empleados y usuarios. INCIBE ofrece cursos gratuitos y sencillos que pueden sernos de gran utilidad para que nuestro negocio sea más seguro.
.Redactar cláusulas de confidencialidad en los contratos con empleados y proveedores.
. Incluir en las normas de funcionamiento interno de la empresa, que suscriben los empleados, instrucciones sobre el uso correcto y responsable de los equipos, comunicaciones, uso del correo, etc.
.Uso de VPN para las conexiones externas cuando el empleado necesita conectarse a la red corporativa desde fuera. Si es necesario llevarse trabajo a casa, trabaje, pero seguro.
.Adoptar medidas de seguridad en los dispositivos móviles. El Decálogo de buenas prácticas de seguridad en el móvil elaborado por INCIBE recoge medias que todos debemos tener en cuenta.
OSI (Oficina de Seguridad del Internauta) ofrece un catálogo de herramientas gratuitas que pueden ser muy útiles a la hora de establecer estas medidas preventivas.
Respecto de las medidas reactivas, lo más aconsejable es diseñar un plan de actuación para el caso de que se materialicen las amenazas cuyo riesgo es mayor y sus consecuencias revisten mayor gravedad. El tiempo que se tarda en detectar, analizar, gestionar y responder a cualquier incidente de seguridad es esencial de cara a minimizar el impacto y reducir, en consecuencia, el coste del mismo a nuestro negocio. Si hemos determinado de antemano las personas que se encargarán de cada acción, si sabemos dónde dirigirnos, cuando, cómo y a quien se debe comunicar un incidente, si tenemos claro qué hacer frente a las amenazas más probables para frenar y mitigar el daño a nuestro negocio, probablemente nos alegraremos de tener los deberes hechos. Reaccionar a tiempo puede evitarnos muchos problemas.
Tengamos en cuenta que si el incidente ha provocado una brecha de seguridad en datos personales, de acuerdo con el artículo 33 del nuevo RGPD (Reglamento General de Protección de Datos), será de obligado cumplimiento el próximo mes de mayo en España, el responsable del tratamiento de los datos tiene obligación de informar a la Agencia Española de Protección de Datos , así como al afectado, si la brecha afecta negativamente a la protección de datos personales o a la privacidad del interesado.
Me consta que, a pesar de poner de nuestra parte en prevenir, en adoptar hábitos saludables en materia de seguridad informática y dedicar tiempo a formarnos, habrá incidentes que nos superen. En tal caso, lo mejor es no perder el tiempo y acudir a quien puede ayudarnos. INCIBE tiene un CERT gratuito para apoyo a la industria, pymes y ciudadanos que nos orientará en la forma de gestionar el incidente.
Las motivaciones de los ciberdelincuentes son múltiples, desde la obtención directa de un beneficio económico a la eliminación de la competencia, pasando por motivaciones políticas. La seguridad absoluta no existe. Cualquiera puede sufrir un incidente de seguridad. Se calcula que el coste global en ciberseguridad, alcanzará los seis billones de dólares en 2021, ¿ Seguirá siendo nuestra signatura pendiente ?
Autora: María Inmaculada López González
El blog de Inmaculada López 