You Are Viewing

A Blog Post

Ciberseguridad para andar por casa

En contra de lo que puedan hacer pensar los grandes titulares, la inmensa mayoría de los ataques informáticos no tienen como objetivo a las grandes empresas ni responden a sofisticados desarrollos tecnológicos. Pero eso no les resta peligrosidad: una pequeña o media empresa española se enfrenta a un promedio de cien ataques al año. El diagnóstico básico de los puntos vulnerables y la solución a los mismos no son tareas ni complicadas, ni caras, aunque ello no garantice una protección absoluta.

Por J. Carlos Arrondo

El reciente ataque a escala global del ‘Wanna Cry’, un virus cuya propagación ha llevado al ‘secuestro’ de los archivos de cientos de miles de equipos por todo el mundo, ha puesto la seguridad informática en el primer plano del interés mediático. Las consecuencias que un ataque de una magnitud sin precedentes ha tenido sobre empresas multinacionales y organismos públicos han ocupado un espacio destacado en las primeras planas de la prensa, algo que también ha ocurrido con sucesos tan llamativos como las filtraciones de los correos electrónicos de destacadas personalidades. Pero los grandes titulares pueden contribuir a ofrecer una imagen desenfocada de algo tan complejo como es la ciberseguridad. Es fácil incurrir en el error de que sólo afecta a grandes empresas internacionales o a entidades o personalidades públicas muy relevantes. Un ejemplo de que esto no es así sería el hecho de que una empresa española, generalmente de muy reducido tamaño, se enfrenta a un promedio de cien ataques informáticos al año. Tampoco es infrecuente el error de pensar que tras estas amenazas hay sofisticados desarrollos tecnológicos y que para hacerlas frente deben buscarse soluciones complicadas, muy caras y fuera del alcance de muchas empresas. Sin embargo, buena parte de estos ataques se basan en algo tan simple como aprovechar una descuidada seguridad por parte de sus víctimas. Las pequeñas y medianas empresas, que hoy en día disponen de mucha información concerniente a su negocio conectada a internet, deben tomar conciencia de que es fundamental su protección y de que unas buenas prácticas preventivas, sin mayores costes o esfuerzos adicionales, pueden reducir significativamente los riesgos de sufrir graves daños.

Iteisa es una empresa santanderina que ofrece a unas mil pequeñas y medianas empresas de toda España servicios de internet, fundamentalmente de ‘hosting’ –alojamiento– de páginas web y correo electrónico, de desarrollo de aplicaciones en la ‘nube’ y tiendas online. Muchos de sus clientes, con los ecos del ‘Wanna Cry’ resonando en los medios de comunicación, contactaron con ella para preguntar por la forma en que podían protegerse. Su director, Jaime Gómez Obregón, apunta una primera idea básica para enfocar correctamente el problema: ”La seguridad total es imposible. De igual modo que por mucha seguridad que pongas no puedes impedir que alguien robe en tu oficina, tampoco es posible estar totalmente seguro en internet. Es una cadena muy larga y muy compleja y basta con que falle un eslabón para que se vea comprometida la seguridad. Por lo tanto, la estrategia no es intentar securizarte al cien por cien, sino hacer una evaluación de riesgos y ponderar las medidas para paliarlos”. Para Gómez Obregón hay que tener en cuenta un segundo concepto fundamental: “No confundamos la visibilidad con el riesgo. Hay ataques a la seguridad informática que son muy llamativos y muy visibles, pero son tipos de ataques que muy improbablemente le van a suceder a una pequeña o mediana empresa”.

Ataques indiscriminados, masivos y baratos

De los dos tipos de ciberataques que hay, los que van dirigidos contra un objetivo concreto o los indiscriminados, son estos a los que frecuentemente se tienen que enfrentar las empresas. Son masivos, baratos, suelen ser de muy baja tecnología –muchas veces los realizan los llamados ‘script kiddies’, personas carentes de conocimientos que utilizan programas hechos por otros– y juegan con la probabilidad de que entre los millones de empresas atacadas habrá un número de ellas que sean vulnerables por no disponer de una protección adecuada. Para Jaime Gómez Obregón, cualquier empresa, por pequeña que sea, puede disponer de un nivel básico de autoprotección: “No se trata de blindar la ciberseguridad, de reducir el riesgo a cero, sino que se trata de dividirlo entre dos, tres o cuatro. Sin tomar ninguna medida de seguridad es cuestión de tiempo que se acabe teniendo un problema, pero tomando  algunas medidas concretas, asequibles y que no requieren ningún gasto, el riesgo se reduce. Si se pasa de un suspenso a un aprobado, ya es un avance significativo”. Un buen apoyo para quienes quieran dar estos primeros pasos es el que proporciona el Instituto Nacional de Ciberseguridad (INCIBE) mediante unas guías muy pedagógicas y útiles para comenzar a proteger los activos digitales de la empresa.

El punto de partida de una estrategia de seguridad informática debe ser una evaluación de riesgos. A partir del sentido común y en función de las características de la empresa, habrá que ponderar la importancia que cada activo digital posee para ella y las consecuencias que tendría si resulta dañado. “Cada empresa es diferente. ¿Dónde están los mayores activos digitales en una empresa y cuáles son los que hay que securizar mejor? ¿Cuál es su ‘talón de Aquiles’? El sistema de facturación, el sistema de gestión de clientes, los buzones de correo, etc. Muchas de esas cosas normalmente la pequeñas empresas las tienen externalizadas, por lo que es importante la interlocución con el proveedor de informática para establecer las prioridades de seguridad”, explica Jaime Gómez Obregón.

Conocido el ‘talón de Aquiles’, cabe preguntarse cómo podría ser atacado y que medidas de prevención habría que tomar. Es preciso que estas sean cómodas  y no reclamen la atención permanente de los responsables de la empresa: “Una medida cómoda es tener un proceso, una aplicación o a mi proveedor de hosting haciéndola automáticamente. Si por lo que sea un día no se hace, salta un aviso. Si uno tuviera que llevar la iniciativa, por ejemplo, de tener que hacer copias de seguridad, no cabe duda de que a los diez días no las haría.  El empresario toma medidas que no le supongan una carga añadida y la seguridad informática debe tender a esto”, señala el fundador de Iteisa.

Jaime Gómez Obregón, director de Iteisa

Jaime Gómez Obregón, director de Iteisa

Una de las principales medidas de autoprotección es mantener el software actualizado, sobre todo el sistema operativo y el navegador web. El fabricante actualiza la herramienta porque ha tenido conocimiento de una vulnerabilidad y ofrece una solución de seguridad muy rápido. Es importante aplicarla cuanto antes, algo que actualmente es muy sencillo porque los propios fabricantes facilitan al cliente la posibilidad de instalar automáticamente las actualizaciones de seguridad y aplicarlas en el siguiente reinicio del equipo. “La reflexión que debe hacer un empresario es si sus equipos están actualizados, si las actualizaciones están activadas y si se están aplicando automáticamente cada día. Esto no lleva tiempo, no supone un gran esfuerzo y reduce el riesgo”.

La gestión de las contraseñas es otro aspecto fundamental en una estrategia básica de seguridad informática. El cincuenta por ciento de las que se ponen son fácilmente vulnerables por un ataque de ‘fuerza bruta’, un tipo de ataque en el que un programa prueba cientos de miles de palabras y otras combinaciones de caracteres contra buzones de correo y otros sistemas o aplicaciones.

El INCIBE recomienda que para que una contraseña sea segura debe tener al menos ocho caracteres, debe evitar las palabras del diccionario o combinaciones de letras o números que tengan alguna ‘regularidad’, conviene que incluya caracteres especiales, números y letras mayúsculas y minúsculas, entre otras características. Este organismo público también alerta del peligro de utilizar una misma clave para diferentes servicios de internet y recomienda establecer una para cada uno de ellos. Las indicaciones del INCIBE permiten reducir considerablemente el riesgo de una brecha de seguridad, pero su eficacia depende en buena medida de que alguien las modifique periódicamente por otras igualmente seguras y que no hayan sido utilizadas anteriormente. “Hay aplicaciones que se instalan en la empresa y generan contraseñas totalmente robustas. Con una clave maestra permiten guardar un llavero de contraseñas seguras para cada servicio”, añade Jaime Gómez Obregón.

Una tercera medida esencial de autoprevención consiste en establecer una política de copias de seguridad. Un problema de seguridad en una empresa puede significar perder información tan valiosa como pedidos, facturas, contratos, etc.  Si se redunda la información, se reduce el riesgo. “Nosotros hacemos copias de los buzones de nuestros clientes todos los días y si hay un problema puede restaurarse lo del día anterior. La experiencia que hemos vivido aquí ha sido la de ayudar al cliente a encontrar copias que quizás no sabe que tiene como una forma de paliar el daño causado”, explica el director de Iteisa. Es conveniente ser consciente de que los sistemas operativos y las aplicaciones suelen tener mecanismos que hacen copias de la información de sus clientes.

A veces, conocer un sencillo procedimiento de configuración del correo electrónico, como el de sustituir el tradicional protocolo POP por el protocolo IMAP también mejora la política de copias de seguridad. “El protocolo IMAP permite tener copias de los correos almacenadas en el servidor, facilita la sincronía con todos los dispositivos y, ante un ataque como el del Wanna Cry con el cifrado de todo el correo electrónico,  permite pedirle una copia al proveedor, de manera que los datos permanecen a salvo”, describe Gómez Obregón.

Reducir riesgos

La seguridad informática es algo mucho más complejo que estas sencillas medidas de protección, pero el contar con una estrategia básica de este tipo, sin coste y fácil de implementar supone que muchas empresas, especialmente las más pequeñas y abundantes, las microempresas, puedan reducir su riesgo significativamente. Para ello es necesario que la ciberseguridad forme parte de la cultura del empresario, de modo similar a como han ido incorporándose con el tiempo la prevención de riesgos laborales, la protección de datos, el cumplimiento legal, etc. También será preciso que el responsable de la empresa lidere a sus empleados en el desarrollo de esta estrategia de seguridad. El mundo digital está dirigiéndose hacia un modelo ‘bring your own device’ (BYOD) –trae tu propio dispositivo– y, por muy protegidos que tenga sus equipos, es muy difícil impedir que los empleados accedan a los sistemas de información de la empresa con su móvil, que puede tener algún tipo de ‘malware’ –software malicioso– y poner en riesgo a toda la organización. Otro peligro muy frecuente en el trabajo cotidiano de una empresa el ‘phishing’, un tipo de ataque basado en la ‘ingeniería social’ –en la manipulación de los usuarios– cuya finalidad es obtener información mediante una suplantación de identidad. Las brechas en la cadena de la ciberseguridad se suelen producir en eslabones débiles, por lo que es crucial la formación de los empleados para que sean conscientes de estos riesgos y sepan afrontarlos.

“Todos los días se producen ataques de phishing o de otro tipo, pero el usuario puede  no llegar a recibirlos porque el proveedor los filtra. La seguridad del proveedor informático cuenta con muchas medidas de protección complementarias, redundadas, diferentes pero integradas. Es otra dimensión, hay incluso una norma ISO de seguridad de la información”, aclara el experto cántabro.

Sus protocolos  de seguridad generalmente constituyen un escudo muy efectivo para cubrir las vulnerabilidades, los eslabones débiles, que los clientes pudieran tener. Estos tienen que valorar la idoneidad de tener sus servicios en la ‘nube’ dispersos entre varios proveedores, posiblemente radicados en algún país extranjero, con su correspondiente legislación, o agrupados bajo el paraguas de uno más cercano y con el que es más sencillo comunicarse. “La prevención significa también tener una buena interlocución con el proveedor de tecnología, interesarse activamente por las medidas de seguridad de su web, de su hosting, de sus buzones de correo, contraseñas, etc”, agrega Jaime Gómez Obregón.

El proveedor informático, las recomendaciones del INCIBE o el propio sentido común  aportan pistas que a una empresa le van a permitir pasar de un suspenso a un aprobado en materia de ciberseguridad. El paso de subir nota, de alcanzar un sobresaliente, supone contar con una ayuda especializada, alguien que realice una auditoría externa de seguridad, que diseñe un sistema de protección más complejo y eso tiene un coste. En muchos casos, sobre todo en microempresas, la autoprevención básica es suficiente. Como indica el responsable de Iteisa, Jaime Gómez Obregón, el medio digital no es más inseguro en sí mismo, pero exige una seguridad activa: “Estamos en un contexto digital, estamos conectados, tenemos información en servicios en la nube y todo eso tiene riesgos, aunque esto no es exclusivo del medio. En la vida real estamos sometidos a muchos riesgos, pero son paliados porque, por ejemplo,  hay pasos de cebra o pararrayos que alguien ha puesto ahí para nuestra protección. En la explotación que hacemos de la información no va a venir otro a decirnos que hay que  protegerla, sino que es una decisión que debemos tomar nosotros. En la seguridad informática no vale ser pasivo”.

Leave a Reply