Cómo evitar un ciberataque como el de Jeff Bezos

Los ataques informáticos a empresas se han multiplicado en los últimos tiempos. El espionaje al fundador de Amazon, Jeff Bezos, a través de su iPhone ha sido el último caso que ha hecho saltar las alarmas, pero no el único. El pasado noviembre varias compañías, entre ellas la Cadena SER y Everis, se vieron obligadas a desconectar sus equipos ante un ataque de tipo ransomware –uno de los que ha tenido un mayor auge–, que consiste en un encriptado o secuestro masivo de datos para pedir un rescate por ellos más tarde. En 2017 fue el turno del WannaCry, conocido como el mayor ciberataque de este tipo a nivel mundial, que en España afectó a empresas como Telefónica, Iberdrola o Gas Natural.

No disponer de medidas de seguridad eficaces que protejan la información que maneja la compañía no solo afecta negativamente a la actividad empresarial, sino que también puede conllevar sanciones. Los tribunales del Reino Unido y Países Bajos impusieron a Uber una multa de 454.714 y 600.000 euros, respectivamente, por no informar correctamente de que un ataque informático había dejado expuestos los datos de 57 millones de usuarios en todo el mundo. En España se estima que solo en el año 2019 el coste medio del impacto de todos los ciberataques fue de 187.000 dólares (16.9941 euros), según los datos de Statista.

“La urgencia por llevar a cabo los proyectos de transformación cultural dentro de las corporaciones provoca que, en ocasiones, la seguridad sea un tema que se pasa por alto”, criticó el evangelista jefe de la compañía de software Manage Engine, Ajay Kumar, durante la presentación de un informe sobre los peligros de las nuevas tecnologías este martes, coincidiendo con el Día Europeo de la Protección de Datos. De hecho, según un estudio de Fujitsu, los riesgos de ciberseguridad, y la falta de personal formado a tal efecto, son los mayores retos a los que se enfrentan las compañías una vez han ejecutado sus proyectos de transformación digital.

Para Kumar, el principal problema en las empresas españolas es precisamente esa ausencia de formación de los empleados en la materia. “España tiene un potencial de crecimiento muy grande en este ámbito porque se producen muchos casos de ciberataques, y eso se debe a la falta de entrenamiento de los trabajadores”, explicó el directivo.

Los mayores peligros para la seguridad informática, de hecho, suelen provenir de amenazas internas provocadas por la propia empresa. Abusar del acceso al sistema de organización, el uso de redes sociales personales en el lugar de trabajo o seguir utilizando las cuentas de usuario de la empresa cuando ya no se trabaja para ella son algunas de las prácticas que facilitan los ataques.

Cada vez más, las empresas comienzan a ser conscientes de la necesidad de tomar medidas al respecto. Junto con las amenazas, también crece el mercado europeo de la ciberseguridad, a un ritmo anual de más del 11%, tal y como expuso Kumar, cuyo valor alcanzará los 47.000 millones de dólares (42.686 millones de euros) para 2023.

Uno de los primeros pasos para evitar las amenazas internas consiste en enseñar a los empleados a administrar correctamente las cuentas y contraseñas. A este respecto, el experto insistió en que, aunque se le tienda a dar poca importancia y a recurrir a fórmulas repetitivas, es conveniente contar con una política de contraseñas compleja, que obligue a renovarlas cada cierto tiempo y cuente con, al menos, ocho caracteres de longitud, así como símbolos especiales. Una medida que debería ir acompañada de un sistema que permita a los usuarios obtener una nueva clave de acceso en caso de que no la recuerden, con el objetivo de que los dispositivos de seguridad no empañen la agilidad de las operaciones. También es conveniente comunicar a los trabajadores de manera efectiva cuáles son los peligros de la mala utilización de los equipos, así como establecer protocolos centralizados que eliminen toda la información relativa a la empresa a la que tengan acceso en el momento en el que estos causen baja en la compañía, sin olvidar sus dispositivos móviles.

Los perfiles de mayor rango son los que suelen conllevar un peligro mayor, pues tienden a disfrutar de determinados privilegios, como acceso ilimitado a la información de la compañía o una menor monitorización de lo que ocurre en sus equipos. Según Manage Engine, el 80% de las violaciones de datos tienen acceso a conexiones privilegiadas comprometidas. Para hacer frente a esto, Kumar recomendó delegar correctamente y limitar con exactitud las áreas a las que necesita acceder cada uno de los miembros de la organización.