Después de que en las últimas semanas haya tenido lugar un ataque cibernético masivo que afectó a miles de ordenadores de todo el mundo, el debate sobre la seguridad online ha vuelto a reabrirse. Si bien es cierto que la protección de los dispositivos nunca debe pasarse por alto, de un tiempo a esta parte las empresas han reactivado sus protocolos ‘defensivos’ y han vuelto a alertar a sus trabajadores de los riesgos.
Este último punto será uno de los que se analizarán por la jornada APD ‘Los empleados, en el centro de la ciberseguridad’ que tendrá lugar en Madrid el próximo 30 de mayo en el Auditorio Rafael del Pino. “El elemento humano es, sin duda, el eslabón más débil en la cadena de la ciberseguridad”, asegura Pedro Pacheco, uno de los principales ponentes del mencionado encuentro y Comisario Jefe de la Brigada de Seguridad Informática de la Unidad de Investigación Tecnológica de la Dirección General de Policía.
En esta misma línea apunta Helena Prieto, socia del área de Derecho Penal de Garrigues y también ponente en la jornada: “Ni que decir tiene que el factor humano está en el centro de la ciberseguridad corporativa”.
La cuestión es, ¿qué medidas se pueden llevar a cabo para evitar ciberataques contando con el apoyo de la plantilla? “Las campañas de concienciación empresarial combinadas con acciones de hacking ético y la formación son básicas para conseguir un espacio laboral ciberseguro”, explica esta abogada.
“Todos los componentes de todos los estratos de la empresa, sin excepciones, han de concienciarse de su vulnerabilidad, actuar de acuerdo a un protocolo seguro y sobre todo aplicar el sentido comúnen el desempeño de sus funciones”, aconseja Pacheco. Y es que son los aparatos informáticos que utilizan los trabajadores los que más probabilidades tienen de ser infectados por algún tipo de virus o malware, sobre todo a través del phising o spear phising.
Con este nombre se conoce precisamente a la entrada de malwareque accede al sistema informático corporativo después de que el empleado descargue un archivo adjunto insertado en un email aparentemente inofensivo y rutinario. “La conexión a redes desconocidas con todo tipo de dispositivos, la respuesta y ejecución de órdenes recibidas por correo electrónico de remitentes con apariencia legítima; y la conexión a los equipos de todo tipo de dispositivos de almacenamiento masivo, son los comportamientos más comunes de los empleados que suponen un riesgo evidente para la compañía”, enumera Prieto.
Aunque es cierto que la intención cibercriminal es la más frecuente en la infección de ordenadores, el Comisario Jefe que participará en el seminario debatiendo entorno a si la Ciberseguridad corporativa es una cuestión únicamente a través de la tecnología, recuerda que no hay que dejar de lado la figura de los insider, es decir, “los trabajadores que están dispuestos a traicionar secretos o informaciones reservadas de empresa”.
Al igual que en este último caso donde la obtención del beneficio económico es la meta a conseguir, el ransomware aparece como otro de los elementos categorizados en este apartado. De hecho, la introducción en los sistemas informáticos de la empresa de un malware que cifra los datos corporativos y solicita un rescate para poder recuperarlos ha sido el sistema escogido por los ciberdelincuentes que han puesto en jaque a los sistemas informáticos de medio mundo en los últimos días.
Desde el punto de vista legal, la socia del área de Derecho Penal de Garrigues, recomienda en todo caso tener un plan de acción que comprenda las actuaciones inmediatas a adoptar –tales como “desconexión de equipos de la red, conservación de logs, congelación de back-ups…”–, un plan de respuesta a futuro y un diagnóstico de daños y riesgos, entre otros factores a tener en cuenta.
Además de actuar con la prevención que nos sugiere el propio sentido común, Pacheco realiza una serie de recomendaciones a tener en cuenta en caso de ser víctimas de un ataque cibernético. Según el experto en Ciberataques, “en primer lugar, hay que localizar el foco del ataque e implementar las medidas que mitiguen los daños causados. Después conviene hacer un análisis forense del incidente para tratar de calibrar el impacto real y, una vez apagado el fuego, hacer del incidente una lección aprendida estableciendo medidas correctoras que acaben con los fallos de seguridad que han propiciado esta situación”.
Pacheco recuerda que cualquier ciberataque debe ser denunciado ante la Policía, “tanto para tratar de investigar e identificar al autor del mismo como de manera preventiva”.
Los consejos del Comisario Jefe para proteger a las empresas de los ataques informáticos se dividen en dos focos: el humano y el técnico.
En la misma línea se dibujan las recomendaciones de Helena Prieto, que resume en estas cincoclaves su modelo de prevención básico ante la ciberdelincuencia:
En palabras de la socia del área de Derecho Penal de Garrigues, en todo caso, “es básico estar en posesión de un modelo de compliance que blinde a la compañía, sus consejeros y directivos de las consecuencias legales más graves que pueden llegar a afectarla y que pertenecen a la esfera penal”.
Ambos expertos coinciden en que el Ciberataque masivo de hace unos días ha dejado claro que no estamos preparados y que todavía queda mucho por desarrollar en materia de Ciberseguridad. Conocer las pautas y herramientas disponibles y concienciar y formar a la plantilla, serán los primeros e imprescindibles pasos a seguir.