La receta 'antihackers':
Así pueden evitar las empresas españolas 25.000 ataques al año
Es una de las grandes y peores amenazas que nos ha traído el siglo XXI y la consolidación de la era tecnológica. Los ‘hackeos’, los envíos de archivos infectados y el robo de material a través de internet han supuesto un problema para el usuario medio, pero, sobre todo, para las empresas, que suman una nueva amenaza: que su información más privada quede al descubierto o que sus sistemas de seguridad puedan ser atacados, entre otros factores de riesgo.
El asunto no es baladí. En una era en que la información y la seguridad lo son todo, prácticamente el 100% de las grandes compañías que forman el tejido empresarial pueden verse gravemente afectadas por un peligro que, lejos de apaciguarse, crece cada día más. Los intereses pueden ser variados: perjudicar a la competencia, acceder a información protegida o, simplemente, el delito por el delito. Sea cual sea el caso, las empresas españolas luchan a diario por salir airosas de esta amenaza.
Las cifras del pánico
Es necesario deshacernos de la idea de que los ‘hackeos’ empresariales solo se producen en enormes corporaciones o en fronteras lejanas. Lo cierto es que, a tenor de las cifras, prácticamente cualquier empresa puede sentirse aludida por este peligro, que puede desembocar en una pérdida de datos, de competitividad, de seguridad o incluso de confianza por parte de sus clientes y usuarios. Como decimos, ni mucho menos se trata de una cuestión aislada ni anecdótica: según el análisis realizado por Techco Security, en España se produjeron más de 25.000 ciberataques a empresas en 2016. Los ataques pueden responder a causas ideológicas, económicas, personales, de competencia o de pura venganza, pero el motivo es casi lo de menos: lo importante es que, de un modo u otro, las empresas están amenazadas.
Además, según el informe ESG Threat Intelligence Research Project de 2015, un solo ciberataque puede suponerle a una gran empresa un coste económico de hasta 3,79 millones de dólares. Esta cifra no solo supone un aumento del 23% respecto al coste del año anterior, sino que también da buena cuenta de hasta qué punto puede influir un ‘hackeo’ en la cuenta de resultados de una gran compañía.
¿Qué tipos de ciberataque pueden sufrir las empresas?
El abanico de posibles ciberataques que puede sufrir una empresa es tan grande que su reproducción detallada resultaría infinita. De hecho, cada día aumenta el número de posibilidades para derribar el muro de seguridad, confidencialidad y privacidad de una compañía.
Infectar a través de un archivo, redireccionar a webs infectadas, instalar pasarelas de pago falsas, atacar el sistema informático para que se caiga… Estos son los ataques más frecuentes a los que se arriesgan las empresas españolas.
‘Spear Phishing’
El 'spear phishing' es el acceso a información confidencial a través del correo electrónico. En estos casos, el atacante remite un 'email' al atacado, generalmente desde una cuenta de correo electrónico que aparentemente sea de confianza. Una vez dentro del 'email', le facilita un enlace en el que, aparentemente, encontrará información importante y segura. Sin embargo, al acceder a dicha web, el atacado se encontrará con 'software' malicioso que dará acceso al atacante a su información privada y confidencial.
‘Malware’/’ransomware’
El ‘malware’ es ‘software’ o código malicioso que tiene como objetivo principal romper las barreras de seguridad de un usuario para infectar su equipo o acceder a él. Es precisamente el tipo de 'software' que suele encontrarse en las webs a las que redirigen los correos de ‘spear phishing’, pero no es su única plataforma. El ‘malware’ puede venir adjunto en un correo electrónico, en un ‘pendrive’, en una aplicación móvil o en una simple fotografía.
Fraude al CEO
Es una de las prácticas más recientes y, por tanto, también de las más peligrosas. El fraude al CEO se produce cuando un atacante remite un correo electrónico a un empleado o directivo medio de una empresa haciéndose pasar por el consejero delegado de la compañía u otro directivo de alto rango. En dicho correo, puede solicitarle que le pase cierta información o incluso que realice pagos a un tercero de manera urgente. Dado que los consejeros delegados y directivos de las grandes compañías suelen tener una agenda más que atareada y que será difícil establecer contacto directo con él para verificar dicha petición, el atacado suele ejecutar dicha orden. Para cuando se den cuenta de la estafa, ya será tarde. El fraude al CEO ya está costando miles de euros a las empresas españolas.
‘Denial of Service’ (DoS)
El DoS es un ataque de denegación de servicio. Consiste en realizar un sinfín de peticiones de información o envío de tráfico al sistema de una empresa para que, por saturación, dicho sistema acabe cayéndose. Los ataques más famosos se producen cuando un grupo de usuarios se organiza para visitar una web de manera ininterrumpida en un periodo de tiempo limitado: dicha web, al no poder soportar millones de visitas al segundo, acaba cayéndose. El ataque también se puede producir enviando millones de correos electrónicos a una empresa para que, igualmente por saturación, su sistema se acabe cayendo.
Ataques genéricos
Los ataques genéricos responden a casi cualquier tipo de ataque: desde el ‘hackeo’ generalizado al robo de contraseñas, estafas 'online' mediante correo electrónico o instalar pasarelas de pago falsas para acceder a los datos privados o de tarjetas de crédito de una empresa.
Ciberinteligencia activa: si quieres derrotar a un 'hacker', sé un 'hacker'
“La cuestión es hacer frente al problema de la seguridad desde la perspectiva de un 'hacker'. Estas palabras de Omar Abbosh, chief strategy officer (CSO) de Accenture, definen a la perfección una de las prácticas a que cada vez están recurriendo más empresas de seguridad informática: la cibervigilancia activa o contraespionaje.
¿En qué consiste la cibervigilancia activa o contraespionaje? En que para preservar la seguridad informática y la información de una empresa, ya no basta con sofocar el ataque cuando este se produce, sino precisamente en prevenirlo antes de que ocurra y evitarlo de manera activa. En otras palabras: la mejor defensa es un buen ataque, y para derrotar a un 'hacker' hay que convertirse en un 'hacker' y jugar en sus mismos términos. Sin quebrantar ninguna ley, evidentemente, pero recurriendo a tácticas similares a las que usaría un atacante.
Muy ‘grosso modo’, la táctica consiste en engañar al atacante para que se piense que está accediendo a información que podrá robar... cuando en realidad es él el que está siendo espiado por la compañía en cuestión. De este modo, la empresa se adelantará al atacante, le tenderá una trampa y así podrá saber quién es, de dónde viene, qué quiere, qué va a mirar, cuánto tiempo está, qué herramientas utiliza, si hay más personas involucradas, a qué hora hace los ataques... Se trata de entretenerlo y hacerle perder el tiempo: enseñándole cosas que en realidad no valen para nada, dándole información falsa, haciendo parecer que la empresa es muy grande cuando en realidad es muy pequeña (y viceversa), etc.
En torno a este tipo de estrategias se enmarca Cyber Fusion, una red de centros de ciberseguridad (Cyber Fusion Centers) que Accenture tiene situados a lo largo y ancho de todo el mundo, con diversas sedes en Washington DC, Tel Aviv, Bangalore y Praga. En los últimos meses, de hecho, Accenture ha realizado hasta cinco inversiones en empresas de ciberseguridad: la adquisición de FusionX, una compañía con 20 años de experiencia en ciberdefensa; la de Cimation, una filial de Audubon Companies y de una compañía de consultoría de la Industria del Internet de las Cosas; una inversión minoritaria en Endgame, un proveedor de soluciones de 'software' en ciberseguridad; una inversión también minoritaria en Team8, una compañía de ciberseguridad de Israel, y la adquisición de Maglan, una compañía tecnológica israelí especializada en simulacros de ataques cibernéticos, medidas contra la vulnerabilidad, ‘cyber-forensics’, protección contra el ‘malware’, así como en la investigación y el desarrollo de la seguridad en IT orientado a la inteligencia sobre amenazas.
Los cuatro ingredientes de la receta de seguridad
Ya tenemos diagnosticado el problema y hemos diseñado la táctica; ahora solo nos faltan los ingredientes. La receta de la seguridad informática en grandes compañías se compone de cuatro estrategias que, combinadas, no solo construirán un muro de seguridad, sino que, además, podrán prevenir los ataques y apagarlos incluso antes de que se produzcan.
Estrategia y riesgo
No solo se trata de acometer las acciones necesarias para preservar la seguridad informática de una compañía, sino también de calcular los posibles riesgos y minimizarlos. Las uniones de estas desembocarán en el equilibrio de seguridad.
Ciberdefensa
Hay que estar preparados para cualquier tipo de ataque, hasta el más reciente o incluso el que se acabe de inventar. La ciberdefensa permitirá a la compañía tener una primera línea de flotación para prevenir, detectar y responder a estos ataques.
Identidad digital
Que haya que proteger la seguridad informática no implica que los clientes y usuarios no puedan acceder a sus datos. La identidad digital se basa en diseñar un sistema lo suficientemente efectivo para que los clientes puedan acceder a la información que necesiten de manera sencilla, segura y sin que esta se vea comprometida ni un solo segundo.
Seguridad de las aplicaciones
Para que los clientes puedan acceder a la información que necesiten, las aplicaciones empresariales deben gozar de una seguridad total y unas barreras de entrada que impidan el acceso a quien no debe entrar.
Las conclusiones, en definitiva, son más que evidentes. Los ‘hackeos’ y ciberataques a empresas han dejado de ser incidentes aislados y han pasado a convertirse en verdaderos peligros que pueden afectar prácticamente a la totalidad de compañías españolas. La cara positiva del asunto es que tiene solución: la inversión, la previsión, la ciberinteligencia activa y el despliegue de soluciones de seguridad harán que las empresas eviten enfrentarse a un sobrecoste millonario. En caso contrario, el precio a pagar podría ser demasiado alto.