El 95% de los ciberataques que logra su objetivo viene precedido de un error humano

Cuando se trata de ciberseguridad la inversión en tecnología es fundamental, pero no suficiente. Es más, estar a la última y hasta dejarnos asesorar por los mejores podría hacernos creer que estamos protegidos frente a todo y generarnos una sensación de falsa seguridad. Pero, en cambio, toda la inversión que pueda haber realizado la empresa, por elevada que sea, resulta inútil si no va a acompañada de un gran esfuerzo por formar a sus trabajadores sobre los riegos que algunos de sus hábitos, descuidos o imprudencias pueden acarrear. Más ahora que el coronavirus ha obligado a muchas personas a trabajar desde casa y, en no pocas ocasiones, empleando sus propios dispositivos.

«El 95% de los ciberataques que tiene éxito viene precedido de un error humano, de modo que es fundamental que todos sepamos qué se puede hacer y qué supone un riesgo. No es un problema que se resuelva con tecnología. La seguridad es una actitud, no un departamento», subrayaban ayer Sergi Gil y Marc Martínez, director de Ciberseguridad de KPMG y socio responsable de Ciberseguridad en España en un encuentro digital organizado por esta consultora en colaboración con la Asociación de Periodistas de Información Económica (APIE).

Lo primero que advierten los expertos es que todos somos potenciales víctimas de este tipo de ataques. Lo somos como meros usuarios de Internet o de cualquier dispositivo móvil (están creciendo los fraudes por SMS, por ejemplo) y lo es, por supuesto, nuestra empresa. Aunque nos parezca que es tan pequeña que no puede despertar el interés de las mafias que hay tras estos ataques.

Porque esa es otra. En contra de lo que tendemos a pensar, los hackers no son chavales que 'trabajan' a su aire. De eso nada. Pertenecen a organizaciones criminales que han redirigido parte de sus recursos a cazar víctimas en la Red. A veces para utilizar ellos mismos los datos que obtienen de nuestro ordenador o móvil y otras para comerciar con ellos; las claves de nuestra red social favorita se venden a unos cinco dólares; las de nuestra tarjeta de débito ronda los diez, que suben a un rango superior (entre veinticinco y cien euros) si la tarjeta es de crédito; nuestro historial médico cuesta unos cuarenta… «Para hacernos una idea de la dimensión del problema basta con saber que el coste económico del cibercrimen en España en 2019 superó los 2.300 millones de euros», insistió Marc Martínez.

¿Y por qué no puedes descartar que tu humilde empresa interese a estas mafias? Pues porque no distinguen. Ellas lanzan los ataques masivamente a la espera de que algún incauto (no importa quién) pinche donde no debe. Y una vez ahí ya mirarán ellas cómo sacar el máximo de su presa. Así de triste. Según los datos de KPMG, el 43% de los ataques están dirigidos a pymes precisamente porque han infravalorado la posibilidad de ser víctimas de los hackers, y cada uno que tiene éxito cuesta a la compañía que sufre una media de 35.000 euros.

«Puede que eso no sea mucho para una gran compañía, pero para una pyme… Además, ese dato es una estimación. El susto puede ser mucho mayor. También hay que tener en cuenta que en muchos casos nos bloquean el acceso a nuestra información sobre pedidos o clientes, y que nos permitan recuperarla una vez que pagamos el rescate no está asegurado», insiste Martínez. Sumen otro dato; las empresas especializadas en seguridad informática detectan 39 ataques cada segundo. Afortunadamente, muchos son interceptados y no llegan a generar brechas de seguridad, pero no será porque no lo intentan.

Noticia Relacionada

Teletrabajo sí, pero con precaución

En opinión Gil y Martínez, el Covid-19 no ha incrementado sustancialmente el número de ciberataques, pero esto no es un dato muy tranquilizador dado el alto volumen que ya existía antes de la pandemia. Lo que sí ha variado son los canales y los mensajes que se emplean como cebo. Los estafadores no pierden comba y, de hecho, muchas de las 100.000 páginas falsas creadas con contenido sobre el Covid-19 ya detectadas fueron creadas en enero.

«Se aprovechan de que en los hospitales, por ejemplo, los responsables de compras tienen una necesidad urgente de localizar determinados suministros o de que hay mucha gente interesada en saber cómo se solicita una moratoria de un crédito. Te envían un link a una 'app' que, según te dicen, te va a permitir tramitarla y una vez que has instalado la aplicación en tu dispositivo ya pueden tener acceso a cualquier información que guardes en el móvil u el ordenador», señala Sergi Gil.

Con el Covid-19 los hackers también están centrándose en sectores más allá del financiero, como el de la educación, que está al alza ahora que las empresas están poniendo todos los medios para formar a sus trabajadores en el uso de plataformas y servicios que faciliten el teletrabajo. «Se han vuelto muy interesantes y ya hemos visto cómo una de ellas ha tenido problemas de seguridad. Si no son capaces de garantizar que nadie ajeno a la empresa está escuchando, por ejemplo una videoconferencia del quipo gestor de una empresa, tienen un gran problema y accederan a pagar cualquier chantaje que les permita seguir realizando su actividad», asegura Gil.

De modo que ahora más que nunca conviene insistir en la necesidad de concienciar y formar a absolutamente todo el personal en ciberseguridad. «Saber qué se puede hacer y qué no es la única manera de evitar riesgos derivados de prácticas muy habituales, como utilizar el mismo dispositivo para lo personal y lo privado sin tener en cuenta la información que se puede extraer de, por ejemplo, nuestros perfiles en la redes. Si con nuestro LinkedIn supieran que nuestro cargo en la empresa es interesante y de nuestro Facebook dedujeran a qué centro van nuestros hijos, bastaría con enviarnos un mail suplantando la identidad del colegio con supuestas fotos de una excursión escolar para que pinchemos un link fraudulento», puso Gil como ejemplo.

Además de no compartir información en las redes y no mezclar lo profesional y personal, otras recomendaciones son no bajarse 'apps' de los mercados no oficiales (Android, iOS, o Windows) y descargar las actualizaciones en todos los dispositivos porque, de hecho, la mayoría de las veces éstas se realiza para reforzar la seguridad del móvil u el ordenador.

Ah, y si es posible que aprendamos lo importante que es la prudencia antes de la llegada del 5G mejor, porque si ahora cada usuario tiene 1,2 dispositivos conectados a la Red cuando el Internet de las cosas llegue a las neveras lavadoras o camisetas podemos llegar a tener una veintena de aparatitos incrementando nuestra comodidad pero también la posibilidad de sufrir un ciberataque.