La pandemia nos ha demostrado dos cosas: que podemos hacer desde nuestra casa más trabajo de lo que parecíamos dispuestos a admitir y que las infraestructuras están preparadas. Ambas afirmaciones no son ciertas para cualquier trabajo y cualquier lugar, como todos sabemos, pero alcanzan a una cantidad significativa de la población. El aumento del teletrabajo y la dependencia máxima de las conexiones a través de internet han dado lugar a una mayor preocupación por la seguridad informática.
Constantemente se publican datos sobre ciberataques, fraudes en línea, y también información diversa sobre los riesgos a los que nos enfrentamos en la red. Recientemente, por ejemplo, en un informe de Arkose Lab (una las innumerables consultoras de ciberseguridad) se afirmaba que el 80% de los ataques de intento de acceso a sistemas empresariales utilizaban credenciales que habían sido robadas en algún ataque previo. Esto es, los atacantes habían conseguido contraseñas a través de algún servicio o sistema sobre el que no tenemos control, e intentaban utilizarlas en nuestros sistemas; cinco de cada seis industrias han visto crecer la tasa de ataques en 2021. El 86% de estos ataques se realizan mediante bots; esto es, se trata de ataques automatizados donde no hay intervención humana.
Otro informe reciente (esta vez de la consultora Accenture) afirma que en España ha habido un 31% de incremento en ataques por organización, y también que se está incrementando el capítulo de la ciberseguridad en los presupuestos de las empresas (un 82% de los encuestados afirman haberlo aumentado).
Aunque es cierto que muchos de estos informes proporcionan datos ‘de parte’, con el interés de convencernos de que contratemos algún servicio o producto, no estará de más recordar el dicho ‘cuando el agua suena…’. En nuestro entorno, durante los últimos años los ataques de los que más oímos hablar son los intentos de secuestro de información (ransomware).
En todo caso, este no pretende ser un mensaje para asustar a nadie, sino un recordatorio para que nos pongamos (o continuemos) con la tarea de proteger nuestros recursos digitales. La mayoría de los ataques informáticos se basan en tratar de sacar provecho de vulnerabilidades que son conocidas y tienen solución. Nunca hay que perder de vista que la misión fundamental de las empresas es cumplir los objetivos para los que fueron creadas (fabricar, distribuir, vender, prestar servicios, …); pero tampoco podemos obviar que si un ciberataque hiciera que dejaran de funcionar los sistemas informáticos necesarios para realizar estas tareas, no podríamos cumplirlos.
Este artículo no es el lugar para detallar las acciones que deberíamos realizar, pero probablemente sería una buena idea realizar un inventario de nuestros activos digitales, analizar su estado desde el punto de vista de la seguridad informática, cómo se conectan unos con otros, estudiar la visibilidad que un atacante (externo ¿e interno?) podría tener de nuestra información, y qué consecuencias podría tener para nuestro negocio la falta de disponibilidad de un recurso, …; sin olvidar revisar nuestra política de copias de seguridad, para asegurarnos de que podríamos volver a poner todo en funcionamiento después de un incidente (y en cuánto tiempo; no hay nada más desagradable que descubrir que nuestras copias de seguridad no sirven, o que no podemos restaurarlas suficientemente rápido).
En el informe de Accenture al que se hacía referencia más arriba habla de la actitud correcta para enfrentarse al problema. No se trata de tener tanto miedo que nos impida realizar nuestro trabajo por culpa de las medidas de seguridad (‘obstaculizadores del negocio’), ni tampoco despreocuparnos tanto que cualquier ataque pueda terminar afectándonos de manera grave (‘los vulnerables’). Los ‘ciberdefensores’, nos dicen, tratan de lograr un equilibrio entre lo que llaman ciberresiliencia y los objetivos empresariales.
Por lo tanto, debemos reconsiderar nuestra estrategia de protección. Siempre en línea con los objetivos de nuestra organización (no hay una solución única para todos), con un análisis de riesgos y de la propia situación: no se puede pasar de 0 a 100 en un instante. Y sin olvidar que la seguridad es un proceso y depende de cuál sea nuestro lugar en el camino deberemos realizar unas acciones u otras.
Fernando Tricas García, profesor de Informática e Ingeniería de Sistemas de la Universidad de Zaragoza; coordinador del ‘Programa en Ciberseguridad y Protección de Datos’ del Campus de Huesca y director de la Cátedra de Ciberseguridad de Telefónica y Unizar.
(*) Este artículo ha sido publicado también en los medios del grupo Sileoh: Ronda Somontano, de Barbastro; La Alegría de Monzón y Cinca Medio, y Somos Litera