Virginia Miranda, de El País, me llamó para hablar sobre la ciberseguridad en las empresas y sobre cómo había evolucionado ese entorno durante una pandemia en la que el trabajo en modo distribuido se convirtió en la norma habitual, en muchos casos en compañías que no estaban en absoluto preparadas para ello desde un punto de vista de dotación de medios o cultural.
Hoy, Virginia publica un artículo titulado «Más digitales pero inseguros» (pdf) en el que cita brevemente algunas de mis respuestas, en las que traté de incidir en la visión de la seguridad como algo dinámico, en la conveniencia de poner a prueba nuestros sistemas mediante sistemas de hacking ético y de análisis de vulnerabilidades como los organizados por HackerOne y compañías similares, y sobre todo, la necesidad de desarrollar en las empresas una cultura de la ciberseguridad, alejada de la tradicional imagen de «la seguridad es responsabilidad de los de IT, y hay que ver la lata que dan con ella» y centrada en crear un conocimiento de los problemas y responsabilidades que puede conllevar no tomarse de manera seria determinadas prácticas o no saber qué hacer ante determinados tipos de ataques.
A la hora de tratar de desarrollar una cultura de ciberseguridad debemos tener en cuenta que, durante años, esta idea estuvo especialmente mal organizada y transmitida, y que gran parte de los problemas actuales se deben a la perniciosa idea de que la ciberseguridad era cosa de expertos y los usuarios solo tenían que seguir unas determinadas prácticas. Si añadimos, además, que muchas de esas prácticas, como las centradas en el uso de contraseñas, estaban especialmente mal diseñadas, tenemos los ingredientes para la tormenta perfecta en la que se ha convertido este tema, que a menudo se convierte en problemas de cierta magnitud económica, en disrupciones de la actividad o en un impacto reputacional. Conseguir que nuestros empleados, del primero al último, tengan una idea clara de cuáles son los riesgos, de qué cosas tienen sentido y cuáles no lo tienen, o de cómo reaccionar ante un ciberataque es, cada vez más, algo fundamental.
A continuación, las preguntas y respuestas que intercambié con Virginia:
P. ¿Cuál es actualmente el grado de amenaza digital que están viviendo las empresas?
R. Las empresas se enfrentan a un entorno en el que conviven simples delincuentes casuales que envían correos masivos aleatorios para intentar obtener credenciales de acceso, con mensajes de phishing que suplantan identidades, o con esquemas de ransomware más o menos sofisticados y que no se dirigen a una compañía en concreto, que se combinan en algunos casos con ataques mucho más complejos y premeditados que tratan de obtener acceso a una compañía en concreto, generar una disrupción en sus actividades o demandar rescates considerables. A esto debemos añadir las amenazas a la integridad de los datos, los delincuentes que intentan acceder a ficheros de datos corporativos para posteriormente amenazar con su publicación o generar crisis reputacionales.
P. ¿Se ha incrementado durante la pandemia?
R. Lógicamente, la pandemia y la generalización del trabajo distribuido ha supuesto un nivel de amenaza mayor para aquellas compañías que no habían hecho un buen trabajo a la hora de implantar una cultura de seguridad. El eslabón más débil de la seguridad siguen siendo las personas, y el trabajo en entornos distribuidos impone necesariamente más retos que el que se lleva a cabo desde una oficina, en cuestiones que van desde la ingeniería social hasta la simple seguridad de las instalaciones domésticas (router, wifi, etc.) Simplemente una cuestión como las contraseñas, que muchas compañías han gestionado espantosamente mal durante muchos años obligando absurdamente a sus empleados a cambiarlas cada poco tiempo por códigos aleatorios imposibles de recordar, genera problemas de seguridad que serían muy fáciles de evitar con una pequeña inversión y algo de formación sobre el tema.
P. Con el aumento del uso de inteligencia artificial y la automatización de los procesos, ¿se corren más riesgos o mejoran las defensas?
R. La tecnología es una herramienta, y como tal, puede ser utilizada tanto para el bien como para el mal. Por un lado, los delincuentes sofistican sus métodos y pueden utilizar sistemas de rastreo de vulnerabilidades más complejos o mejores métodos de ingeniería social, entre otras muchas cosas. Por otro, las compañías pueden utilizar ese tipo de tecnologías como forma de defensa, de modo que todo depende del nivel de uso que hagan unos y otros y de quien sea capaz de explotarla y ponerla en producción de una manera más eficiente.
P. ¿Qué tipo de empresas corren mayor riesgo digital?
R. Todas las compañías corren riesgos relacionados con la ciberseguridad, incluso las más pequeñas, porque una buena parte de las amenazas no van dirigidas a ninguna compañía en concreto, sino que simplemente son disparadas en forma de spam, de manera masiva y aleatoria. Muchos esquemas de ransomware, por ejemplo, son enviados de esta manera, a personas de la organización que abren la puerta al virus simplemente haciendo clic en un enlace o accediendo a una página determinada. En otros casos, lógicamente, las amenazas son mayores, particularmente con compañías con elevada visibilidad, que supongan un reto, que generen reacciones de agresividad o que alardeen de sus procedimientos de seguridad. La única manera de protegerse es tratando de desarrollar una cultura de seguridad en los usuarios.
P. ¿Cuáles están mejor preparadas?
R. Las compañías más preparadas son aquellas que son capaces de transmitir a sus usuarios la importancia y los riesgos potenciales de determinados comportamientos, para que desarrollen una sensibilidad adecuada y sean conscientes de los problemas que pueden generarse de un comportamiento poco responsable. En muchas ocasiones, simplemente una pequeña newsletter o mensaje periódico informando de ataques habituales, de amenazas o de cómo debemos reaccionar ante determinados mensajes es suficiente para crear esa conciencia, pero lo ideal es procedimentar bien todos los comportamientos habituales y recurrir a las herramientas adecuadas, desde redes privadas virtuales (VPN) para conectarse desde fuera de la compañías, hasta gestores de contraseñas que eviten tener que memorizarlas.
P. ¿Cuáles son las más vulnerables?
R. Las compañías más vulnerables son aquellas que no desarrollan entre sus empleados una cultura de seguridad, o que se limitan a algunas recomendaciones genéricas sin darles demasiada importancia y asumiendo que es simplemente una cuestión de sentido común. La realidad es que la ciberseguridad es un tema complejo, que cualquier empleado puede incurrir en comportamientos que generen un riesgo, y que es fundamental incrementar el conocimiento que tienen del tema.
P. ¿Qué pueden hacer para defenderse de los ciberataques? ¿Qué herramientas tienen a su disposición?
R. Lo razonable es auditar la seguridad de la compañía con cierta frecuencia, idealmente con sistemas de hacking ético, como HackerOne y otras compañías que organizan concursos para encontrar vulnerabilidades, y combinar ese tipo de medidas con acciones dirigidas a los empleados para hacerlos conscientes de los riesgos de determinados comportamientos y de su importancia potencial. Al tiempo, es necesario combinar esas acciones con el uso de herramientas que minimicen determinados riesgos, como VPNs y gestores de contraseñas, evitando convertir la ciberseguridad en algo tan complejo que termine siendo mayoritariamente ignorado.
Mi experiencia como informático en empresas de todo tipo, comerciales, financieras, fábricas y hasta de armamento, es que todas las empresas toman medidas de seguridad proporcionadas a su riesgo, por ejemplo un banco mas que una empresa inmobiliaria, pero en mi opinion, todos toman medidas insuficientes, y sobre todo no las toman con la suficiente concienciación de la importancia que el tema requiere.
Cualquier motivo es suficiente para saltarse las reglas establecidas, el jefe que da sus pasword porque se va de vacaciones, o la copia de seguridad que se aplaza porque hay «cosas mas urgentes que hacer»
Por otra parte mi experiencia es que si se toman medidas de seguridad adecuadas y se es inflexible, el trabajo a realizar día a día se entorpece muchisimo. Por lo tanto al final se busca una solución intermedia entre la seguridad y la comodidad que no es adecuado ni para lo uno ni para los otro.
Yo pasaba por aqui, y visto lo visto… me encripto… XDDD
Yo he tenido gente hablaba a mi sobre esto, pero no fuera pensar que estaba muy complicado.