Este palentino, Responsable de Ciberseguridad en ICONMM, lleva más de 12 años buscando fallos en sistemas informáticos e infraestructuras críticas para que sean corregidos y que los cibercriminales no les puedan utilizar en su propio beneficio
Trabaja en el desarrollo de un proyecto que está relacionado con la seguridad en el servicio de mensajes en aplicaciones del sector bancario
La transformación digital es una realidad en la sociedad actual. ¿En qué se ha traducido dicho cambio?
El gigantesco proceso de transformación digital al que se están sometiendo las empresas a todos los niveles cuenta con muchos aspectos positivos. Y es que numerosos son los beneficios que tiene para negocios y personas el uso de la tecnología en el entorno empresarial: ahorro de tiempo y costes, mejora de la productividad, optimización de la conexión y la comunicación, mayor precisión en las actividades a desarrollar…
Podríamos pasarnos días hablando de las ventajas que tiene la digitalización en el entorno actual. Esas son cosas positivas, pero, hablando de inconvenientes, uno de ellos es la falta de ciberseguridad a nivel tecnológico.
La ciberseguridad se ha convertido en una de las prioridades de las empresas en la actualidad. El bienestar y la imagen del negocio no solo pasa por la salud y la felicidad de los trabajadores, sino que también tiene que ver con la tecnología y los ciberdelincuentes son los grandes enemigos de ese bienestar cibernético al que nos referimos.
¿A qué grandes retos se enfrentan las empresas en temas de seguridad?
El reto es mantener una organización con un nivel de riesgo aceptable dentro de un entorno en el que los ciberataques cada vez son mayores y más dirigidos. Esta situación obliga a las empresas a incrementar el nivel de inversión en seguridad cada vez más.
Si tuviera que definir el futuro de la ciberseguridad en España en 3 palabras, ¿cuáles serían?
Aventurarse a definir cómo será el futuro de cualquier disciplina siempre es osado. Yo creo que en España las empresas cada vez están más mentalizadas de los riesgos y están tratando de mejorar día a día. Desde el Gobierno también se están haciendo inversiones a todos los niveles. Desde la prevención de los ataques a nuestras infraestructuras críticas, hasta la concienciación de la sociedad. Pero aún nos queda mucho por hacer y seguir la evolución de los ciberataques nos va a exigir a todos estar muy alerta.
Es cierto que la digitalización se ha impuesto, entonces ¿por qué los negocios que aún no lo hayan hecho deberían aplicarla?
La respuesta es sencilla: los recursos humanos son clave en este proceso. La organización empresarial debe reflejar este momento de cambio y para muchas son procesos muy lentos por los cambios que implica, incluso en su modelo de gestión y de negocio.
Se debe generar toda una cultura de empresa y nuevas formas de trabajo (sobre todo ahora en la post-pandemia). Esto incluye teletrabajo, autonomía, cultura, aprendizaje continuo, capacitación en competencias digitales, organización en red, reducción de la jerarquía… Hay que poder trabajar con una estructura menos rígida y estructurarse por proyectos o capacidades en lugar de por función.
Pero también tiene su lado oscuro ya que tanto progreso va acompañado de riesgos. ¿A qué peligros se exponen las empresas o administraciones en tema de ciberdelitos?
La verdad es que son unos cuántos. Por mi experiencia citaría los siguientes:
Email Spoofing, que consiste en el envío de correos electrónicos con remitente falso, suplantando la identidad de marcas o personas que generen confianza en el usuario. A través de esta técnica, se consigue robar credenciales bancarias, difundir programas maliciosos e incluso sustraer información confidencial de la compañía. La mejor forma de protegerse es desconfiar de mensajes con títulos alarmantes o enlaces sospechosos.
Suplantación de proveedores. Se produce cuando el atacante se hace pasar por un cliente de la empresa que solicita cambiar su número de cuenta. El correo electrónico es clave para detectar esta amenaza, ya que se suelen utilizar direcciones muy similares a las del cliente, pero con pequeñas diferencias como puntos o guiones.
Hotlinking. Sucede cuando una página fraudulenta utiliza recursos web de una empresa para suplantar un producto beneficiándose de su reputación y de su imagen de marca. Una de las mejores formas de evitar que esto ocurra es usar archivos “.htaccess” en las webs corporativas.
Suplantación de imagen corporativa. De una forma similar al hotlinking, la suplantación de la imagen corporativa se origina cuando los ciberdelincuentes duplican la web de la compañía para robar a usuarios, vendiendo productos que nunca llegan a entregarse. Es especialmente dañino para la reputación de la compañía y es muy difícil de identificar, ya que se suelen utilizar nombres de dominio casi idénticos a los originales.
E-skimming. Aunque es conveniente cerciorarse de que las páginas en las que nos adentramos sean legítimas, las páginas originales también esconden riesgos. En las tiendas online puede haber vulnerabilidades o malas configuraciones que nos exponen a robos de información personal, bancaria y empresarial. Actualizar frecuentemente nuestro software y utilizar credenciales robustas es la mejor forma de protegernos y de proteger a nuestra empresa y compañeros.
En el día a día los ciudadanos también realizan un buen número de gestiones y de comunicaciones a través de aplicaciones móviles. ¿Cuáles son las precauciones que se deben tener presentes ante un cada vez mayor número de amenazas? ¿Cómo debemos protegernos ante ellas?
Primero, no hay que caer en los trucos de Ingeniería Social como, por ejemplo, «ejecuta este programa para ver este vídeo o para jugar a este juego» o «abre este pdf que te adjunto en el correo electrónico». A partir de este punto, hay que tener un nivel más de precaución al utilizar el equipo informático, teléfono móvil o tablet.
Dicho de otra forma, fortificar el sistema, por ejemplo, navegar por Internet con una cuenta sin privilegios administrativos o instalar un antimalware [programa que detecta archivos maliciosos] que aunque está lejos de ser la solución ideal, sí ayuda a evitar el malware más sencillo, el más distribuido.
En segundo lugar, que el equipo que se usa para trabajar sólo se use para trabajar y que no sea un ordenador que se utilice para hacer descargas desde Internet porque va a ser un problema.
A continuación, tener actualizado todo el software, tanto del sistema operativo como de los programas. Y en cuarto lugar, tener una política segura de contraseñas: no usar combinaciones sencillas o fácilmente adivinables, cambiarlas de forma periódica, no usar la misma contraseña para todos los servicios que tenemos en Internet, etc. ¡Ah! y tener la cámara del portátil tapada para que nadie te pueda grabar.
En 2021 el sector sanitario español fue el tercero más afectado del mundo en ataques informáticos. ¿La pandemia y el teletrabajo son factores que han influido?
Sin lugar a dudas, clínicas de todo tipo, especialistas sanitarios, personal de enfermería, laboratorios o farmacias son algunos ejemplos de empresas de este sector. El personal de estas empresas es muy variado pero tiene en común que, de una manera u otra, gestiona información muy sensible, siendo la privacidad y disponibilidad de esta información factores clave para su negocio. Ataques de ransomware, correos maliciosos, software con vulnerabilidades o fugas de información son algunas de las amenazas que pueden afectar al sector salud. Conocerlas es esencial para poder evitarlas.
Centrándonos en Palencia, la ciberdelincuencia también ha aumentado, llegando a triplicarse desde 2019. ¿Deben aumentarse las medidas para hacer frente a esta lucha?
Por supuesto, la ciberseguridad está desatendida por empresas y familias. Es importante también trabajar la resiliencia, habilidad de una organización para perseguir su misión y aprovechar oportunidades, incluso en circunstancias adversas como un incidente de seguridad o una crisis financiera.
También, potenciar la disuasión del cibercrimen, además de aumentar la rastreabilidad de operaciones en línea y convertir a los patrones de ciberseguridad en una ventaja profesional de la empresa.
