La seguridad digital: amenazas y soluciones

Un análisis de los principales riesgos para empresas, administraciones públicas y ciudadanía

Con permiso del internet de las cosas, en los últimos meses el tema que más interés está generando en el entorno de los avances tecnológicos es la ciberseguridad. Noticias y estudios coinciden en alertar de los riesgos y la urgencia de tomar medidas ante el mayor peso de los recursos digitales en las empresas y la sociedad en general. Solo en España se calcula que los ataques costaron 14.000 millones de euros en 2015.

Las amenazas tienen una dimensión global y pueden afectar a cualquier persona u organización conectada a internet en cualquier lugar. Además son difíciles de erradicar por la ausencia de mecanismos legales eficientes en el ciberespacio. Y evolucionan al mismo ritmo que los avances digitales, dificultando su prevención.

Para entender el alcance analizaremos los principales riesgos, amenazas y tipos de respuesta en tres ámbitos: empresas, administraciones públicas y ciudadanía.

La empresa

Detectar amenazas, contener su impacto y entender su funcionamiento para prevenir ataques son las claves para aumentar la confianza

“La delincuencia cibernética es la mayor amenaza para todas las profesiones, todas las industrias y todas las empresas en el mundo”, señala Ginni Rometty, CEO de IBM, en relación a la amenaza del cibercrimen sobre los datos, “el nuevo recurso natural del mundo”.

Los sectores con más riesgo de ataque son el aerospacial, el tecnológico y la banca. Pero la amenaza es transversal a toda la industria. La digitalización está transformando procesos y por lo tanto también los convierte en vulnerables a ciberataques si no se toman las medidas adecuadas. En el ámbito de la empresa, el robo de la propiedad intelectual o su destrucción es el ataque más habitual.

La estrategia de defensa no debe basarse solo en la protección, sino en la monitorización para prevenir ataques y en la definición de mecanismos de respuesta que minimicen el impacto.

Una causa de riesgo muy importante es la que se atribuye a factores humanos. El comportamiento de los profesionales de la empresa al utilizar sistemas y servicios digitales sin el conocimiento en seguridad adecuado es uno de los principales riesgos detectados.

Un ejemplo de las soluciones que se están adoptando para proteger a las empresas es la contratación de proveedores de servicios de seguridad gestionada (MSSP), que aportan desde la protección frente a spam y virus hasta la gestión de redes privadas virtuales (VPN) o la actualización de sistemas.

Otra opción es contratar servicios de seguridad basados en la nube para reforzar el acceso al correo electrónico y la administración de identidades, así como a la encriptación de datos.

La combinación de big data y analytics también puede contribuir a aumentar la seguridad si se utilizan los datos para identificar actividades anómalas y predecir ataques.

Otra estrategia de protección es el hacking ético, que consiste en realizar tests de penetración en los sistemas con el objetivo de encontrar vulnerabilidades. La simulación de estos incidentes es una de las formas más eficientes para mejorar la defensa y prevenir respuestas.

IBM propone que la empresa disponga de un software de monitorización continua de seguridad, que se compartan las incidencias para elevar la protección del sector, identificar bienes y desarrollar un plan para cada uno basado en el nivel de riesgo, e incluir la ciberseguridad como parte fundamental de los procesos de negocio y la toma de decisiones.

En el informe anual sobre seguridad de Cisco se señala la tendencia a externalizar, sobre todo auditorías y servicios de respuesta a incidentes, siendo el límite presupuestario la principal barrera para implementar estrategias de defensa. Detectar amenazas, contener su impacto y entender su funcionamiento para prevenir futuros ataques son las claves para aumentar la confianza en la seguridad de la empresa.

Los usuarios

El internet de las cosas se basa en la interconexión de objetos inteligentes y el acceso fraudulento a estos sistemas puede servir para manipular el uso de los servicios

En relación al riesgo del factor humano en la empresa, la tendencia del BYOD (bring your own device), por la que los empleados disponen de sus propios dispositivos, es una amenaza compartida con los usuarios fuera del entorno laboral, debido al uso masivo de aplicaciones y servicios conectados. Los dispositivos móviles son sensibles a los ciberataques en sí mismos, al utilizar apps, y al acceder a contenidos o redes si no se toman las medidas de protección adecuadas. En la mayoría de los casos se solucionan con una actualización del fabricante, siempre y cuando éste disponga del conocimiento y la solución ante las brechas de seguridad, o dependerán del proveedor de servicios, de ahí la necesidad de anticipar riesgos y asegurar comunicaciones infalibles en sectores especialmente sensibles como la banca, las telecomunicaciones o el retail.

Por otro lado, el internet de las cosas se basa en la interconexión de objetos inteligentes, y el acceso fraudulento a estos sistemas puede servir para monitorizar datos y actividad de los usuarios y manipular el uso de los servicios. Esto puede producirse no solo en el hogar o en vehículos (se ha detectado la posibilidad de apagar el coche mientras se conduce), sino en redes de ciudades inteligentes (smart cities), por lo que el alcance de esta amenaza es altísimo. Las vías de entrada para estos ataques son vulnerabilidades (fallos no conocidos por el fabricante) de software y protocolos, y mala configuración del servidor. Solo en 2016 el uso de estos dispositivos será un 30% mayor que el año anterior, según Gartner.

Las recomendaciones habituales para el usuario se basan en la protección con antivirus, mejorar las contraseñas para hacerlas más seguras, y no instalar programas de desarrolladores desconocidos. Los principales sistemas operativos y navegadores ya sugieren medidas en esta dirección.

Los sistemas de identificación personal, una tendencia clave por la oferta creciente de servicios a través de dispositivos móviles, como los medios de pago, avanzan para garantizar, no solo la seguridad de las transacciones, sino también del uso de wearables o el control del hogar inteligente. Hay modelos de identificación basados en datos biométricos como la huella dactilar o el reconocimiento facial, y soluciones innovadoras como la lectura de venas que propone VISA.

El Estado

“Las leyes siempre van por detrás de la realidad cuando se trata de tipificar y perseguir los delitos informáticos”

Un ataque masivo a infraestructuras críticas, como redes de energía, transportes o sistemas financieros, puede causar una crisis social y económica al paralizar servicios fundamentales. La ciberguerra es el mayor temor a nivel estatal pero hay otros riesgos, menos fatalistas pero con consecuencias graves, derivados del uso de la administración electrónica y los servicios telemáticos.

Los países están adoptando estrategias de defensa y definiendo la colaboración entre organismos para hacer frente a los ciberataques y el ciberterrorismo. El Gobierno de EE.UU. cuenta con el NCTC (National CounterTerrorism Center) y con un centro específico para la integración de inteligencia contra la amenaza cibernética (CTIIC), cuya función es coordinar actuaciones y compartir información.

España, además del Mando Conjunto de Ciberdefensa del Ejército, dispone de varias organizaciones que trabajan en este ámbito: el CERT (Capacidad de Respuesta a incidentes de Seguridad de la Información), el INCIBE (Instituto Nacional de Ciberseguridad) y el CCN (Centro Criptológico Nacional).

En el informe sobre Estado de la Ciberseguridad (U-Tad, 2015) señalan como un factor fundamental para hacer frente a los riesgos el compartir información entre organizaciones, administraciones públicas y ciudadanos, proporcionando un marco legislativo adecuado.

La Fiscalía, en su Memoria Anual, destaca que la reforma del Código Penal por la Ley Orgánica 1/2015 supondrá una persecución más activa de este tipo de delitos pero advierte que “las leyes siempre van por detrás de la realidad cuando se trata de tipificar y perseguir los delitos informáticos”, señalando la importancia para los profesionales del Derecho de estar continuamente actualizados respecto a los avances tecnológicos.

En definitiva, la administración debe impulsar iniciativas, coordinar la información y la respuesta, regular el marco legislativo y proteger a través de los cuerpos y fuerzas de seguridad del Estado.

En esta línea, la Unión Europea trabaja en una directiva pendiente de ser aprobada durante la primavera de 2016 para imponer un nivel mínimo de seguridad de las tecnologías, redes y servicios digitales en todos los Estados miembros.

Conceptos clave

  • BYOD (bring your own device): el uso de dispositivos personales en el entorno laboral, como dispositivos móviles, añade vulnerabilidades a la seguridad de la empresa.
  • Smart grid: las redes eléctricas inteligentes, conectadas a internet, requieren análisis de riesgo concretos para prevenir cortes de electricidad y espionaje del consumo.
  • SCADA (supervisión, control y adquisición de datos): proteger este software de control de procesos industriales a distancia es una necesidad prioritaria para prevenir el control remoto, por ejemplo, de sistemas de producción, comunicaciones vía satélite, o infraestructuras públicas.
  • Malware: los programas maliciosos que dañan los sistemas informáticos, en su modalidad conocida como ransomware, pueden secuestrar el acceso a documentos y liberarlos a cambio de una suma económica.
  • Phishing: la suplantación de identidad, por ejemplo de un proveedor de servicios, para robar contraseñas o identificaciones bancarias ha evolucionado hasta el spear phishing. De este modo los atacantes aprovechan información pública del usuario, por ejemplo a través de redes sociales, para realizar el engaño con mayor verosimilitud.

Saber más:

Nae trabaja con operadores de telecomunicaciones, grandes empresas y administraciones públicas para anticipar los retos de crecimiento y transformación del mercado, mejorando su estrategia de negocio y eficiencia operativa. Con sedes en Barcelona, Madrid, Bogotá y Ciudad de México, el equipo de Nae está formado por más de 200 profesionales.