Brechas de seguridad, el enemigo silencioso de las empresas: qué son y cómo combatirlas
Dotar a una empresa de un sistema de seguridad que elimine cualquier vulnerabilidad informática es clave para salvaguardar su integridad y la operatividad diaria.
Puede no ocurrir nada, pero si decidimos dejar una ventana o una puerta abierta en casa durante un tiempo prolongado estaremos corriendo un riesgo. Atendiendo a la lógica, parece más que conveniente cerrarlas de vez en cuando, al menos cuando no estemos presentes y no podamos tenerlas controladas. De lo contrario, se puede decir que tendremos una vulnerabilidad en nuestro hogar que los delincuentes podrían aprovechar para dañar nuestro patrimonio. Extrapolando los términos, la imagen es fácil de trasladar al entorno informático, aunque con una diferencia: el usuario medio no sabe o no tiene por qué saber dónde existe una vía libre para el peligro.
Las amenazas en la red no son tan evidentes. Por eso, HP se ha venido posicionando desde 2013 como un actor muy importante en materia de seguridad. Fue a partir de ese momento cuando la experiencia acumulada como fabricante de dispositivos ayudó a la compañía a redundar en sus sistemas de protección tanto de los equipos como del software. Se trataba de aportar garantías para afrontar, especialmente, los cambios que se estaban empezando a producir en los modelos organizativos de las empresas, más orientadas hacia el trabajo en red y la puesta en práctica de modelos híbridos en los que la movilidad es clave.
La pandemia acabó por imponer y dar protagonismo a estos sistemas que mejoran la eficiencia pero que, a la par, conllevan retos para evitar los nuevos riesgos que este entorno lleva aparejados y que eleva el nivel desde la vulnerabilidad hasta las denominadas “brechas de seguridad”.
¿Qué diferencia hay entre los conceptos de ‘vulnerabilidad’ y ‘brechas de seguridad’? Responde Melchor Sanz, CTO de director de tecnología e innovación de HP en España y Portugal: “Una brecha de seguridad se produce cuando una información relevante para una organización, empresa o para un ciudadano queda expuesta y, además, se aprovecha, normalmente con fines malignos e ilegítimos”. Dicho de otro modo, la brecha de seguridad “suele ir de la mano de la vulnerabilidad” porque, en definitiva, las aprovechan para sacar partido.
Se puede pensar que la principal meta de los ciberdelincuentes es conseguir dinero de forma ilícita. Y sí, por supuesto que ese es uno de los principales objetivos, pero no hay que perder de vista que estos ataques también van más allá de lo económico. Por eso, Sanz diferencia entre tres tipos de brechas a partir del ‘material’ que se ataque o de su uso posterior: “Existe la brecha de confidencialidad, que es cuando una información personal o sensible queda expuesta: por ejemplo, los números de la tarjeta de crédito; están las brechas de integridad en sí mismas, en las que se aprovecha para alterar la información que es relevante para la empresa y de esta manera conseguir otros fines; y luego está la de disponibilidad, que consiste en que la empresa o el organismo deje de prestar algún servicio” por culpa del ataque, con lo que eso supone en términos económicos y de imagen.
Por todo ello, la importancia de contar con una seguridad a la altura puede parecer obvia, pero sobre todo porque una de las claves en todo esto es, como señala Sanz, que los ciberdelincuentes “están muy actualizados, normalmente incluso más que una empresa o una organización, y por eso son capaces de aprovechar y explotar una vulnerabilidad antes de que se le dé solución”. Esto, de cara a un usuario o trabajador individual conlleva dos aspectos muy ligados: por una parte, el desconocimiento y, por otra, la relajación ante unas premisas de seguridad que tradicionalmente siempre han sido responsabilidad de la empresa.
La pandemia, punto de inflexión
Pero el auge del teletrabajo que se ha vivido, especialmente a raíz de la Covid-19, ha cambiado el tablero de juego. Durante los primeros meses de la pandemia, a muchas empresas les pilló la situación sin estar del todo preparadas para ampliar sus sistemas de seguridad a entornos alejados de sus oficinas. En muchos casos, los empleados también se vieron trabajando con sus propios equipos, lo que añadía a la ecuación otro riesgo añadido: el de los elementos y dispositivos ajenos a la empresa y sin el control y las reglas de seguridad que se impone en su material.
Las cifras avalan este alza del cibercrimen durante la emergencia sanitaria, hasta el punto de que los delitos registrados desde 2019, coincidiendo con la irrupción de la Covid-19 y sus consecuencias, “se han incrementado más del 400%”.
Como explica el director de tecnología e innovación de HP en España y Portugal, los ciberdelincuentes aprovechan estas vulnerabilidades que se generan de muy diversas maneras. Por ejemplo, con los ataques ‘zero day’, que llegan “antes de que las organizaciones y empresas hayan podido establecer un sistema para detectar el ataque e incluso para mitigar esa debilidad”.
Entre estas amenazas, Melchor Sanz también enumera los “ataques masivos, los dirigidos, e incluso los ataques que utilizan las redes sociales, en los que los ciberdelincuentes conocen tus hábitos, qué visitas, qué compras y eso les permite hacer suplantaciones de identidad”. A partir de ahí, cuenta Sanz, una persona puede recibir un correo a través del cual “crees que estás hablando con quien corresponde y empiezas a tomar acciones que permiten al ciberdelincuente aprovecharse”. “En este caso”, concluye, “has sido el factor débil”.
De lo que ocurre desde ese momento no siempre es consciente el usuario, aunque en otros casos aquellos ataques que se producen con ransomware sí son evidentes y espectaculares: “Es un sistema que bloquea y cifra un dispositivo y solo se puede desbloquear con una clave que únicamente ellos conocen. Supuestamente, si no les pagas no te dan la contraseña para volver a tener los datos”. Este secuestro de la información, más común de lo que pudiera parecer, es una trama doble: “Primero, porque a veces la contraseña no siempre funciona; y lo segundo es que una vez que la organización paga, pasa a estar en una lista de ‘buen pagador’ y a partir de ese momento posiblemente sea potencialmente atacable una y otra vez. Lo recomendable es no pagar nunca”.
Además, existe otra vía de ataques, aquella que tiene “fines reputacionales o políticos para hacer daño a una organización o para conseguir que países o regiones varíen su forma de votar o su opinión para conseguir determinado sesgo o beneficio políticos”.
Atacar a los que atacan
El papel de HP en este contexto es clave para dar seguridad a sus usuarios y, como explica su CTO, “hemos hecho de la necesidad virtud y hemos garantizado que realmente estas soluciones que tenemos muy avanzadas desde hace años se ponen en evidencia y se aprovechan en los dispositivos”. Esto se traduce en impresoras inteligentes e “invulnerables”, algo que Sanz explica justifica porque estos dispositivos “pueden enviar y recibir correos, editar documentos, etc., por lo que en HP las diseñamos con un nivel de protección prácticamente igual al que tienen los ordenadores”. “De hecho”, añade, “lo último que hemos hecho es incorporar sistemas que detectan cómo se comunican los usuarios con las impresoras para detectar si hay comportamientos de riesgo”.
“En cuanto a los ordenadores, lo que hemos hecho ha sido incorporar durante estos años características de seguridad inherentes al propio dispositivo”, cuenta Melchor Sanz. El objetivo es que puedan detectar cualquier ataque o acceso no autorizado o incluso integrar filtros de privacidad en las pantallas para que solo la persona que está delante pueda ver la información que se muestra. Como guinda, a nivel de software HP también ha creado HP Wolf Security, “un ecosistema adicional para nuestros dispositivos o de otros fabricantes que permite proteger frente al antimalware, los ataques de ‘zero day’ u otras amenazas en general, que son detectadas, aisladas y se evita que afecten al sistema, a un ordenador o incluso a la red”.
Apoyo a la legislación
Frente a estos problemas, la legislación también es una aliada imprescindible para dar a los usuarios una cobertura y un marco legal para impulsar la seguridad, la privacidad y las buenas prácticas de todos los actores implicados en torno a la información confidencial. Se trata de “la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD-GDD ) y el Reglamento General de Protección de Datos (RGPD) de la Unión Europea”, señala Sanz. Ambas “establecen unas líneas directrices para las organizaciones y empresas que alojan nuestros datos para garantizar que están protegidos”.
Por otra parte, ambos textos legales componen un “marco sancionador” que busca “un seguimiento de estas directrices y de las buenas prácticas con las que seguramente sea mucho más difícil acceder a estas empresas u organizaciones y robarles o explotar la información por parte de los ciberdelincuentes”.