La ciberseguridad está en plena actualidad, después de la proliferación de ciberataques masivos que han puesto en alerta a las empresas y organizaciones más grandes del mundo, que buscan las medidas más eficaces para proteger esos datos.

JESUS LIZARRAGA, coordinador del área de Telemática en Goi Eskola Politeknikoa y coordinador del máster de Ciberseguridad.

Goi Eskola Politeknikoa lleva ya 15 años trabajando en el tema de la ciberseguridad. Actualmente, el área de telemática lo forman 20 profesores y 4 doctorandos. En estos años han conseguido ser grupo de investigación reconocido por el Gobierno Vasco y ser miembros de diferentes redes internacionales. Además, llevan organizando 12 ediciones del Curso Experto en Seguridad Informática, además de otros cursos bajo demanda. 

¿Qué supone un ataque informático para una empresa?

El problema de la seguridad informática, lo que se denomina ciberseguridad, no es un tema nuevo aunque últimamente está en boca de todos y de los medios de comunicación. A finales de los años 80 empezaron a surgir los primeros virus, pero desde hace prácticamente 7-8 años las cosas han cambiado, puesto que las personas que se encargaban de lanzar estos virus lo hacían por entretenimiento y con un afán de notoriedad. En los últimos años, sobre todo a partir de 2010, ha entrado en escena lo que se denomina cibercrimen y en casi todos los ataques hay una motivación económica o incluso política. Y eso plantea un escenario distinto ya que son profesionales quienes se mueven ahí y hay una industria alrededor de ello.

La mayor parte de los sistemas de protección que tenemos están preparados para proteger amenazas conocidas, por lo que el problema surge cuando alguien laza un virus nuevo, después de comprobar que los antivirus que hay en el mercado no lo detectan. El objetivo es atacar a una única víctima a quien roban los datos del sistema que pueden ser de mucho valor en el mercado. Últimamente se están dando muchos casos de rescate, denominado “Ransomware” que cifra la información que tienes, perdiendo el acceso y necesitando una clave para volver a recuperar esos datos. Para ello, el atacante solicita una recompensa económica para facilitar la clave. Detrás de este negocio, hay mucho mucho dinero.

Ante este panorama, ¿se pueden prevenir estos ataques? ¿cómo debemos actuar?

De partida, cabe decir que el incidente de seguridad es prácticamente imposible evitarlo, pero lo que debemos hacer es actuar para que no llegue a todos nuestros compartimentos, con lo que denominamos la segmentación de la red, teniendo unos mecanismos de control. Porque si no contamos con este mecanismo podemos estar totalmente expuestos. Como dato interesante, un estudio del gobierno americano del año pasado que dice que el término medio que tarda una empresa americana en enterarse de que ha sufrido un ataque es de seis meses. ¡Es una barbaridad! Por eso el reto no es tanto evitar el ataque, sino detectarlo cuanto antes.

¿Las empresas tienen conciencia de estos riesgos?

Hay que diferenciar. Por ejemplo la banca, el sector financiero, y la administración publica sí que aplican estas recomendaciones, si bien no evitan los ataques pero sí su detención a tiempo. Pero el resto de empresas y, en especial las PYMEs están totalmente expuestas porque hay un desconocimiento muy grande. Las que empiezan a hacer algo son quienes han sufrido un ataque. Afortunadamente, las noticias de prensa están ayudando a concienciar.

Por otra parte, en las empresas empieza a aparecer una figura, el Data Proteccion Officer que es el responsable de protección de datos, que no es obligatorio para todas las empresas pero que, según la normativa, en el futuro será obligatorio en la administración pública, y en las empresas que trabajen con gran volumen de datos personales o sensibles (sanitarios, sanciones, económicos).

La tecnología avanza a la velocidad de la luz, ¿cómo ves el futuro?

Es preocupante. Los entornos informáticos tradiciones son lo que menos preocupa a día de hoy, porque vivimos en el Internet de las cosas, con miles y millones de dispositivos conectados a Internet: desde el móvil al detector de incendios, sistemas de control de acceso, una bombilla que puede tener conexión wifi, electrodomésticos, el Smart TV, … todos tienen un pequeño ordenador dentro. Atacar este tipo de dispositivos es muy fácil a día de hoy. Por ejemplo, el ataque que se produjo en octubre de 2016 fue el más grande en magnitud de la historia y el primero en el que los dispositivos con los que se atacó fueron única y exclusivamente del Internet de las cosas. En este ámbito, la exposición es total, porque estos no tienes antivirus y son totalmente vulnerables; por ejemplo cámaras webs.

En efecto, la seguridad en los procesos industriales es preocupantes porque la exposición es enorme y también se extiende ale mundo de la domótica y electrodomésticos, y al de automoción. Los coches, por ejemplo, solo los de gama muy alta tiene conexión a Internet pero ya se han descrito ataques remotos que manipulan los frenos, bloquean las puertas, …

Es un problema serio y la solución no se ve clara. Se habla de certificación de seguridad y obligar a los fabricantes a cumplir con unos mínimos. Hablamos de una reglamentación y una normativa que ya están priorizando desde diferentes instituciones locales y europeas, pero que no entrará en vigor hasta mayo de 2018.

Decálogo de recomendaciones para detectar un ciberataque (destacar en un cuadro)

1. Segmentación de redes. Muchas empresas tienen conectadas, por ejemplo, la red de planta con la de oficina, con la amenaza que ello supone, porque la red de oficina suele estar normalmente protegida pero en la planta no suele existir ninguna protección. La recomendación es segmentar y separar las redes.
2. Actualización y parcheo del software, porque el fabricante actualiza también el antivirus.
3. Control de acceso, a Internet y a la red general, para reducir el riesgo.
4. Sistemas de detención de intrusiones que vigilan si está ocurriendo algo extraño y, en su caso, salta la alerta, puesto que mayoritariamente le peligro no suele estar fuera, sino dentro de nuestra propia organización.
5. Registro y análisis de datos. Cualquier servidor registra los datos informáticos de la empresa, pero no se analizan porque el volumen es enorme. Hoy en día existen interesantes programas que analizan los datos y detectan si está ocurriendo algo raro.
6. Copias de seguridad, es obligatorio y fundamental.
7. Formar y concienciar a los usuarios. El trabajador debe ser consciente del riesgo y conocer las buenas prácticas. Los incidentes son casi siempre por fallos humanos. Debemos empezar por aquí, antes de instalar la última tecnología.