Marco Antonio Lozano Merino

Responsable de Ciberseguridad para Empresas en INCIBE

---

1 - ¿Cuáles han sido los sectores más afectados en materia de ciberseguridad durante la pandemia? ¿Cuáles son los ataques más frecuentes?

Durante la pandemia provocada por la COVID-19 las empresas, de todos los sectores, han tenido que modificar de alguna u otra forma su mecánica de trabajo habitual para adecuarse a este nuevo escenario. El cambio más significativo que se ha visto es la adopción del teletrabajo. Según el Instituto Nacional de Estadística (INE), el 48,8% de las empresas han continuado su actividad laboral por medio de esta modalidad durante la pandemia, con un crecimiento espectacular respecto al 4,8% en 2019. A esto hay que sumarle que se ha producido en este año un incremento en el nivel de digitalización en las empresas del 15,1%.

Al incrementarse la superficie de exposición debido al aumento del teletrabajo y la digitalización, la ciberseguridad en todos los sectores empresariales podría haberse visto afectada, ya que los ciberdelincuentes cuentan ahora con más oportunidades para perpetrar sus acciones. Por ejemplo, se han visto especialmente afectados los accesos remotos a los servidores de las empresas o las teleconferencias han sido uno de los puntos más críticos en cuestión de incidentes. Algunos sectores, debido a lo esencial de su actividad durante la pandemia, han podido ser el blanco de algún tipo de fraude o extorsión a través de ransomware, como son el sector sanitario y el logístico, pero en general todos los sectores profesionales, en mayor o menor medida, han visto su ciberseguridad afectada.

De igual forma que sucedía antes de la pandemia los ataques más frecuentes utilizados por los ciberdelincuentes son aquellos en los que involucran a los usuarios, ya sean empleados, jefes o clientes, mediante técnicas de ingeniería social utilizando como gancho cualquier tema relacionado con la COVID-19: remedios de salud, ayudas gubernamentales, falso soporte técnico, etc. Los ciberdelincuentes cuentan con una gran capacidad de evolución respecto a las tendencias que sufre la sociedad, por ello la COVID-19 y todos los cambios que se han producido como los ERTE han sido utilizados como gancho en su propio beneficio.

2 - ¿Qué técnicas son las más empleadas por los ciberdelincuentes a la hora de realizar un ciberataque? ¿Cuál es el vector de entrada más habitual?

La ingeniería social es la técnica base de la gran mayoría de ataques. Mediante engaños, en ocasiones suplantando la identidad de personas o entidades reconocidas, los ciberdelincuentes consiguen que las potenciales víctimas desvelen información confidencial o instalen malware en sus dispositivos. Como medio de propagación, los ciberdelincuentes suelen usar el correo electrónico, ya que es una herramienta utilizada sino en el 100%, en la gran mayoría de empresas. En otras ocasiones los ciberdelincuentes utilizan otras vías de comunicación como son los mensajes SMS, las aplicaciones de mensajería instantánea e incluso a través de llamadas telefónicas.

El principal método utilizado para robar información confidencial como credenciales de acceso e información bancaria son las llamadas campañas de phishing. Esta técnica siempre va de la mano junto a la ingeniería social. Mediante un correo electrónico o cualquier otra comunicación los ciberdelincuentes suplantan la identidad de una organización o persona reconocida y solicitan a la potencial víctima que acceda a un sitio web creado ex profeso para robar los datos. Este sitio web suele tener la misma apariencia que el sitio web legítimo pero en realidad su objetivo es robar información confidencial, en su mayoría credenciales de acceso con las que perpetrar otros ataques e información financiera para su venta en mercados negros.

La otra técnica más utilizada por los ciberdelincuentes para comprometer la seguridad de la organización es infectar los dispositivos con malware, para ello adjuntan los archivos maliciosos directamente en el correo o los distribuyen por medio de enlaces que dirigen al usuario a sitios web donde se encuentra alojado. De igual forma que sucede en los ataques de phishing, las campañas de malware utilizan técnicas de ingeniería social para conseguir su objetivo. El malware que infecta los equipos de las víctimas puede abrir puertas traseras, exfiltrar información o cifrarla para pedir un rescate (ransomware).

3 - ¿Constituye el teletrabajo un impedimento para garantizar la ciberseguridad?

El teletrabajo no constituye un impedimento para garantizar la seguridad de una organización si la implementación cumple con los requisitos necesarios. Uno de los mayores inconvenientes que se observó, sobre todo en las primeras etapas de teletrabajo provocadas por el confinamiento, fue la urgencia en la implantación del mismo, lo que provocó que no se tuvieran en cuenta todos los requisitos de seguridad necesarios.

Para llevar a cabo el teletrabajo en cualquier empresa, se ha de permitir el acceso a los empleados a los recursos o servicios de la organización desde Internet. Esto requiere formar a los empleados en el uso seguro de las tecnologías para el acceso remoto, como las redes privadas virtuales (VPN), así como el uso de los recursos de la empresa a los que se acceden remotamente. Además de intentar engañar a los empleados con técnicas de ingeniería social, los ciberdelincuentes pueden aprovechar alguna vulnerabilidad en las tecnologías de acceso (VPN, escritorio remoto,…) para acceder a los recursos empresariales. Ninguna tecnología está exenta de tener vulnerabilidades, por eso se han de establecer protocolos de vigilancia de los sistemas empleados, protocolos de copias de seguridad y de actualización de los sistemas. Cualquier modalidad de teletrabajo conlleva un nuevo riesgo, que debe tenerse en cuenta y reducirlo al máximo posible, siempre teniendo en cuenta la capacidad de la empresa.

4 - ¿Cuáles son los datos que más se cotizan en el «mercado negro»?

Cualquier información robada tanto a empresas como a usuarios tiene su valor en el mercado negro, siendo los datos personales de identificación los más valorados. En el mercado negro se puede llegar a pagar más de 5.000$ por un pasaporte europeo y 1.000$ por carnet de conducir. Otros servicios que se ofrecen en el mercado negro son paquetes de datos con información personal, números de tarjetas de crédito y cuentas bancarias, plantillas para falsificar documentación oficial como los pasaportes, acceso remoto a dispositivos infectados, etc. Estos paquetes cuando llevan direcciones de correo electrónico o números de teléfono móvil son utilizados en campañas de spam, de phishing, smishing y distribución de malware.

5 - ¿Qué compañías son las más atacadas?

Los ciberdelincuentes atacan a todos los sectores empresariales sin importar el tamaño, pero algunos de ellos muestran una mayor incidencia. En el siguiente gráfico elaborado a partir del Dossier de Indicadores sobre Ciberseguridad y Confianza Digital en España y Europa del ONTSI de mayo de 2020 se obtiene la siguiente gráfica.

El sector relacionado con actividades profesionales, científicas y técnicas es el que más incidentes de seguridad identificó llegando a un 20% de empresas. El 18% de las empresas relacionadas con el sector industrial de actividades petrolíferas y el 17% de las empresas de información y telecomunicaciones detectaron incidentes de ciberseguridad.

6 - ¿Es la inversión en ciberseguridad una de las últimas en considerar por parte de las empresas?

Uno de los principales inconvenientes a los que se enfrentan sobre todo las pymes, es la falsa creencia de que la ciberseguridad es algo que solamente deben tener en cuenta las grandes corporaciones, ya que una pequeña empresa o autónomo no tienen nada que un ciberdelincuente pueda considerar valioso.

Según se muestra en el Dossier de Indicadores sobre Ciberseguridad y Confianza Digital en España y Europa elaborado por el ONTSI, el uso que las empresas hacen de los sistemas de ciberseguridad es muy heterogéneo si se compara con al tamaño de las mismas. Las compañías más grandes, que tienen un mayor uso de las tecnologías de la información, están más expuestas a estos riesgos asociados a la ciberseguridad y, por tanto, suelen contar con una mayor inversión en ciberseguridad que el resto. Así, el 23% de las grandes empresas experimentaron al menos un problema relacionado con la ciberseguridad frente al 12% de las PYMES.

En cuanto a la preparación de las empresas, el 65% de las grandes empresas definieron su Plan Director de Seguridad en los últimos dos años y el 72% tenía documentación sobre procedimientos de ciberseguridad, mientras que tan solo un 29% y 32%, respectivamente, de las PYMES hicieron lo mismo. Atendiendo a las medidas de ciberseguridad, el 98% de las grandes empresas usaban alguna medida, siendo la más común el mantenimiento de software 97% y la más rara la autenticación biométrica 40%. El 91% de las PYMES afirmaba usar alguna medida de ciberseguridad, un 86% utilizó la más común, la actualización de software, y un 19% la más inusual, la autenticación biométrica.

Por sectores empresariales las empresas que utilizan sistemas internos de ciberseguridad es el siguiente, fuente Informe E-Pyme del 2018 de ONTSI.

    

7 - ¿A cuánto pueden ascender las pérdidas por un ciberataque? ¿Qué tipo de responsabilidad se le atribuye al trabajador causante de una fuga?

En 2019 en el informe elaborado por Google «Panorama actual de la Ciberseguridad en España» se indica que el coste medio de un incidente de seguridad en España rondaba los 75.000€. Debido a la heterogeneidad del tejido empresarial las consecuencias de un incidente de seguridad varían, a esto se añade la multitud de incidentes que pueden afectar a las empresas y las diversas consecuencias de estos. Además, para calcular las consecuencias de un incidente de seguridad no se mide exclusivamente el periodo de tiempo que la actividad se ve interrumpida, existen otros factores que debe tenerse en cuenta, como la revelación de información confidencial o la pérdida de confianza de los clientes, es decir daños reputacionales, difíciles de restablecer y multas.

Cuando una empresa sufre un incidente de seguridad que afecta a datos personales el encargado del tratamiento tiene obligación de notificar dicho incidente ante la Agencia Española de Protección de Datos en un periodo inferior a 72 horas desde que es identificado. En el supuesto que el incidente sea provocado de forma premeditada por un empleado de la empresa este podrá enfrentarse a consecuenciales penales según el reglamento español.

8 - ¿Sabe el trabajador de una empresa cómo tiene que actuar y a dónde tiene que acudir cuando es víctima de un ciberataque?

Todas las empresas deben contar con un documento denominado Plan Director de Seguridad, este plan va a marcar las prioridades, los responsables y los recursos que se van a emplear para mejorar el nivel de ciberseguridad de la empresa. Dicho plan cuenta con otro documento denominado Plan de Contingencia y Continuidad de Negocio, donde se establecen los mecanismos a poner en marcha en caso de un incidente de seguridad. Entre los mecanismos a poner en marcha se encuentra la notificación al responsable por parte del empleado que haya identificado el incidente. El Plan de Contingencia y Continuidad de Negocio también debe indicar cómo actuará el responsable para mitigar las consecuencias del incidente y con qué organismos oficiales debe contactar, como son INCIBE y las Fuerzas y Cuerpos de Seguridad del Estado.

9 - ¿Cuál es el porcentaje de denuncias por fraude o robo de datos por parte del usuario?

En último balance de ciberseguridad de INCIBE  se muestra como se gestionó un total de 107.397 incidentes de seguridad, de los cuales 72.858 afectaban a empresas y ciudadanos.

El fraude es el tipo de incidente más gestionado, ocupando el 29.74% del total de incidentes. Los casos de fraude engloban cualquier tipo de uso no autorizado de recursos empleando tecnologías o servicios por usuarios no autorizados, como la suplantación de identidad, violación de derechos de propiedad intelectual u otros engaños con objetivos económicos.

El 29.25% de incidentes gestionados tienen que ver con sistemas vulnerables. Se entiende por sistema vulnerable cualquier fallo o deficiencia en un sistema que puede permitir a un usuario no autorizado acceder a información confidencial o llevar a cabo acciones no permitidas de manera remota.

El 25,47% afecta a incidentes relacionados con cualquier tipo de software malicioso que lleve a cabo acciones como la fuga de información o la alteración maliciosa de un sistema.