El blog de la empresa vasca Información diaria relevante para tu empresa

17 marzo, 2021
Manu Viota (Ertzaintza): “Si los responsables de las empresas conociesen los riesgos a los que están sometidos, invertirían más en ciberseguridad”

El jefe de la Unidad de Delitos Informáticos de la Policía autónoma repasa las principales ciberamenazas a las que se enfrentan las empresas
Manu Viota, jefe de la Sección Central de Delitos Informáticos de la Ertzaintza
Manu Viota, responsable del Área de Delitos Informáticos de la Ertzaintza

Según una encuesta de Sophos realizada el año 2020 a 5.000 directores de empresas del ámbito IT de todo el mundo, el 51% de los entrevistados consideraba prioritario minimizar el riesgo de ciberataques. Ese mismo porcentaje reconocía que sufrió un ataque de ‘ransomware’ durante el año pasado. Sobre el impacto de la ciberseguridad en las empresas vascas conversamos con Manu Viota, responsable del Área de Delitos Informáticos de la Ertzaintza.

¿Cuáles son los ataques o intentos de ciberestafas más frecuentes que afectan a las empresas?

Podríamos hablar de tres tipos de ataques. El primero sería el BEC o Business Email Compromise. Consiste en que los atacantes se meten en medio del correo electrónico de dos empresas que tienen una relación comercial. El delincuente ataca a una de las empresas a través del correo electrónico de uno de sus empleados y empieza a espiar los mails que va recibiendo y enviando. Cuando ve que hay una actividad relacionada con pagos de dinero, suplanta al usuario y manda un mensaje en el que solicita que el pago se realice, en vez de en la cuenta habitual, en una cuenta corriente distinta. Evitarlo es tan sencillo como coger el teléfono y preguntar al cliente si realmente es así y hay que realizar el pago en otra cuenta. Pero mucha gente no hace estas comprobaciones, envía el dinero y, unas semanas después, recibe el aviso de la otra empresa de que no ha cobrado, y es cuando se destapa el problema.

Otro ataque es parecido y utiliza ingeniería inversa para engañar a un empleado. El atacante se hace pasar por un responsable de la compañía, el CEO, y manda un mail a un empleado para que le haga un ingreso en una cuenta, que es algo urgente, y que no se lo diga a nadie. Como en el caso anterior, si se habla por teléfono con el responsable y se pregunta, este tipo de estafas no ocurrirían.

La tercera es el ‘ransomware’. Los delincuentes te infectan con un criptovirus, te cifran la información de los sistemas y te piden un rescate para poder acceder a ella de nuevo. Este ataque se desactiva con algo tan sencillo como tener copias de seguridad separadas de la red, porque te pueden infectar el sistema, pero solo vas a poder perder lo que has hecho en un día, lo que no está registrado en la copia de seguridad. Si no haces copias de seguridad, no las compruebas o las tienes en la misma red, el virus te va a entrar en esas copias y las va a desactivar.

En todo lo que tiene que ver con la ciberseguridad existen soluciones tecnológicas, pero no hay que olvidar el papel que tienen la ingeniería social o la ingeniería inversa. ¿En qué consisten?

La ingeniería social se basa en atacar el eslabón más débil de la cadena que, casi siempre, es el usuario. Los humanos tenemos defectos, como que no nos gusta poner pegas, y los delincuentes utilizan estos sesgos psicológicos para atacar a las personas. Envían un correo electrónico a un empleado de una empresa. Estas direcciones de email se venden en listados de correos de empresas o, directamente, se puede acceder a ellos a través de la web. El atacante manda un mail con un fichero adjunto con un virus y, al abrirlo y ejecutarlo, se hace con el control del ordenador. Otra posibilidad es mandar un enlace para descargar un documento de plataformas en la nube como Dropbox o Google Drive. Cuando accedes a esa carpeta te piden un correo electrónico y contraseña y así acceden a tus datos. Entras, ves que el documento no funciona, y te olvidas porque no ha pasado nada. Lo que sucede es que los delincuentes tienen la contraseña de tu correo y llevan a cabo una labor de meses, visualizando día a día los correos que envía ese usuario sin que te des cuenta. Cuando ven que tienen una relación comercial con una empresa, entran en el correo y establecen una serie de filtros de tal manera que, cuando llega un mensaje de esa empresa, el mail va a la basura o lo reenvían a una cuenta de la organización criminal. El delincuente utiliza el correo de la víctima y la otra empresa no sabe que le están suplantando la identidad.

Esa transferencia no se hace directamente a la organización criminal, sino a unas personas que llamamos ‘mulas de phishing’, que son terceros que podrían no tener relación con la organización criminal, y que se prestan a abrir cuentas bancarias para recibir y transferir las cantidades de dinero. Con cada gestión que realizan se quedan con un 5% de las ganancias. Cualquiera puede pensar que no va a recibir tanto dinero por una gestión lícita que dura cinco minutos y, si fuese legal, se haría a través de bancos.

¿Hay algún caso que les haya llamado la atención de forma especial?

Intentos de estafa y denuncias hay casi todos los días. Hemos tenido algún caso que nos llamó la atención como el primero en el que se estafó más de un millón de euros. Luego tuvimos otro con una estafa de 12 millones de euros. En este último caso hubo suerte porque gran parte del dinero se pudo recuperar ya que se dieron cuenta en el mismo día y activaron los mecanismos bancarios, pero si llegan a tardar más no hubiese sido posible recuperar ese dinero.

A la hora de hablar de Industria 4.0, nos centramos en las nuevas tecnologías en los procesos industriales: sensores IoT, máquinas y robots con conexión a Internet, y, en resumen, los entornos OT cada vez más abiertos al exterior, lo que puede generar muchas vulnerabilidades que hay que intentar minimizar. Todo esto será un reto para las empresas y también para la Unidad de Delitos Informáticos de la Ertzaintza, ¿verdad?

El sector industrial presenta un nivel de madurez bajo respecto a este tipo de ataques, se observa un esfuerzo importante por mejorar pero aún hay mucho camino por recorrer. Han vivido en una burbuja en la que los sistemas no se interconectaban con los del resto de la fábrica y disponían de en una cierta seguridad. Ahora, con la interconectividad y la Industria 4.0, todos estos sistemas se comunican con Internet, y esto es un riesgo que, bien gestionado, ofrece muchas ventajas a la industria, pero mal gestionado puede provocar grandes brechas de seguridad. Los sistemas IT llevan luchando contra los virus y ataques durante mucho tiempo y han ido poniendo barreras cada vez más avanzadas. En los entornos OT hay que intentar proteger de problemas nuevos. Antes, el problema se centraba en que una máquina fallase, ahora te pueden robar los parámetros de fabricación, detener la producción y provocar averías en los sistemas de producción.

En los últimos años se han puesto en marcha diferentes iniciativas para potenciar la ciberseguridad a nivel de Euskadi. ¿Son suficientes este tipo de iniciativas?

En cuestión de ciberseguridad nunca es suficiente pero nos estamos esforzando. En el ámbito público, la Ertzaintza forma parte del BCSC y nos coordinamos para la difusión de la ciberseguridad y para sensibilizar a la ciudadanía y a los trabajadores es fundamental. Las empresas tienen la posibilidad de ayudar a las organizaciones gubernamentales a defender a la sociedad y tenemos que trabajar en ese sentido. Tenemos que luchar todos juntos frente a los ciberdelincuentes, un buen ejemplo es el reciente convenio de colaboración público-privado firmado con Cybasque, la asociación de empresas vascas de ciberseguridad. Si no trabajamos en red, mientras los ciberdelincuentes sí lo hacen, perderemos la partida.

¿Qué grado de concienciación existe en las empresas, especialmente en las pymes, en todo lo que tiene que ver con la ciberseguridad?

Poco a poco vamos avanzando. Las pymes, muchas veces, no creen que los ciberdelincuentes les vayan a atacar. Creen que esto no va con ellas. Me preocupa que cuando doy charlas para concienciar a las empresas sobre estos temas, los que acuden son los técnicos, es decir, el personal más sensibilizado en general. La formación y concienciación es importante a todos los niveles, y por ello, son necesarias diferentes temáticas especializadas en función del perfil del asistente. Hay formaciones específicas para técnicos, pero también hay formaciones específicas para personal administrativo o directivo. Yo quiero que vengan a esas charlas los CEOs, la gente que tenga responsabilidad sobre la organización, para que escuchen la gravedad de la situación y cómo se están moviendo los delincuentes. Para los responsables de ciberseguridad cuesta bastante que alguien que no tenga perfil tecnológico vea la ciberseguridad como algo que no sea un coste económico. En la empresa puede que tengas vigilantes y videocámaras, pero te cuesta instalar un ‘firewall’. Pasar de la seguridad física al ciberespacio es algo en lo que tenemos que seguir avanzado. Si los responsables de las empresas conociesen los riesgos a los que están sometidos, invertirían más en ciberseguridad.

Un aspecto fundamental en la ciberseguridad es la formación y la sensibilización de los usuarios. Que se sientan parte de la cadena de seguridad, desde el presidente hasta el último usuario con acceso a un sistema informático. Todos tienen que remar en la misma dirección. Hay que ser conscientes de los riesgos que existen para que, cuando les pidan una cosa rara, sean capaces de parar e informarse, porque si no avanzamos en esto, aunque tengamos el mejor ‘firewall’ del mundo, se pueden comprometer los sistemas.

Ciberseguridad 20 abril, 2021
SPRI amplía las ayudas de ciberseguridad industrial a los proyectos iniciados desde enero 2021

 El Centro Vasco de Ciberseguridad (BCSC) informa de que los proyectos que cumplen los requisitos...Leer más

Bidaidea
Ciberseguridad 14 abril, 2021
Bidaidea, ejemplo de internacionalización en materia de ciberseguridad con marca Euskadi

La empresa Bidaidea nació en Euskadi, pero se ha desplegado por todo el mundo. Se trata de una...Leer más

Ciberseguridad 12 abril, 2021
El plan estratégico de ciberseguridad en Euskadi hasta 2025 busca dinamizar el tejido empresarial del sector

El Centro Vasco de Ciberseguridad (BCSC) ha elaborado su plan estratégico hasta 2025 que busca,...Leer más

Luis Ángel del Valle, CEO de SealPath
Ciberseguridad 30 marzo, 2021
SealPath protege y monitoriza documentos corporativos compartidos

Según un informe de International Data Corporation (IDC), el mercado de la ciberseguridad en...Leer más

Ciberseguridad 23 marzo, 2021
El Gobierno vasco duplica el presupuesto para las ayudas en ciberseguridad

  El Gobierno vasco facilitará ayudas de hasta 18.000 euros a fondo perdido a las empresas...Leer más

Linkedin

Información diaria, segmentada por sectores de actividad y
países de interés para tomar las decisiones más
competitivas.

Última hora sobre Nuevas ayudas

Para pymes, para diversificar mercados, becas en el extranjero, licitaciones internacionales, subvenciones a fondo perdido para afinzar la exportación, ayudas para implantaciones o formación específica en internacionalización.

Te interesa ¿verdad?