Patrocinado por

Luis González, experto en ciberseguridad: «Las políticas de seguridad pueden ser cosas tan sencillas como no dejar apuntada la contraseña en un pósit»

TENDENCIAS

Twitter ha sido una de las últimas grandes empresas en sufrir un ciberataque, mediante el que se filtraron los datos de más de 200.000 usuarios
Twitter ha sido una de las últimas grandes empresas en sufrir un ciberataque, mediante el que se filtraron los datos de más de 200.000 usuarios SASCHA STEINBACH | EFE

El Principal Cloud Architect de la firma Keepler aporta las claves para proteger los datos de una empresa en caso de ciberataque y da algunos consejos a los usuarios

27 ene 2023 . Actualizado a las 11:07 h.

«En el 2021, el 40% de todos los negocios del mundo fueron afectados por algún tipo de ransomware», expone Luis González, Principal Cloud Architect de la empresa Keepler Data Tech. La cifra suena alarmante. Sin embargo, las consecuencias de estos ciberataques pueden variar en función de lo preparada que esté una corporación para afrontarlos. «Las políticas de seguridad pueden ser cosas tan sencillas como no dejar apuntada la contraseña en un pósit», añade el experto en ciberseguridad. De ahí, la importacia de seguir buenas prácticas informáticas como las que señalan en Keepler, donde aportan una serie de claves que ayudan a proteger los datos corporativos de la actuación de los ciberdelincuentes. 

Los ataques de ransomware consisten en el secuestro de datos de una empresa con el objetivo de exigir un rescate y así obtener un beneficio económico. «Si no pagas el rescate, pierdes la información, a menos que tengas un respaldo o back-up», explica Luis González. Traducido al lenguaje coloquial, se trata de una suerte de copia de seguridad: «Se hacen fotos de todo tipo de datos, bases de datos, sistemas internos… Y se almacenan historificados. Así, puedes restaurar la información».

Cuando el pasado 11 de enero un fallo informático paralizó todo el tráfico aéreo de Estados Unidos, una de las causas que se investigaron fue un posible ciberataque. Aunque luego se descartó esta posibilidad, Luis González advierte que las bandas de cibercriminales podrían «sin duda» llegar a paralizar la actividad de una empresa o institución. «Los sistemas críticos, como un aeropuerto o un banco, además de back-ups tienen redundancia. Es decir, si se cae un sistema, el otro sistema que está en modo piloto comienza a interactuar. En caso de que haya ransomware, no se pierde información, pero puede que durante un corto período de tiempo, unas horas o unos minutos, haya pérdida de servicio. La empresa deja de funcionar hasta que se restauraran todos los respaldos que se han hecho de los datos».

Sin embargo, el método no es tan sencillo como crear copias de seguridad. Si un ciberdelincuente tiene acceso a los datos de una empresa, podría obtener beneficios a través de otras fórmulas. «Normalmente en las empresas hay dos tipos de información que se considera altamente sensible: la información estratégica e interna —diseños de fabricación, patentes...— y la información que está protegida por alguna ley que implique una seguridad extra sobre los datos personales, como las GDPR (Reglamento General de Protección de Datos de la Unión Europea) o la LOPD (Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales)», explica Luis González.

El segundo grupo incluye información personal de clientes, como nombres, direcciones o contraseñas. «Cuando se producen este tipo de robo de datos, normalmente los cibercriminales hacen ataques individuales a los usuarios. Pueden crear campañas de spam o de phishing haciéndose pasar por la empresa para obtener datos bancarios o algo que les pueda dar beneficios económicos», explican desde Keepler. Uno de los ejemplos más recientes fue el ciberataque sufrido por Twitter este mes de enero, en el que se filtraron los datos de más 200.000 usuarios.

Las cuatro claves de Keepler

Ya que este tipo de ataques rara vez son evitables y se multiplican con el paso del tiempo, desde Keepler arrojan cuatro claves con las que afrontar el desafío de la seguridad en el almacenamiento, tratamiento y explotación de datos. El primer paso es contar con un catálogo exhaustivo de toda la información que hay en la empresa: «Tener identificados todos estos datos, dónde están, quién es su responsable y que tengan definidas políticas de back-up».

La segunda y la tercera clave son realizar un cifrado de la información sensible e implantar una gestión correcta de las claves de acceso. «Es decir, si nuestras contraseñas están cifradas en una base de datos, que nadie pueda obtener esa contraseña de ninguna manera, nunca. O si hay un contrato o documento sensible, que esa información la custodien y solo tengan acceso las personas que deban ver ese documento», explica el experto en ciberseguridad.

Por último, las empresas deben ocultar o eliminar la información personal a través de técnicas de desidentificación, anonimización, tokenización o seudonimización. Luis González pone como ejemplo aquellos proyectos, como puede ser un análisis de datos, que se contratan a proveedores externos: «Muchas veces para hacer análisis globales, con big data por ejemplo, no es necesario saber el nombre, el apellido, el DNI y el teléfono de una persona. Con tener datos más genéricos es suficiente. Es recomendable que la información que no sea útil para el análisis, pero que sí puede ser peligroso que se libere maliciosamente, se oculte o se elimine mediante estos procesos».

Estos pasos permiten gestionar la seguridad de la red, el cifrado y la seguridad física, el proceso de autorización y los derechos de acceso, así como mantener el principio de mínimo privilegio, que permite acceso por usuario solo a aquellas funciones estrictamente necesarias para desempeñar unas responsabilidades concretas.

 Política security first

Otro de los métodos que recomiendan en Keepler y que ya han implantado en sus proyectos es la política security first. «Se trata simplemente de hacer un proceso de mejora continua, de revisión de tus activos, ya sea con herramientas que analicen tráfico, que puedan detectar comportamientos extraños en una red o que identifiquen vulnerabilidades en los paquetes de software que se instalan, y llevar a cabo una evolución continua de las herramientas para que nunca se queden obsoletas y estén siempre actualizadas. Es como poner a un guardia de seguridad inspeccionando las personas que entran en un edificio. Un sistema continuo de vigilancia y protección de los sistemas informáticos», explica Luis González.

Lo ideal sería implantar esta política desde que se empieza a desarrollar una aplicación o herramienta, pero el experto asegura que normalmente se puede implantar en aquellas que ya han sido creadas con anterioridad: «De una u otra forma, se puede mejorar la seguridad. A veces son pequeñas piezas que agregas a esa aplicación, como poniendo un cortafuegos por delante. Mientras actualices los sistemas de manera continua y sigas las políticas, deberías poder seguir actualizando y protegiendo el software de nuevos ataques».

¿Qué puedes hacer los usuarios para proteger sus datos?

Aunque la responsabilidad de los datos corresponde a las empresas, los usuarios pueden mejorar la seguridad con pequeños gestos. «Lo primero que debemos hacer como usuarios es informarnos de cuáles son nuestros derechos», dice Luis González. Existen organismos, como la OCU, «que se dedican a difundir cuáles son tus derechos y cómo las empresas están obligadas a proteger tus datos personales cuando ellos las tienen», añade.

A partir de ahí, el usuario debe tener claras dos premisas. La primera es utilizar contraseñas fuertes: «Largas, que contengan la mayor cantidad de combinación de mayúsculas, minúsculas, caracteres especiales y números». La segunda es activar los sistemas de autenticación multifactor (MFA). «Lleva mucho tiempo funcionando en entidades como bancos. Recibes un SMS con un número o tienes una aplicación con una clave temporal de un solo uso. Estos sistemas suelen ser bastante buenos para verificar la identidad de la persona».

«De esa forma te proteges principalmente de ataques de fuerza bruta, que es cuando los atacantes intentan adivinar tu contraseña. Si pones una contraseña que es una palabra muy simple o con muy pocas letras es muy probable que los atacantes la adivinen. Si pones una contraseña fuerte y tienes una autenticación multifactor es más difícil que puedan acceder a tus datos», explica Luis González.

«El resto de la seguridad de los datos que das una empresa, página web o portal queda sobre su responsabilidad. Esa empresa tiene que cumplir con las políticas de seguridad informática, con las distintas leyes de protección de datos y con las buenas prácticas de proveedores donde tengan desplegadas sus estructuras, como pueden ser Amazon o Google», concluye.

El papel clave lo juegan las empresas, que se enfrentan al reto de hacer frente a una escalada de ciberdelincuencia que, previsiblemente, irá en aumento los próximos años. «En el 2015, se pagaron 24 millones de dólares en recompensas de ransomware en el mundo. En el 2016, fueron aproximadamente un billón. En el 2021, se alcanzaron 20 billones de dólares. En solo cinco años, se multiplicó por veinte», expone González. Por eso, desde Keepler insisten en la necesidad de seguir sus claves y aplicar el enfoque de security first. A veces, «las políticas de seguridad pueden ser cosas tan sencillas como no dejar apuntada la contraseña en un pósit».