Cuando hackear significa protección: lecciones y consejos de expertos en ciberseguridad
¿Cómo es luchar contra las ciberamenazas que acechan a empresas, trabajadores y ciudadanos? En los últimos meses, la ciberseguridad se ha potenciado en la arquitectura de numerosas compañías, aunque aún existen conceptos que conviene tener en cuenta a la hora de establecer una estrategia eficaz. En este artículo de BBVA Open Innovation recogemos algunos casos y consejos de expertos que demuestran la importancia de la ciberseguridad.
Cuando el equipo de Adriel Araujo, CEO y cofundador de Hackmetrix -empresa latinoamericana especializada en ciberseguridad-, recibió el mensaje de auxilio de una ‘startup’ que acababa de sufrir un ciberataque, se inició un trabajo contra reloj. «Estaban borrando las bases de datos de sus clientes, así que recopilamos las buenas prácticas que llevaban a cabo y decidimos ponernos en la perspectiva del atacante para ver todas las potenciales vulnerabilidades», relata Araujo.
Lo que hicieron tanto él como su equipo fue realizar un ejercicio de ‘hacking’ ético: ir a las «puertas traseras» y averiguar cuál era la que estaba permitiendo ingresar a la base de datos de los usuarios de esta ‘startup’. Sin embargo, en esta ocasión ninguna de estas vulnerabilidades era compatible con el ataque sufrido. ¿Qué hicieron?
Volvieron a ponerse en la piel del ciberatacante y llegaron a la conclusión de que tan solo los ‘developers’ de la compañía tenían la posibilidad de administrar las bases de datos. Fue entonces cuando averiguaron que el ‘hacker’ había introducido en el ordenador del Chief Technical Officer (CTO) un virus. «Limpiamos el ordenador del CTO, así como todos los equipos que se conectaban desde la misma red, y pusimos en marcha un programa de seguridad desde la base», explica el CEO y cofundador de Hackmetrix.
Lejos de ser un caso aislado, la situación narrada por Araujo se repite en formas diferentes por todo el globo. La lucha contra las ciberamenazas es diaria, aunque, poco a poco, comienzan a establecerse nuevos cortafuegos que impiden a las empresas poner en riesgo sus servicios, así como la información de sus clientes.
El riesgo está en la puerta de atrás
Empresas y ‘startups’ han colocado el foco de su estrategia de ciberseguridad en sus alianzas con socios y ‘partners’. La conexión con API u otros servicios equivale a aumentar el riesgo de sufrir ciberataques, por lo que cada vez son más los esfuerzos que se colocan en este ámbito con el fin de reducir los riesgos.
Vanesa Gil, Head of Cybersecurity Institutional Affairs del Área de Corporate Security de BBVA, señala este «aumento de la superficie de exposición al riesgo» como uno de los retos que toda compañía debe considerar para hacer frente a las amenazas. «Como consecuencia de la aceleración de la transformación digital, muchas empresas han empezado a utilizar entornos ‘cloud’ y servicios de empresas externas. Por ello, es necesario exigir por contrato a los proveedores de servicios contratados por las organizaciones que hayan implantado medidas de seguridad que permitan garantizar la seguridad de la información y que dispongan de certificaciones de seguridad que estén internacionalmente reconocidas», indica Gil.
Se trata de un aspecto en el que también coincide Adriel Araujo y que resume de una manera sencilla: «De nada sirve invertir ingentes cantidades de dinero en programas de ciberseguridad e integrar ‘software’ de primer nivel cuando tus servicios están conectados a terceros que no invierten lo suficiente en esta materia», advierte.
No se trata de un tema baladí, sino que afecta de manera directa tanto a la reputación como al propio desarrollo de las empresas. Cristina Bentúe, Chief Operating Officer y cofundadora de IriusRisk, ‘startup’ de ciberseguridad española, ejemplifica, a través de un caso cercano, el peligro de no llevar a cabo una estrategia en ciberseguridad acertada.
«Recientemente, unos compañeros me comentaron que, por casualidad, un miembro del departamento de ciberseguridad de su equipo descubrió una vulnerabilidad en la aplicación de la entidad de riesgos laborales que empleaba su empresa para realizar análisis médicos. Averiguó que, con tan solo variar el número del paciente en la URL del navegador, podía acceder a los historiales del resto de empleados», señala la cofundadora de IriusRisk.
Las consecuencias de que esta organización no invirtiese en la protección de los datos no tardaron en aflorar, amplía Bentúe: «La empresa de mis compañeros cambió de proveedor de servicios de riesgos laborales y ahora esa compañía está preocupadísima tanto por su financiación como por su reputación».
Afortunadamente, este tipo de casos siempre se pueden evitar adoptando una estrategia de ciberseguridad como la que, tras la pandemia del coronavirus, han impulsado numerosas empresas.
Breve manual de ciberseguridad
Con el impulso del teletrabajo, la ciberseguridad se ha tornado en un elemento clave en la estrategia de toda organización. El giro ha sido drástico y, según la encuesta Digital Trust Survey 2022, realizada por la firma PwC, el 70% de las empresas en España tiene entre sus planes incrementar el presupuesto en ciberseguridad a lo largo de 2022.
«Ahora ya tenemos tiempo para plantearnos que no necesitamos una seguridad reactiva, sino proactiva, que cuente con presupuestos específicos y que nazca de los propios órganos de dirección de las empresas», afirma Bentúe.
Tal es la relevancia que ha adquirido la ciberseguridad en los esquemas de las empresas que, durante la celebración de la quinta edición de BBVA Open Summit 2022, se pondrá el foco en la seguridad de los datos como uno de los temas principales para el desarrollo positivo de ‘startups’ y empresas.
El objetivo es acercarse a los nuevos peligros que rodean a empresas y ‘startups’, aunque ya existen algunas lecciones que las empresas pueden aplicar para prevenir riesgos en ciberseguridad. En la Innovation Masterclass de BBVA Open Innovation celebrada en octubre de 2021 se aportaron algunas claves, pero, ¿qué otros pasos se pueden seguir?
- Invertir en la formación de los empleados. Formar a los empleados de las empresas en materia de ciberseguridad es uno de los principales caminos que las empresas han elegido. BBVA, por ejemplo, ha abierto sus contenidos formativos en materia de ciberseguridad tras instruir a más de 60.000 empleados. «Con esta formación, los empleados son más conscientes de los riesgos que existen y conocen los principales ataques de los que pueden ser objeto, hecho que contribuye a que gestionen la información de forma segura», afirma Vanesa Gil, de BBVA.
- Conocimiento de los riesgos. Tal y como recomienda Cristina Bentúe, de IriusRisk, en España el Instituto Nacional de Ciberseguridad (INCIBE) «ofrece un espacio para que empresas y ciudadanos puedan disponer de herramientas y consejos con buenas prácticas para evitar vulnerabilidades y ser víctimas de ciberataques».
- Conformar un Business Continuity Plan (BCP) y un Disaster Recovering Plan (DRP). Por último, Adriel Araujo de Hackmetrix indica que las organizaciones deben disponer de estos programas preventivos. El primero de ellos está destinado a asegurar que, a pesar de que se produzca un ataque a la compañía, esta pueda seguir operando con normalidad, mientras que el segundo plan alude a la estrategia y pasos a seguir que la organización debe tomar «para recuperarse después del desastre».
Conocer casos como los mostrados y llevar a cabo estas prácticas ayuda a construir una defensa férrea capaz de repeler las amenazas que transitan por la red y ponen en riesgo a ‘startups’ y empresas. Por ello, la implicación de la ciberseguridad no puede quedar relegada a un segundo plano. Así lo concluye Bentúe, de IriusRisk: «Del mismo modo que un ‘airbag’ no se incluye tras la construcción de un coche, la ciberseguridad no puede mantenerse ajena a la arquitectura de las empresas».
