La ciberdelincuencia ha visto en la Covid una oportunidad contra empresas y particulares

Los ciberdelincuentes se aprovechan de cualquier resquicio o grieta en la seguridad de empresas y ciudadanos para poder conseguir datos con los que comercializar, lograr directamente información sobre cuentas o tarjetas para robar fondos o ‘secuestrarla’ para exigir un rescate para recuperarla. Con la pandemia, han visto una nueva oportunidad para aprovecharse de las debilidades, en buena medida porque muchas compañías han tenido que apostar por el teletrabajo sin estar preparadas para ello en materia de seguridad. Así lo explicó ayer Laura del Pino, responsable de BBVA Data Security, en la webinar que el Grup SEGRE y la entidad financiera organizaron bajo el título Los desafíos de la ciberseguridad en esta nueva era.

En este seminario celebrado a través de internet, Del Pino analizó qué buscan los ciberdelincuentes, con el robo de información como uno de los grandes objetivos. Hablamos desde datos personales a información de cuentas bancarias o tarjetas de crédito pasando por cualquier tipo de información empresarial. “La información se transforma en dinero directa o indirectamente”. Pueden acabar suplantando la identidad de la empresa o el particular y hacerse con fondos de su cuenta, por ejemplo, pero también utilizan la información como objeto de un nuevo tipo de secuestros. Para conseguir la devolución de la información, muchas veces clave para el desarrollo de la actividad, los ciberdelincuentes pueden pedir un rescate. Pero los datos robados también pueden acabar en el mercado negro de internet.

Sabemos qué buscan, pero también es importante saber cómo lo hacen. En este caso, la responsable de BBVA Data Security apuntó la ingeniería social, básicamente se trata de que nos engañan, o bien utilizan programas maliciosos o virus, los famosos malware y los troyanos. Pero también se aprovechan de cualquier vulnerabilidad, del mínimo resquicio o fallo de seguridad de los programas. Cada vez utilizamos más tecnología y con ello los ciberdelincuentes pueden encontrar más oportunidades. En este punto, Del Pino fue clara y alertó de la baja inversión en seguridad, en especial en las pequeñas y medianas empresas, que anteponen otras prioridades,. Existe una falta de concienciación de los riesgos pero todos, remarcó, podemos ser objetivo de los ciberdelincuentes.

“No hay que preocuparse, hay que ocuparse”. Con esta rotunda frase, Laura del Pino quiso dejar claro que hay que tener en cuenta diferentes daños en caso de ser víctima de este tipo de crímenes, porque las empresas no solo se arriesgan a pérdidas económicas, sino también a daños reputacionales o incluso a multas por no haber protegido la información de terceros. En este punto, quiso destacar que el BBVA cuenta con un equipo en primera línea de defensa, momento en el que aprovechó para insistir en que es necesaria la inversión en instrumentos de seguridad, pero también en la formación de las personas.

Amenazas

Entre las principales amenazas, destacó el famoso phishing, una forma de engaño para conseguir información. Hablamos de correos electrónicos con un origen que aparentemente es legítimo aunque la realidad es bien distinta. Es clave fijarse en el remitente o en el tono de alarma o urgencia de los mensajes, en los que en muchas ocasiones se amenaza con consecuencias negativas. Entre los consejos, no descargar nada de lo que no tengamos un origen claro, porque detrás se puede encontrar malware o troyanos. En este punto, puso ejemplos de correos que aparentemente son de la Agencia Tributaria o entidades financieras que, dijo, “me atrevería a decir que ninguna pide por correo o SMS información de claves o cuentas”. Uno de los consejos es tan obvio, a veces, como fijarse en la ortografía del texto.

Laura del Pino también habló del llamado fraude al CEO. Como los ciberdelincuentes necesitan información de la empresa, se hacen pasar por el máximo responsable de la compañía o un directivo para ponerse en contacto con empleados con capacidad para hacer transferencias económicas o con proveedores. Se trata de ganarse su confianza para que hagan operaciones que plantearían como confidenciales. En el caso de aprovecharse de un proveedor, se trata de hacer que cambie la cuenta del destino de un pago.

Los consejos para ponerse a salvo en estos casos pasan de nuevo por revisar los correos, los dominios, los remitentes y no descargar nada de lo que no sepamos al cien por cien la seguridad del origen. Pero una buena fórmula es establecer un doble chequeo, una doble verificación en el caso de operaciones importantes. Se trata de no fiarse, por ejemplo, solo del correo electrónico y hacer comprobaciones telefónicas entre empleados o directivos que se conozcan personalmente. Es clave concienciar y formar a la plantilla, no compartir redes de información o tener muy claro qué información se incluye en la web corporativa, que puede ser utilizada por los ciberdelincuentes. Otros sistemas que son de gran ayuda para las compañías es estar dado de alta en los sistemas de alertas de seguridad en la banca online. Laura del Pino, una vez más, remarcó la importancia de todos los sistemas al alcance, como estos en los que el cliente puede ser advertido en caso de operaciones económicas de cierto volumen. Son una forma más de comprobar que estamos dando luz verde a transacciones legítimas y que no provienen de hackers maliciosos.

El trabajo del BBVA

En este punto, Laura del Pino hizo un alto en su discurso para destacar el trabajo que desarrolla en BBVA, entre otros aspectos en la concienciación de clientes y sociedad sobre los peligros de la ciberdelincuencia, algunas claves para defenderse de sus ataques y la necesidad de tener claro que invertir en seguridad es eso, una inversión y no un gasto. Hablamos de inversión no solo en sistemas informáticos sino en la formación del personal de la compañía.

Los datos refrendan la necesidad de afrontar el problema y protegerse. El 55% de los ciberataques a empresas proceden de bandas organizadas profesionales.

“A la hora de contratar un seguro no debemos quedarnos cortos” Anticiparse a cualquier posible ataque de los ciberdelincuentes pasa por adoptar medidas de protección de los sistemas, por la formación de las personas, pero también es muy recomendable contar con un ciberseguro. Este es uno de los mensajes que lanzó ayer Ruth Robles, BBVA Broker, en el seminario a través de internet. Explicó que se trata de dar servicio, de la primera respuesta que ofrece un amplio abanico de coberturas. Estamos hablando de gastos de informática forense, de análisis del alcance del coste de la recuperación de datos o asesoramiento legal en todo momento. Pero también se pueden incluir coberturas de gastos en daño a la imagen, se trata de minimizar la afectación reputacional, también de notificar a posibles afectados y de afrontar responsabilidades ante terceros por los daños que se hubieran podido causar en caso de robo de datos. En el abanico se incluyen los costes de reclamaciones judiciales e incluso de sanciones por parte de organismos reguladores o la pérdida de actividad por haber sufrido un ciberataque. Se calcula que de media una empresa puede ver paralizada su actividad cinco horas al ser víctima de los ciberdelincuentes, pero existen casos en los que hablamos de días o semanas, citó como ejemplo Ruth Robles en el webinar del Grup SEGRE y BBVA. Al responder a preguntas por parte de los participantes en el seminario, apostó porque las empresas “no se queden cortas a la hora de contratar uno de estos seguros” y que una buena decisión es inclinarse por coberturas en función de la facturación de la compañía. Explicó que el coste de los seguros de ciberriesgo presenta un amplio abanico en el caso del BBVA. Indicó que comercializan productos a medida de pequeñas y medianas empresas hasta compañías de gran envergadura. En el caso de las pymes, la prima mínima podría situarse, dijo, entre 300 y 400 euros. El coste varía en función de la actividad, la facturación o las medidas implementadas en materia de seguridad en los sistemas de la empresa. Advirtió que son claves este tipo de medidas.