Los hackeos a empresas para robar información privilegiada y confidencial se han vuelto un tema recurrente y han obligado a las organizaciones a asesorarse en materia de ciberseguridad. Gentzane Gurrutxaga, consultora legal senior en ALTIA, socio CAMACOES, nos entrega su visión al respecto y las principales medidas que se deben aplicar para prevenir o solucionar un ciberataque.
Según el Informe Global de Amenazas 2021 de la consultora Crowd Strike, los recientes ciberdelitos a grandes entidades privadas y públicas a nivel mundial se vieron marcados por la pandemia del Coronavirus. Por un lado, un alto número de ataques en el sector de salud, específicamente para obtener información sobre los planes de vacunación; y por otro, información financiera de empresas en medio de la carrera por la recuperación económica. El ítem pandemia, señala el informe, también sirvió como señuelo para que los usuarios pincharan contenidos maliciosos y fuesen víctimas de la sustracción de datos
Sin duda que la vulneración de datos, tanto a personas comunes como a empresas o entidades públicas, están al orden del día. Además, las técnicas que ocupan los ciberdelincuentes son cada vez más sofisticadas. Desde Bilbao (España), Gentzane Gurrutxaga, consultora legal senior en ALTIA, nos explica cuáles son las principales medidas de ciberseguridad que deben tomar las empresas para enfrentar este tipo de ataques.
—¿Cómo es el actual escenario de ciberataques que afecta a las empresas?
—Según un reciente informe de la Agencia Española de Protección de Datos, el mayor número de ciberincidentes acontecidos durante el mes de agosto del presente año han sido los dispositivos cifrados y los secuestros de información. Cada vez son más sofisticadas las técnicas que utilizan los ciberdelincuentes para hacer que las personas accedan a determinadas webs o descarguen determinados programas que entiende seguros y se encuentren con que han instalado un virus que ha infectado o secuestrado su ordenador o toda la red de su empresa.
—¿Qué medidas deben tomar las empresas, sobre todo las más grandes?
—Además de contar con un equipo especializado en seguridad informática dotado de recursos suficientes, la concienciación al personal es fundamental. Por muchas medidas técnicas que se tomen por parte de la empresa para evitar ciberincidentes, si el personal no tiene herramientas básicas que le permitan detectar, prevenir y evitar estos problemas de seguridad, los mismos estarán a la orden del día.
—¿Qué experiencia se puede obtener de las empresas españolas en materia de ciberseguridad?
—Que invertir en seguridad informática a la larga sale barato. Si algo ha dejado claro la crisis sanitaria del Covid19 la cual ha obligado a muchas empresas a trasladar su trabajo de forma total al entorno online, es que las empresas que habían invertido previamente en reforzar y mantener sus sistemas seguros, han tenido importantes ventajas competitivas que a día de hoy siguen manteniendo dado que sus servicios no se han visto apenas afectados por esta crisis mundial.
—Podría darnos el caso de alguna empresa que haya sufrido un ciberataque, en qué área, y qué mecanismos incorporó para solucionarlo y que no le vuelva a ocurrir.
—En los últimos años, han sido varias las empresas y organismos públicos que se han visto afectadas por ataques de ransomware, un software malicioso que secuestra datos mediante el cifrado de archivos y bloqueo de los ordenadores con el fin de obtener dinero u otra compensación a cambio de la liberación. En la mayor parte de los casos, las organizaciones afectadas comunicaron de forma inmediata que estaban sufriendo un ciberataque y su personal trabajó sobre sus sistemas para repeler el ataque. Así todo, gran parte de sus sistemas informáticos tuvieron que ser inutilizados y, las que contaban con ellos, pusieron en marcha procedimientos alternativos para la prestación de sus servicios establecidos en sus Planes de Continuidad de Negocio.
En la mayor parte de casos, los mecanismos incorporados fueron la actualización constante de los sistemas, el aumento de la vigilancia de los mismos, así como el refuerzo de las medidas técnicas de seguridad informática.
—Si el teléfono móvil puede ser un blanco fácil de ciberataques y puerta de entrada para acceder a otros datos, ¿qué medidas de seguridad recomienda?
—En primer lugar, no acceder a ningún enlace ni descargar ninguna aplicación que no provenga de fuentes fiables u oficiales. Por otro lado, mantener el sistema operativo actualizado, evitar conectarse a redes wifi públicas, utilizar contraseñas distintas para los diferentes servicios a los que accedamos, hacer un uso seguro del correo electrónico, etc. En general, tener conciencia de que el móvil es un blanco fácil para los atacantes y que puede permitir que estos tengan acceso a mucha información de tu vida privada e incluso en algunos casos a tus cuentas bancarias.
—¿Cuáles son las tendencias en materia ciberseguridad y protección de datos? ¿Qué es lo nuevo?
—Diariamente surgen nuevas amenazas cada vez más sofisticadas que ponen en peligro la seguridad informática y los datos personales que tratan las empresas y las organizaciones públicas. Hoy en día, debido en gran parte a los grandes problemas de seguridad que se han dado a raíz de la pandemia y de la mayor concienciación que la población en general tiene en relación a la información personal que comparte, se ven cada vez más noticias relacionadas con problemas de seguridad o que ponen el foco en la ingente cantidad de información personal que los grandes gigantes tecnológicos principalmente tienen sobre las personas usuarias. Precisamente es este creciente interés que la opinión pública tiene sobre la privacidad y la seguridad informática una de las principales novedades que se ha dado en este mundo. Mayor interés mediático significa también mayor interés de las empresas que ven más necesario invertir y reforzar la seguridad informática de sus sistemas y proteger los datos personales que tratan a diario.
—¿Qué quedó obsoleto?
—En el ámbito español y europeo, atrás quedó el cumplimiento de la normativa de protección de datos mediante largos documentos que únicamente servían para coger polvo. El cambio normativo que ha traído el Reglamento General de Protección de Datos y, especialmente, el severo régimen sancionador de esta norma europea que ha originado la imposición de sanciones que en España han llegado hasta los ocho millones de euros, ha supuesto un cambio de cultura dentro de las organizaciones que cada vez ven más necesario invertir en recursos destinados a proteger de forma debida los datos que tratan y la seguridad de sus sistemas.