Etiqueta: ciberseguridad

En las tripas del Incibe: entrevista a Jorge Chinea

El Incibe es una de las caras más visibles de la ciberseguridad en España, así que hemos querido conocerlo un poco más por dentro. Charlamos con Jorge Chinea, su responsable de ciberseguridad en servicios reactivos, para conocer la labor que hacen desde dentro y debatir hasta qué punto España es importante (o no) en la lucha por mantener la ciberseguridad a nivel mundial.

En líneas generales, ¿qué lugar ocupa España en el panorama internacional?

–En un entorno tan cambiante es difícil hacer un ranking de este tipo. Además, se añade la dificultad del uso de diferentes parámetros en función del estudio por parte de diferentes actores. Si tuviéramos que tomar algún documento como referencia, quizás el estudio Global Cybersecurity Index 2018, en el que España ocupa el puesto número 7 a nivel mundial en cuanto a su nivel de compromiso con la ciberseguridad.

–¿Cómo definiríamos el perfil de un cibercriminal? ¿Es un especialista en tecnología que acaba delinquiendo… o un delincuente de toda la vida que se acaba especializando en tecnología?

–Si eliminamos la palabra ‘ciber’ tenemos la definición. No es más que el delincuente que utiliza la tecnología para llevar a cabo su actividad. En función de sus conocimientos técnicos podrá hacerlo con mayor o menor acierto, será más fácil o difícil localizarle, pero al final es un delincuente. El problema es que su ámbito de actuación es cualquier dispositivo tecnológico conectado, en cualquier parte, desde cualquier lugar.

–¿Hasta qué punto las empresas españolas protegen su ciberseguridad? ¿Hay mucha diferencia entre grandes y pequeñas?

–Según el último estudio del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (Onstsi), las empresas españolas están bastante concienciadas de cuáles son los incidentes de seguridad y las consecuencias negativas que se pueden derivar de ellos. Además, las medianas y grandes aseguran haber implantado medidas de ciberseguridad en mayor proporción que las microempresas y pequeñas empresas.

«Algunas empresas implantan medidas por mero cumplimiento legal o porque necesitan una certificación de ciberseguridad para algún proyecto»

Bien es cierto que el ‘mayor impulsor’ para tomar medidas de ciberseguridad, principalmente en pequeñas y medianas empresas, surge cuando han sufrido un incidente de ciberseguridad o ha sido víctima algún cliente, colaborador o incluso la competencia. Pero también cabe señalar que suelen implantar medidas por mero cumplimiento legal o porque dentro de un proyecto en el que tienen que participar necesitan algún tipo de certificación o acreditación de ciberseguridad, como puede ser por ejemplo la ISO27001. Sin embargo, hay un pequeño grupo donde es importante poner el foco: las empresas que hacen de la ciberseguridad un valor diferencial.

–¿Cuáles son las mayores puertas de entrada del cibercrimen? Phishing, empleados, acceso a servidores…

–Independientemente del tamaño de la organización, las personas son las ‘llaves’ más importantes para cerrar estas puertas de entrada, ya que gestionan uno de los principales activos en cualquier organización: la información. Puede ser una factura, un proyecto de ingeniería, la contabilidad de una empresa, etc., pero al final es el principal activo a proteger con la implantación de diferentes medidas. Pero por muchas medidas que implantemos, por muchas grandes soluciones de ciberseguridad que tengamos, si no concienciamos y formamos a los usuarios para que sepan qué es el phishing, por qué es importante usar contraseñas seguras, cómo deben de proteger la información de manera adecuada… de nada servirán.

–¿Puedes contarnos algunos casos de ciberataques/intrusiones que haya tratado Incibe?

–Dentro de los blogs de las webs en las que nos dirigimos tanto a usuarios, a través de la Oficina de Seguridad del Internauta, como a empresas, a través de Protege tu empresa, publicamos historias reales. Son patrones comunes que vemos diariamente dentro de la gestión de incidentes con datos totalmente ficticios. Te expongo una historia sobre un tipo de amenaza que hemos visto y seguimos viendo mucho:

Sara, directora de la sede central de la empresa JubilActiva, estaba inmersa en la organización de un nuevo viaje centrado en visitar varias capitales del norte de Europa, cuando empezó a recibir varias llamadas que le resultaron alarmantes. Se trataba de los coordinadores de las delegaciones de JubilActiva que habían recibido un correo de Sara para que descargasen un documento y lo firmaran, tal como se muestra en la siguiente imagen:

En principio, nada hacía sospechar sobre el correo, ya que normalmente los empleados de JubilActiva se envían adjuntos a través del correo para agilizar el papeleo entre las distintas sedes. Quizá el texto era un poco escueto, pero en días ajetreados también es habitual enviar correos cortos y concisos. Al descargar el documento, este no se abría inmediatamente, sino que se visualizaba un mensaje como este:

Al hacer clic en «Habilitar contenido» (en la imagen, «Enable Content») no aparecía ningún documento relacionado con la empresa, por lo que la gente que lo recibía comenzó a llamar a Sara para pedir explicaciones sobre el misterioso documento. Ellos no eran conscientes, pero con esta acción le habían abierto la puerta al malware. Debido a la capacidad de réplica de Emotet, los primeros receptores de estos falsos documentos empezaron a recibir llamadas de sus contactos de correo electrónico. Estaban enviando también este correo a toda su lista de contactos. El equipo de Sara estaba infectado con el malware Emotet.

–Una de las tipologías de ciberataque más frecuentes son los realizados contra infraestructuras críticas. ¿Hasta qué punto es un peligro?

–Las infraestructuras críticas en realidad no son el target de ataque más frecuente, aunque tienen mayor impacto. Los operadores de infraestructuras críticas tienen por ley unas exigencias de ciberseguridad que hace que estén razonablemente protegidas, cuentan con áreas propias de ciberseguridad y son organizaciones concienciadas. Eso no exime a que cualquier incidente en un operador crítico tenga impacto, el riesgo cero no existe.

Dentro de los ciberincidentes más comunes con los que nos encontramos, tomando como referencia la taxonomía de la Guía nacional de notificación y gestión de ciberincidentes podríamos decir que prácticamente tratamos con los diferentes tipos de ciberincidentes que se describen, pero hay tres tipos que vemos con mucha frecuencia:

  1. Fraude: uso no autorizado de recursos empleando tecnologías y/o servicios por usuarios no autorizados, como la suplantación de identidad, la violación de derechos de propiedad intelectual u otros engaños.
  2. Malware: con acciones como extracción de datos u otro tipo de alteración de un sistema.
  3. Sistema vulnerable: fallos o deficiencias de un sistema que permitirían que un atacante acceda a la información o lleve a cabo operaciones no permitidas de manera remota.

El futuro del empleo en ciberseguridad: tres noticias buenas, dos malas y una terrible

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Estamos preparando una newsletter con ofertas de empleo en ciberseguridad. ¿Quieres recibirla? Suscríbete aquí.

Siempre que hablamos de empleo en ciberseguridad hay dos posturas (más o menos) fijas:

  • Las empresas aseguran que hacen falta muchos más profesionales.
  • Los profesionales aseguran que las empresas quieren más profesionales para bajar los sueldos y precarizar el sector.

¿Quién tiene razón en este debate? Pues quizá las dos partes. Con sus adecuados matices, cada opinión tiene su poso de verdad. Porque, como hemos visto en el capítulo 20 (¡el último!) de El Enemigo Anónimo y como veremos a continuación, el empleo e ciberseguridad en España está viviendo un boom sin precedentes, y eso tiene tres cosas buenas, pero también dos malas… y una terrible.

Las tres noticias buenas…

El sector de la ciberseguridad vive un momento excepcional en el ámbito laboral. Vayamos por partes.

1.- Aumento (brutal) de la demanda

Nunca, en ningún momento de la historia, se ha necesitado tantos profesionales de ciberseguridad como hasta ahora. Podemos tirarnos años sacando un millón de datos que así lo certifican, pero centrémonos en los más importantes. En 2018, Cybersecurity Ventures hizo una predicción de que en 2021 habría 3,5 millones de vacantes de empleo en ciberseguridad que se quedarían sin cubrir por falta de profesionales.

Otro informe, el Global Information Security Workforce Study 2019 elaborado por ISC, asegura que las vacantes en 2020 a nivel mundial ascienden a 3,12 millones de profesionales. En el caso de España, por cierto, ese gap sería de 29.293 especialistas en ciberseguridad.

Podríamos pensar que se trata de datos estimados sin demasiado rigor, pero la tendencia es evidente en todos los países. En España, sin ir más lejos, Infojobs publicó 160 ofertas de empleo de ciberseguridad en todo el año 2009. ¿Adivinas cuántas publicó en 2018, nueve años después? Un total de 2.577 ofertas de empleo.

Hay otro dato especialmente llamativo. Lo da el informe The Future of Jobs Report 2020, elaborado por el World Economic Forum, que analiza qué tecnologías van a crecer más entre las empresas de aquí a 2025. En el gráfico de abajo mostramos el porcentaje de crecimiento en los próximos cuatro años: como se ve, la ciberseguridad gana por goleada (y las demás tampoco es que sean precisamente ajenas al sector):

Y lo mejor de todo es que este crecimiento va a ser transversal. Como vemos, el sector en el que menos va a crecer (agricultura) subirá nada menos que un 47%, mientras en otros (servicios financieros, servicios públicos) el crecimiento será de un 95% en cuatro años. (Pincha en la imagen si quieres ampliarla)

AGRI = Agriculture, Food and Beverage; AUTO = Automotive; CON = Consumer; DIGICIT = Digital Communications and Information Technology; EDU = Education; ENG = Energy Utilities & Technologies; FS = Financial Services; GOV = Government and Public Sector; HE = Health and Healthcare; MANF = Manufacturing; MIM = Mining and Metals; OILG = Oil and Gas; PS = Professional Services; TRANS = Transportation.

2.- ¿Desempleo? Dónde está, que yo lo vea

Las cifras hablan por sí solas: de las personas que se titularon en Informática en 2014 en España, apenas el 2,3% está en paro.

De hecho, esta disciplina también está entre las titulaciones con más empleabilidad: nada menos que un 84,6 de los titulados en 2014 tienen empleo actualmente.

¿Va a ir a peor esta situación? Pues no tiene pinta, la verdad. Según las predicciones del World Economic Forum, en 2025 el 88% de las medianas y grandes empresas españolas tendrá algún servicio o producto de ciberseguridad.

Es más, el propio informe del WEF establece un ránking con los empleos en los que más crecerá la demanda de profesionales. Entre los 20 primeros encontramos más de cinco que están directa o indirectamente relacionados con la ciberseguridad.

Fuente: World Economic Forum.

3.- Cada vez más opciones formativas

Una forma de evaluar la creciente demanda de una profesión es comprobar las titulaciones asociadas que van surgiendo. Y en la ciberseguridad las cifras son apabullantes: en septiembre de 2020 ya había 80 másteres y 5 grados en ciberseguridad, así como 153 centros que imparten este tipo de formación a lo largo y ancho de todo el país, amén de otros centros que, en paralelo a las titulaciones oficiales, ofrecen formación en este ámbito, como es el caso del Bootcamp Online de Ciberseguridad de Geekshubs.

Y la cosa no se va a quedar aquí. El pasado mes de abril, el Gobierno aprobó la creación de dos opciones formativas en ciberseguridad dentro de Formación Profesional: se trata del Curso de Especialización en Ciberseguridad en Entorno de Tecnologías de la Información y el Curso de Especialización en Ciberseguridad en Entornos de las Tecnologías de Operación.

… las dos malas…

4.- La mano de obra barata de Europa

En nuestro capítulo de esta semana, Juan Antonio Calles dice que «España se ha convertido en la mano de obra barata de Europa» en el sector de la ciberseguridad. ¿Tiene razón? Pues quizá sí. Pero, ¿cómo podemos saberlo a ciencia cierta? Un posible modo es evaluar las ofertas de empleo del sector. ¿Es este un método infalible? No, ya que:

  1. Hay puestos de distinta tipología y distinto nivel, con lo que los sueldos también serán distintos.
  2. Por lo general, las ofertas de empleo que se hacen públicas suelen ser de un perfil bajo o medio; las vacantes de nivel alto suelen cubrirse sin sacar una oferta de manera pública.
  3. Si comparamos a nivel internacional hay que tener también en cuenta el nivel de vida, los costes y el entorno de cada país.

En cualquier caso, puede ser un baremo interesante para hacer una comparación. Hemos recurrido a Linkedin Salary para calcular los sueldos medios en ciberseguridad en España y compararlos con el resto de nuestro entorno. Como podemos ver abajo, España no sale precisamente bien parada si miramos nuestros sueldos y los de los países con los que se supone que debemos competir:

Infoempleo hace una aproximación más escalonada en función del tipo de empleo. Su clasificación no recoge la tipología completa de los roles que se puede ocupar en el sector, pero sí ofrece algo más de detalle:

5.- El mercado está a punto de romperse

Hablábamos antes de que España aprobó en 2020 el lanzamiento de dos cursos de especialización en ciberseguridad dentro de la Formación Profesional (FP). Eso solo puede ser una buena noticia desde el punto de vista formativo y de acceso al entorno laboral, pero inevitablemente supondrá una brecha. «Esto va a romper el mercado, pronto quizá no hagan falta tantos profesionales«, asegura Yoya Silva.

La llegada de estas nuevas opciones formativas, a las que se les supone un escalón salarial mucho más bajo que hará bajar la media, no solo se debe a la ausencia de profesionales, sino también a sus perfiles. Según CICE, la formación altamente especializada ya no es un prerrequisito para trabajar en el sector; de hecho, el 19% de los profesionales actuales proceden de sectores laborales distintos.

Fuente: CICE.

… y la terrible

6.- España no sabe retener su talento

Daniel González lo tiene claro: «No tenemos un problema de recursos o de talento, tenemos un problema para mantener ese talento. La gente potente de este país, si tiene la capacidad de hablar en inglés, va a terminar trabajando para compañías americanas, inglesas… que están viniendo a pescar nuestro talento». Los datos de la OCDE recopilados por el WEF evidencian que, efectivamente, España suspende en la retención de su talento:

Coincide en ello Juan Francisco Cornago: «España es un gran país exportador de talento, porque nadie es profeta en su tierra, pero las empresas y los países invierten y generan una tracción que es muy golosa para tener un mejor sueldo, una mejor proyección, una mejor calidad de vida, una mejor conciliación, un mejor reconocimiento…». Él, en definitiva, también lo tiene claro: «Esa tracción es la que tenemos que cambiar en España, porque otros países nos llevan la delantera«.

Estamos preparando una newsletter con ofertas de empleo en ciberseguridad. ¿Quieres recibirla? Suscríbete aquí.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Crónica de una pulsera fallida: por qué la tecnología contra la violencia machista le hace más daño a la víctima

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

[Si quieres leer este artículo y que no quede constancia de ello, aquí puedes informarte de cómo borrar esta url de tu historial de navegación]
[Si estás sufriendo violencia machista, puedes llamar al 016 (no deja huella en tu factura) o entrar en violenciagenero.igualdad.gob.es]

«La tecnología ha ayudado a que la violencia machista se perpetúe en determinadas cuestiones. No a que aumente, pero sí a que se perpetúe». Esta es una de las frases que la criminóloga Patricia Martín nos dice en el capítulo 15 de El Enemigo Anónimo.

La frase quizá te pueda parecer exagerada, pero, como vamos a ir viendo a lo largo de este reportaje, dice la verdad. En ciertas ocasiones, la tecnología diseñada para proteger a víctimas de violencia machista no solo no es todo lo efectiva que debería, sino que incluso puede tener precisamente el efecto contrario y provocarle a la víctima más problemas que soluciones.

Pulsera antimaltrato: fallida, manipulada y sin nadie que la desarrolle

A finales de 2018, un total de 1.037 hombres condenados por un delito de violencia de género llevaban encima una pulsera electrónica que geolocaliza su posición y, gracias a ello, los mantiene alejados de sus víctimas y activa una alarma en caso de que se produzca un acercamiento. Además, la víctima lleva también consigo un dispositivo GPS que cuenta con un ‘botón del pánico’ que puede pulsar en caso de que detecte un peligro. En total hay tres elementos en esta ecuación: la pulsera del agresor, el GPS de la víctima y la vigilancia que lleva a cabo el Centro de Control de Medidas Telemáticas de Alejamiento (Cometa).

Actualmente, esta es la tecnología más puntera y avanzada con la que cuenta el Gobierno español para combatir el maltrato y posmaltrato, pero hay un problema. En realidad, de hecho, hay varios. Concretamente tres:

1.- La pulsera falla demasiado

«La tecnología de la pulsera está obsoleta y falla mucho», nos contaba en 2018 en El Confidencial una trabajadora de Cometa, que se quejaba de que, en estas circunstancias, la señal de dicha pulsera «se pierde y falla muchísimo. La mayoría de las veces pueden ser errores puntuales o que se solucionen rápido, si se ha acabado la batería o si el agresor está en un sitio con poca señal, pero de todos modos tenemos que actuar enseguida».

Si la pulsera falla, la Policía debe llamar a la víctima para informarle del error, lo que aumenta su sensación de miedo

Y el problema no es solo que la pulsera falle, sino que, cuando falla, la Policía Nacional debe llamar a la víctima para comunicarle que ese momento no pueden localizar a su agresor. Las consecuencias para la víctima son evidentes: este aviso genera una sensación de miedo e intranquilidad incluso aunque sea una falsa alarma y su agresor no esté haciendo absolutamente nada ilegal.

2.- Los maltratadores la manipulan

Pero hay ocasiones en que si la pulsera falla no es por casualidad, precisamente. María E. contaba en 2017 en El Español que su maltratador le hacía ‘luz de gas’ manipulando adrede la pulsera y haciendo que fallara constantemente. De este modo conseguía que la Policía llamase a su expareja y que esta sintiese miedo. En definitiva, una forma de maltrato no físico, pero sí psicológico.

«Basta con modificarla ligeramente para que la alarma avise a la víctima de que no pueden localizar al maltratador»

Txarlie Axebra

¿Es tan difícil hacer que la pulsera falle a propósito? «Basta con modificarla ligeramente para que genere la alarma que avisa a la víctima de que no pueden localizar a ese maltratador, lo cual les permite hacer un posmaltrato y seguir estando presente en su vida a pesar de la resolución judicial», nos cuenta Txarlie Axebra.

3.- El presupuesto es escaso y nadie quiere asumirlo

El 7 de octubre de 2017 se produjo una situación tan incomprensible como indignante. El Gobierno convocó el concurso público para que diversas empresas compitiesen por el contrato para gestionar el desarrollo de las pulseras y el centro de control. Hasta entonces dicho contrato había sido adjudicado a Telefónica y Securitas Direct, pero ninguna de las dos se presentaron. De hecho, no hubo ni una sola empresa en toda España que quisiera competir por un servicio tan delicado como el de las pulseras antimaltrato. El concurso público se había quedado desierto.

Ante las condiciones económicas, ninguna empresa quiso competir por el contrato público de las pulseras

¿El motivo? Ninguna empresa consideró suficiente el presupuesto, que se elevaba hasta los 12,4 millones de euros en tres años. Esta cifra suponía un aumento del 30% respecto al anterior contrato, pero con un importante añadido: la empresa adjudicataria debería renovar las más de 1.000 pulseras y mejorar su tecnología. Ante las críticas, el Gobierno mejoró las condiciones del contrato y finalmente se lo adjudicó a Telefónica (la única empresa que se acabó presentando).

La tecnología que espía y controla a las víctimas

Más allá de la pulsera antimaltratadores, lo cierto es que la tecnología nos ofrece posibilidades tan buenas como malas. Y en el caso del control a una persona en general o a la pareja en particular, por desgracia hay opciones de sobra.

Algunas veces hemos contado situaciones como que una persona contacte con su compañía de teléfono para saber si su novia ha llamado al 016, pero no hay que irse tan lejos para ver casos similares de control: «Hay tecnología que permite monitorizar teléfonos, acceder a sus datos de llamadas o SMS, etc.», nos cuenta Txarlie Axebra.

«Si la víctima borra la app de seguimiento, al agresor le llegará un aviso, con lo que puede acabar en una situación de violencia física»

Daniel Creus, Kaspersky

Además, «a veces este código malicioso puede implicar violencia física», añade Daniel Creus, de Kaspersky, que nos pone un caso concreto: «Imagínate que una persona detecta que tiene un stalkerware en su dispositivo y decide desinstalarlo. A su maltratador le puede llegar una notificación de que ese programa ha sido desinstalado, y eso puede provocar algún episodio de violencia física o que, de alguna manera, transcienda el mundo digital».

El uso de este tipo de aplicaciones es claramente ilegal y puede llevar consigo penas de hasta cuatro años de prisión, pero eso no impide, por raro que parezca, que sea fácil encontrarlas e instalarlas en el móvil de la persona a la que se quiere espiar.

La tecnología que ayuda (de verdad) a las víctimas de maltrato

Vista la tecnología que ayuda a los maltratadores, ¿hay herramientas que puedan servir de ayuda a sus víctimas? Lo cierto es que sí.

Una de estas opciones la encontramos muy cerca, en la Universidad Carlos III de Madrid. Se trata de Bindi, un wearable en forma de pulsera o colgante (para que el agresor no lo detecte) que ayuda a evitar casos de agresiones físicas a mujeres víctimas de todo tipo de violencia. ¿Como lo hace? El dispositivo se conecta por bluetooth al móvil, donde la usuaria ha configurado una lista de contactos que, en caso de producirse una emergencia, recibirán un mensaje de alerta.

Bindi, oculto en una pulsera o colgante, incluye un botón del pánico que, al ser pulsado, emite un aviso de alerta para los contactos de la víctima y los servicios de emergencia

De este modo, si la usuaria se encuentra en una situación de peligro, bastará con que presione el botón de Bindi para que su móvil avise a sus contactos, proporcionándoles, además, la geolocalización de la víctima para que puedan pedir ayuda o acudir a socorrerla. Además, Bindi cifra todos los datos registrados para que puedan ser usados como prueba en un posible juicio.

Pero esta iniciativa va incluso más allá. El equipo que desarrolla Bindi, enmarcado dentro del proyecto UC3M4Safety, también pretende guardar las variables fisiológicas de las víctimas de violencia machista para que el dispositivo pueda activar una alerta de manera autónoma –sin tener que pulsar el ‘botón del pánico’– si detecta un comportamiento anómalo por parte de la víctima.

Bindi no es la única iniciativa de este tipo. También conviene resaltar proyectos como Stop Stalkerware, del que forman parte grandes empresas y que también lucha por evitar todo tipo de abusos, acosos o agresiones.

Por ejemplo, «si detectamos que la usuaria tiene instalado un software espía», nos cuenta Daniel Creus, «le damos los consejos oportunos. Y no siempre serán necesariamente que borre esa aplicación, ya que su acosador puede enterarse. Le daremos la información necesaria para que pueda llevar ese móvil a ser investigado, para que lo use como prueba judicial, etc. Buscamos que la víctima sea consciente de todo lo que puede pasar y qué medidas puede tomar al respecto».

Se trata, en definitiva, de intentar llevar la balanza hacia el lado de la víctima. Porque si hay tecnologías que pueden ayudar a los agresores y otras como las pulseras antimaltratadores pueden ser manipuladas, la misión de todos es intentar que la tecnología, en estos casos, sea una aliada de las víctimas en su lucha por deja de serlo.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Españoles, la privacidad en internet ha muerto: ¿por qué les regalamos nuestros datos a las empresas tecnológicas?

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

«Yo asumí hace tiempo que la privacidad ha desaparecido, es muy difícil mantener una privacidad en internet en el sentido amplio, aunque intentes usar herramientas de todo tipo». Así de tajante lo dice Alfonso Muñoz en el capítulo 10 de El Enemigo Anónimo. No rebaja mucho menos la tensión Jorge Louzao: «La privacidad se está reduciendo al mínimo, es prácticamente un milagro pensar que algún día podamos recuperarla».

No parecen afirmaciones demasiado exageradas. Hace dos años, El Confidencial hizo un experimento: demostrar a sus lectores qué podrían descubrir sobre ellos teniendo uno solo de sus datos. Solo uno: el nombre, el DNI, su perfil de Linkedin o incluso su email o su teléfono. Los resultados hablaban por sí solos: cualquiera puede descubrir sobre ti mucho más de lo que crees.

Pero, ¿es cierto que la privacidad en internet ha muerto? ¿Nos preocupamos por ella? Y si lo hacemos, ¿por qué tantas empresas tecnológicas acaban teniendo acceso a nuestros datos?

Nos preocupa nuestra privacidad…

A los ciudadanos nos preocupa nuestra privacidad. O, al menos, decimos que nos preocupa nuestra privacidad. Así lo asegura el informe Internet Security & Trust 2019, elaborado por el CIGI, que revela que los ciudadanos de todas las partes del mundo están cada vez más preocupados por el uso que hacen las empresas de sus datos personales:

De hecho, si comparamos estas cifras con las de hace un año, veremos que hay zonas geográficas en las que la preocupación está creciendo muy significativamente:

… pero no hacemos casi nada para protegerla

A una preocupación de ese tamaño debería acompañarle una reacción acorde, ¿no? Pues no del todo, la verdad: el Cyber Safety Insights Report de NortonLifeLock pone negro sobre blanco las medidas que están tomando los usuarios para preservar su privacidad online. Entre ellas, gestionar las cookies, tener cuidado con lo que publican en redes sociales, no usar Wifis públicas o recurrir a seudónimos en las aplicaciones y servicios web que utilizan a diario.

Aquí es donde se ve que la teoría está muy bien, pero la práctica es otra cosa. Si tanto decimos que cada vez nos preocupa más nuestra privacidad, ¿de verdad hacemos algo para protegerla? No lo parece. Otro ejemplo: según el estudio The Blinding Effect of Security Hubris on Data Privacy, elaborado por Malware Bytes, solo el 47% de los usuarios sabe qué apps tienen acceso a su móvil, y apenas un 32% se lee los famosos términos y condiciones:

Esta minúscula preocupación por los permisos que concedemos a ciertas empresas tecnológicas también aparecen en otros estudios como el IT Risk/Reward Barometer 2013 de ISACA, que da cuenta de que el 30,6% rara vez se lee los permisos y el 29,4% no lo hace absolutamente nunca.

El mayor espía del mundo es tu móvil

Hay un dispositivo que se ha convertido, de lejos, en el mayor peligro para nuestra privacidad: el móvil. En una época en que los ciudadanos estábamos cada vez más concienciados del riesgo que corren nuestros datos al navegar desde el ordenador, está claro que con el móvil hemos bajado la guardia.

A Juan Tapiador, profesor de la Universidad Carlos III de Madrid (UC3M), no le cabe la menor duda: «El móvil es el mayor instrumento de espionaje que probablemente hayamos desarrollado nunca. Hablamos de un dispositivo que llevamos 24h al día encima. El móvil es lo último que la mayor parte de la población mira antes de acostarse y lo primero que mira cuando se levanta por la mañana. Lo llevas pegado a ti. Es capaz de tomar fotos, de registrar audio, es capaz de saber cómo te relacionas, con quién, quiénes son tus amigos, lo utilizas para trabajar, ahora también sabe tu pulso sanguíneo, si estás nervioso, si te comunicas con mucha o poca frecuencia, a dónde viajas… Sabe más de nosotros que nosotros mismos».

«El móvil es el mayor instrumento de espionaje que probablemente hayamos desarrollado nunca»

Juan Tapiador, UC3M

En este uso del móvil, por desgracia, se cuelan infinidad de ilegalidades. Solo un dato: en 2018, Symantec bloqueó un promedio de 10.573 aplicaciones móviles maliciosas por día. Además, según un informe de RSA, el 60% de las ciberestafas se producen en el entorno móvil. Y las apps de productividad, juegos y entretenimiento son las más peligrosas:

Hemos hablado de los usos ilegales que hacen algunas apps para vulnerar nuestra privacidad, pero hay algo peor: los usos legales. Jorge Louzao nos recuerda que «la gente no es consciente de que se baja aplicaciones a las que les da permiso de cámara, permisos de grabación de audio, permisos de geolocalización…». Y lo peor de todo no es que demos según qué permisos, sino que esos permisos no sean en absoluto necesarios para lo que hace la app en cuestión: «¿Qué tiene que ver un programa de edición de fotos con mi lista de amigos? ¿Por qué la aplicación de cita médica me pide acceso a mi micrófono?», se pregunta Svetlana Miroshnichenko.

Grabar los aplausos de tus vecinos o a los DJ’s de balcón es una pésima idea: cualquier podría localizar tu casa fácilmente

Pongamos un ejemplo concreto: ¿te acuerdas cuando en el confinamiento veías a gente en redes sociales grabando los aplausos de sus vecinos o las sesiones de los DJ’s de balcón? Pues Clara García Palacios nos recuerda que esa fue una pésima idea: «A día de hoy es muy fácil subir una foto y que te digan exactamente dónde estás; estamos publicando una cantidad masiva de datos continuamente en redes sociales».

Podríamos poner muchos más ejemplos de aplicaciones a las que das voluntariamente permisos para que cojan tus datos… pero que no lo harías si realmente supieras lo que van a hacer con ellos. El mejor ejemplo es el de FaceApp, la aplicación que en 2019 calculaba cómo serías de mayor y en 2020 cómo serías si tuvieras el sexo contrario.

En 2019 ya se informó de que FaceApp podría ser una estupendísima herramienta que aprovecharía su hype para entrenar algoritmos de reconocimiento facial, entre otras muchísimas cosas, pero nada de eso impidió que en 2020 la gente volviese a bajársela. Y lo peor de todo es que mucha de la gente que se la bajó la segunda vez ya sabía a lo que se estaba exponiendo, pero ¿qué importa tu privacidad cuando puedes jugar con una aplicación?

¿Tenemos la culpa los usuarios? En realidad no

El caso de antes es especialmente paradigmático: si sabemos que un app o red social trafica con nuestros datos, ¿por qué seguimos usándola?

Culpar al usuario es la opción fácil, pero no por ello es la más acertada. Siempre se señala que los usuarios no nos leemos los términos y condiciones de las apps y redes sociales que usamos, pero seamos sinceros, ¿hay alguien que lo haga? ¿Hay alguien capaz? En Visual Capitalist han calculado el número de palabras que tienen los términos y condiciones de Facebook, Instagram, Spotify, Twitter, Apple, Amazon… y el tiempo que se tarda en leerlos. Si eres valiente, pincha en el pie de foto de la imagen de abajo para verla entera.

Pincha aquí para ver la imagen entera.

Volvamos a una pregunta que antes dejamos colgando: si sabemos que una red social nos pide más datos de los que serían aceptables, ¿por qué la seguimos usando? «Yo no me puedo salir de Facebook si toda mi familia está en Facebook o si tengo una abuela que solo está en Facebook», nos cuenta Marilín Gonzalo. «Los usuarios somos conscientes de lo que pasa con nuestros datos, pero el problema es tan gordo, está tan poco en nuestras manos salirnos del sistema…».

Yoya Silva también defiende a los usuarios, ya que, para ella, «la gente no está concienciada… y no debería estarlo. Cuando alguien se va a comprar una lavadora no mira que cumpla todos los requisitos de seguridad. Debería ser algo normativo: no puedes vender aplicaciones, no puedes vender terminales, no puedes vender dispositivos si no cumplen unas determinadas condiciones de seguridad».

«Si no te importa la privacidad porque no tienes nada que ocultar… es como si no te interesa la libertad de expresión porque no tienes nada que decir»

Román Ramírez también invierte la carga de la culpa: «Cuando vas a la cocina, coges un vaso, abres el grifo y bebes agua, ¿alguien te ha dicho que pongas un antivirus que detecte bacterias en el caño del grifo y que te asegures de conocer bien cómo funciona la infraestructura distribución de agua? ¿Y que llames al tío de aguas de Madrid para decirle ‘Oye, dame tu cuenta de correo por si te tengo que reportar una amenaza’? ¿A que no? ¿Y por qué tiene que ser diferente en la informática?».

Echarle la culpa al usuario, por tanto, tiene su parte de razón, pero no parece precisamente justo. Eso sí, los usuarios tampoco debemos permanecer al margen de nuestros derechos. Ya lo dijo Snowden: «Si dices que no te importa la privacidad porque no tienes nada que ocultar… es lo mismo que decir que no te interesa la libertad de expresión porque no tienes nada que decir«.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

La ciberguerra, en cifras: ciberataques, países más atacados y hacking psicológico

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Mara Turing

El debate sobre la existencia (o no) de una ciberguerra es una constante en los últimos años, pero, a tenor de los datos, la ciberguerra es real. Como poco, vivimos en una ciberguerra fría, y ese es el tema que nos hemos propuesto analizar en el capítulo 7 de El Enemigo Anónimo, en el que abordamos cómo de cerca estamos de una Tercera Guerra Mundial, quiénes son los países más atacados, quiénes los más atacantes y cómo se producen estos ataques. Y nos ha quedado una cosa clara: la ciberguerra está cambiando las relaciones de poder. Cualquier país, independientemente del dinero que tenga, puede hacer daño a otro. Mucho daño.

Y es que, aunque «el concepto de guerra que tenemos es un concepto físico», nos cuenta Ofelia Tejerina, «ha ido transformándose poco a poco con el tiempo, después de la Segunda Guerra Mundial, pero ahora la guerra está en la red». De hecho, incide Andrea G. Rodríguez, «desde que el mundo digital entró a formar parte de las agencias de inteligencia y de los ejércitos, podemos hablar de ciberguerra», ya que «se utilizan armas cibernéticas o software maligno para conseguir unos objetivos finales que están dentro de unas estrategias de los países».

Así crecen la ciberguerra y los países más atacados

Al hablar de la evolución de la ciberguerra podemos acudir a varios datos. Varios de los más interesantes los ha recopilado Privacy Affairs, que da buena cuenta de cómo los ciberataques geopolíticos han ido creciendo en la última década. Como muestra un botón: entre 2009 y 2019 han crecido nada menos que un 440%.

Al hablar de las víctimas –al menos de las oficiales y reconocidas– tenemos un claro ‘ganador’: Estados Unidos, que se sitúa muy por delante de los países que le suceden en el ránking: Alemania, Corea del Sur, Reino Unido e India.

Merece la pena detenerse en Estados Unidos. ¿Quién está tan interesado en ciberatacar geopolíticamente al país? Proceden de los habituales países sospechosos: Rusia y China están muy por delante del resto.

La gran ventaja de la ciberguerra: no responder ante tus ciudadanos

En este capítulo de El Enemigo Anónimo cabe detenerse en una de las reflexiones de Txarlie Axebra sobre una de las mayores motivaciones que tiene la ciberguerra: «Los estados son mucho menos auditables por la ciudadanía. Mientras una decisión de invadir un país es algo que tiene que pasar por un Congreso, hacer un ataque como Stuxnet, que paraliza la actividad del programa nuclear de Irán de una forma en la que nunca se hace público quiénes son los estados que han participado, permite que esos gobiernos no tengan que hacer una rendición de cuentas ante sus ciudadanos sobre qué tipo operaciones hacen».

«La decisión de invadir un país es algo que tiene que pasar por un Congreso, pero hacer un ataque como Stuxnet, donde no se sabe quién está detrás, permite que los gobiernos no tengan que rendir cuentas a sus ciudadanos»

Txarlie Axebra

En su opinión, esto «es un problema; como ciudadanía debería preocuparnos que los estados opten por mecanismos que no permitan rendición de cuentas sobre sus acciones». Y es que, como recuerda Jorge Louzao, la ciberguerra «es algo que no vemos, no es como una guerra tradicional donde ves tanques, helicópteros y gente muriendo por las calles, pero tienes a un montón de países atacando a otros».

La ciberguerra lowcost: del SMS al hacking psicológico

A menudo se suele decir que la Tercera Guerra Mundial será online, una frase que alguno tachan de catastrofista. Sin embargo, hay un factor que juega en favor de esta teoría: ya no hace falta tener presupuestos multimillonarios para participar en una guerra, algo que podría verse tanto desde el punto de vista negativo como desde el positivo:

  • El negativo: cualquier país, por pequeño que sea, te puede atacar.
  • El positivo: si los países grandes siempre han aprovechado su poder para atacar a los pequeños, ¿no es justo poder equilibrar un poco la balanza?

Sea como fuere, lo cierto es que la ciberguerra lowcost se ha convertido en la mejor arma para los países con menos recursos. En 2014, Juan Antonio Calles (Zerolynx) y Pablo González (EleventPaths) acercaron este concepto aludiendo a ciberataques de denegación de servicio en países como Georgia y Azerbaiyán. Puedes ver la charla aquí debajo:

Además, ambos compartían algunas ideas sobre cómo los estados con poco dinero podían usar los recursos cibernéticos de sus propios ciudadanos para atacar a otros países. «Si conseguimos que toda nuestra ciudadanía nos apoye cediendo su capacidad de cómputo de sus ordenadores, móviles y sus conexiones de internet, tendremos la mayor ciberarma que pueda tener un país», nos cuenta Calles. Esto «posibilita que casi cualquier estado tenga capacidad de ataque: simplemente debe tener hackers con conocimientos adecuados y que pongan sus conocimientos para ayudar a su país».

«Si toda nuestra ciudadanía nos da la capacidad de cómputo de sus ordenadores y móviles, tendremos la mayor ciberarma que puede tener un país»

Juan Antonio Calles, Zerolynx

Pero no es la única forma de atacar a un enemigo con un escasísimo presupuesto. En nuestra charla con Borja Pérez (Stormshield) pudimos conocer otros ejemplos de ciberguerra lowcost que Ángel Gómez de Ágreda relata en su libro Mundo Orwell: Manual de supervivencia para un mundo hiperconectado.

Técnicas de hacking psicológico con un simple SMS:

  1. El SMS desmotivador. «Mandar SMS a los teléfonos que están en la zona, muchos de ellos de combatientes, con mensajes como ‘Soldado ucraniano: Oriente te considera un traidor, Occidente no se va a acordar de ti'».
  2. El SMS fraudulento. «Enviar un SMS a los combatientes diciéndole que se les ha hecho un cargo en su cuenta de una cantidad grande de dinero».
  3. El SMS desestabilizador. «Mandar mensajes a los familiares de los combatientes diciendo que su familiar ha caído en combate… y justo después iniciar un bombardeo».

Borja Pérez lo tiene claro: «En una situación de estrés, por el propio combate, te están haciendo pensar otro tipo de cosas que te incomodan y no puedes resolver. Esto es el hacking psicológico«. Y todo por una ínfima cantidad de dinero.

«NO SE LE PUEDE LLAMAR ‘CIBERGUERRA’ A ESTO Y ‘OPERACIÓN ANTITERRORISTA’ A LO QUE PASÓ EN DOMBÁS»
Daniel J. Ollero se muestra receloso en cuanto al término ‘ciberguerra’: «Llamamos guerras a cosas que no son guerras; y a cosas que son guerras como lo que está sucediendo en Afganistán, donde mueren 40.000 personas al año, ¿no se le llama guerra? O lo que sucedió hace unos años en Dombás, en el este de Ucrania: desplazamiento de tropas, bombardeos, muertos, heridos, desplazados, gente traumatizada, estrés postraumático… A eso no se le llama guerra, se le llama ‘operación antiterrorista’«.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture, Mara Turing

El email maldito: por qué los empleados somos los mayores aliados del cibercrimen

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Un email puede acabar con todo. Da igual que nuestra empresa se preocupe por la ciberseguridad, da igual que nos haya dado consejos para evitar intrusiones, da igual que se haya gastado un dineral en la tecnología más avanzada… Al final nos llega un email, lo miramos muy por encima, no nos fijamos en los detalles, pinchamos donde no debemos o nos descargamos un fichero adjunto… y ya se ha liado.

La realidad, aunque duela, es evidente: la mayoría de las veces, los empleados somos los mayores aliados del cibercrimen, tal y como hemos comprobado en el capítulo 5 de El Enemigo Anónimo. Casi siempre lo somos de manera involuntaria y otras pocas de manera voluntaria, pero lo cierto es que la mayoría de ciberataques y brechas de seguridad se producen tras un error humano.

Los datos avalan esta realidad. Debajo de estas líneas puedes ver las cifras de tres estudios que lo corroboran: uno es el informe An integrated approach to insider threat protection, de IBM; otro el International Trends in Cybersecurity, de Azure; y el tercero el The Global State of Information Security Survey 2018, de PwC. Ambos sitúan al empleado como la mayor fuente de incidentes de ciberseguridad (PwC mete en la misma categoría a empleados y exempleados).

Sea como fuere, lo cierto es que la forma en que dichos empleados se desenvuelven frente a los posibles ataques preocupa (y mucho) a las empresas. De hecho, según EY, los trabajadores son la mayor vulnerabilidad que puede tener una compañía.

¿Y por qué los empleados iban a ser tan preocupantes? Porque, según el informe de IBM, de los empleados que provocan un ciberataque, el 74,2% lo hace de manera deliberada, siendo totalmente conscientes de ello.

A su vez, IBM establece hasta cuatro tipos de empleados que, voluntaria o involuntariamente, pueden acabar provocando ciberataques (en los nombres otorgados en esta clasificación nos hemos permitido alguna licencia creativa a la hora de traducir):

LOS CUATRO TIPOS DE INSIDERS
1.- El involuntario. No es consciente de lo que está haciendo. Alguien le ha engañado para que se descargue malware o entregue información confidencial. No tiene maldad y es una pura víctima.
2.- El listillo. No tiene intención de perjudicar a la compañía, pero las normas no van con él. Elude los consejos de ciberseguridad porque a él no le van a engañar. Es ese compañero que te dice que no seas pardillo con ese correo de Netflix pero luego chatea en Facebook con una aparente modelo rusa que le pide que encienda la webcam. (Sí, es un poco cuñado.)
3.- El traidor. Sabe de sobra lo que está haciendo y trabaja para el atacante, que puede ser un competidor o cualquier otro agente externo. Ha decidido vender la seguridad informática de su empresa.
4.- El lobo solitario. No ha sido coaccionado ni sobornado por nadie: simplemente ha decidido sacar información. Tiene un cargo privilegiado y está motivado o por pura maldad o por estar en contra de la actividad de su empresa (el mejor ejemplo es Edward Snowden).

¿Qué hacemos mal? De la contraseña regulera a charlar con el enemigo

¿Qué hacemos mal los empleados para dar el pistoletazo de salida (aunque sea de manera involuntaria) de un ciberataque? En realidad nada que no haga casi cualquier usuario normal en su día a día, pero cuando lo hacemos con el correo de la empresa estaremos generando la fórmula para que todo salte por los aires.

«Reutilizamos contraseñas continuamente», nos cuenta Clara García Palacios, de 4IQ, «y seguramente mucha gente esté utilizando su contraseña de cualquier red social en el correo corporativo». Incide en ello Luis Álvarez Satorre, CEO de SIA, una compañía de Indra, quien recuerda que «a todos nos ha pasado que pones una contraseña muy fácil de replicar. Todavía hay gente que deja un ‘psot it’ pegado a su ordenador con el usuario y la password, y te dice ‘Es que si no, me olvido'». Eso es lo que hay que evitar.

Clara García Palacios (4IQ).

Tenemos varios ejemplos de ello. En 2018, una auditoría externa del Gobierno de Australia Occidental reveló que el 26% de los cargos públicos tenía contraseñas débiles o de uso muy común. Entre las más frecuentes, ‘Pasword1234’ (utilizada por 1.464 personas), ‘password1’ o simplemente ‘password’.

No es el único ejemplo. Un informe de Positive Technologies reveló también algunos datos que demuestran que existe un claro problema de formación en ciberseguridad en los empleados, ya que:

  • 1 de cada 3 empleados se arriesga a ejecutar malware en un ordenador de trabajo
  • 1 de cada 7 habla con un impostor y revela información confidencial
  • 1 de cada 10 metió sus credenciales en un formulario de autenticación falso

La joya del crimen: el Fraude del CEO

El phishing es quizá el intento de estafa cibernética más viejo de la historia: ¿quién no se acuerda del príncipe nigeriano heredero de una fortuna o de la millonaria que busca novio con el que disfrutar de su dinero? Sin embargo, aunque este tipo de estafas sigue vigente, hay una especialmente peligrosa en los últimos años: el Fraude del CEO.

Infografía: Europol.

«Hemos tenido muchísimos casos de denuncias y no hemos podido recuperar el dinero, sobre todo en estafas del CEO», nos cuenta Juan Antonio Calles, CEO de Zerolynx, ya que «montan cuentas en paraísos fiscales o en sitios que no colaboran con la justicia». Y lo peor es que la tendencia no hace más que crecer: «Raro es el mes que no nos llaman por 10 ó 12 estafas del CEO», reconoce.

«Montan cuentas en paraísos fiscales. Raro es el mes que no nos llaman por 10 ó 12 estafas del CEO»

Juan Antonio Calles, Zerolynx

Estas estafas son de las que más dinero cuestan a las grandes y no tan grandes empresas. En el gráfico de abajo puedes ver algunos ejemplos, recopilados por knowbe4, de estafas del CEO, el dinero perdido y el recuperado.

Tampoco se queda muy atrás el spoofing, sobre todo por lo sencillo y asumible que es. Según Bromium, por apenas 20 dólares puedes contratar un mes entero de campañas de spoofing por SMS. La facilidad para llegar a este tipo de cibercrimen es tal que, según un estudio de Caida, existen casi 30.000 ciberataques de spoofing al día.

¿Cómo se puede evitar todos estos tipos de casos? Siempre se habla de la concienciación, pero parece un mantra en el que pocos concretan medidas exactas y que, por desgracia rara vez funciona. Y es que «aunque hagas una campaña de concienciación, hay un porcentaje de la población que sigue cayendo«, asegura Daniel González, de Osane Consulting. «Esto es como las estafas de la lotería o del príncipe nigeriano: hay gente que cae y el que cae, cae varias veces, no le vale solo con una».

No, la culpa no es (casi nunca) de los empleados

Llegados a este punto, ¿no estaremos siendo un poco injustos con los empleados? Vale que la mayoría de los ciberataques se desencadena tras el error humano de un empleado, pero ¿acaso es justo ‘culpar’ a alguien que no está especializado en ciberseguridad? Pues quizá no.

Para Yoya Silva, ISO Tower Lead en DXC, «el empleado es el eslabón más débil, pero no debería serlo. Si la empresa está bien protegida, para un ciberatacante debería ser muchísimo más difícil llegar a un empleado cualquiera para poder hacer fraude. Esto debería pararse en alguna capa anterior«.

Yoya Silva (Woman in Cybersecurity Spain, WiCS).

No le falta razón. Si echamos un ojo a los datos veremos que, aunque los empleados podrían ser más cuidadosos, en muchas ocasiones sus empresas no les han ayudado a serlo.

Para empezar, el informe Global Corporate IT Security Risks Survey (ITSRS) de Kaspersky muestra una realidad evidente: el 88% de las compañías españolas afirma haber sufrido algún incidente de seguridad causado por la actuación de sus empleados… pero solamente el 38% ofrecen a su plantilla algún tipo de formación en este ámbito.

El 88% de las empresas españolas ha sufrido ciberincidentes por la actuación de sus empleados… pero solo el 38% les ofrece formación en este ámbito

Y es que muchas empresas son las primeras en culpar a sus empleados de sus ciberataques… a la vez que no protegen su seguridad informática. En 2019, PwC hizo una encuesta a más de 9.500 directivos de empresas de todo el mundo y sacó una peligrosísima conclusión: el 48% de estos ejecutivos reconoció que su empresa no tiene un programa de formación en ciberseguridad para sus empleados.

Por otro lado, otro informe, en este caso elaborado por Azure, muestra otra cifra muy a tener en cuenta: el 57% de las empresas encuestadas están pensándose dar formación a sus empleados, un porcentaje que a todas luces resulta demasiado bajo.

Pero lo grave no acaba ahí. No solo hay un problema de falta de concienciación entre empleados, sino también de reacción ante cualquier incidente: el informe de PwC revela que el 54% de las empresas ni siquiera tiene un proceso de respuesta ante ciberataques.

Y estos son los mimbres con los que los empleados, además de hacer su trabajo diario, deben evitar los ataques que les usan como puerta de entrada. Todo ello en un contexto en el que el 64% de las empresas reconoce haber sufrido un ataque de phishing en el último año y, según Verizon, el 94% del malware enviado en todo el mundo llega a través de correo electrónico.

Pero, ¿cómo puede ser tan efectivo el phishing si las empresas suelen contar con filtros antispam? Comparitech nos da la clave: muchos ciberatacantes consiguen burlar estos filtros. Una de las formas más eficaces de hacerlo es coger la dirección de email de una persona y registrarla en alguna web. Como el correo de confirmación será transaccional no será tratado como spam, así que los ciberdelincuentes incluyen ahí el enlace en el que quieren que pinche la víctima.

¿Es, entonces, simplemente una cuestión de fallos humanos por parte de los empleados? Evidentemente no. Los directivos también fallan y lo hacen en dos direcciones: en primer lugar, no invirtiendo en dar formación en ciberseguridad a sus empleados; y en segundo, asumiendo ellos también riesgos mucho más comprometedores que sus propios subalternos. De hecho, como nos cuenta Daniel Zapico, CISO de Globalia, «los puestos más sensibles de una organización no son los empleados medios, sino precisamente los directivos, ya que los ciberdelincuentes van a por ellos».

«Los puestos más sensibles no son los empleados medios, sino los directivos; los ciberdelincuentes van a por ellos»

Daniel Zapico, CISO de Globalia

Al final, en definitiva, se trata de un problema de muy difícil solución. Y es que, como asegura Zapico, «los ciberdelincuentes saben que el fallo humano existe, es inevitable, y lo que buscan es ese fallo humano. Cuando se insiste de forma masiva en intentar comprometer a través de una persona, antes o después acaba cayendo, es casi inevitable. Al final todas las organizaciones acabamos teniendo algún incidente, en mayor o menor medida, de mayor a menor impacto, con mayor o menor repercusión… pero al final todas tenemos algo. Y los incidentes menores son prácticamente a diario, a todas las organizaciones nos pasa«.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

El récord más sospechoso del mundo: ¿por qué La Rioja, Ceuta y Melilla no tienen brechas de datos?

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

En lo que llevamos de año, en España ha habido 770 brechas de datos notificadas a la Agencia Española de Protección de Datos (AEPD). ¿Qué comunidades autónomas dirías que son las que más notificaciones han enviado? Los datos de la AEPD nos dejan una estadística previsible: Madrid y Cataluña encabezan el ránking, seguidas de la Comunidad Valenciana y Andalucía.

Lo cierto es que sorprenden para bien los buenos datos de La Rioja (0 brechas), Ceuta (2), Melilla (2) y Cantabria (3), ¿verdad? Está claro que su menor tamaño juega a su favor, pero en cualquier caso es positivo que en sus territorios apenas haya brechas, ¿no?

No tan deprisa. Vamos a echar la vista atrás y a fijarnos en los datos de 2019:

Vaya, pues resulta que las cuatro vuelven a estar a la cola. De hecho, Ceuta y Melilla no tuvieron ni una sola brecha de datos en todo 2019. Es verdaderamente asombroso.

Caray, ya nos ha picado la curiosidad: ¿y en 2018? ¿También tuvieron tan buenas estadísticas? Pues nada, vamos a verlo:

Definitivamente, los datos de Ceuta y Melilla son de absoluto récord, y los de Cantabria y La Rioja no se quedan muy atrás. Estos cuatro territorios cosechan unas cifras buenísimas. De hecho son tan buenas… que no hay quien se las crea.

No notificar brechas de datos no significa que no las haya

¿Por qué estos datos resultan increíbles? Porque que una comunidad autónoma no notifique brechas de datos no significa que no las tenga, sino que no las notifica. Punto. La abogada Icíar López-Vidriero, especialista en protección de datos, mira estas cifras con la misma ironía: «Sorprende, y mucho, que Ceuta y Melilla no ‘tengan’ brechas de datos y que Cantabria y La Rioja ‘tengan’ tan pocas».

¿Y por qué las empresas no notifican las brechas? Es la pregunta que le hemos hecho tanto a López-Vidriero como a Andrés Calvo, este último de la AEPD. Entre los dos nos dibujan las razones más comunes:

1.- Desconocimiento. Algo que a buen seguro pasará en muchas pymes, aunque en las de estas comunidades autónomas ‘sorprende’ especialmente. Para Andrés Calvo las brechas desconocidas «son las más peligrosas, ya que el responsable no será consciente de que está siendo atacado y de que está saliendo información de su organización».

«Las brechas desconocidas son las más peligrosas, ya que el responsable no es consciente de que está saliendo información de su empresa»

Andrés Calvo, agencia española de protección de datos

2.- Asesoría. A veces las brechas no se notifican por una falta de asesoramiento legal, porque las empresas no saben que deben comunicarlas. Aquí López-Vidriero resalta la figura del delegado de protección de datos, que «en su objetividad y en su independencia sí tiene obligación de notificarlo. Por tanto, las empresas que tienen un delegado de protección de datos sí deben llevar a cabo el protocolo».

3.- Nula voluntad. Abordemos el tema de una vez: si algunas empresas no notifican sus brechas de seguridad es, simple y llanamente, porque no quieren hacerlo. Aquí Calvo recuerda que «el Reglamento General de Protección de Datos obliga a los responsables a notificar una brecha cuando consideran que puede afectar a sus derechos y libertades».

La situación pinta complicada. Como ya vimos en el pasado reportaje, las pymes españolas son las grandes perdedores de la batalla por mantener a salvo su ciberseguridad, aunque tampoco ayuda la poca transparencia de algunas, que prefieren dejar la suciedad bajo la alfombra. Y entre unas y otras, la casa sin barrer.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

¿Cómo se caza a un cibercriminal? Así luchan las empresas españolas por proteger su ciberseguridad

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Hace poco tiempo, una empresa española estaba sufriendo una de sus mayores crisis. ¿La razón? Su sistema informático no hacía más que fallar: lo hacía constantemente, cada 3-4 horas, paralizando toda su actividad y afectando seriamente a su negocio, que empezaba a sufrir graves pérdidas económicas. Y por más que miraban, nadie daba con el problema: todo estaba bien, pero el sistema, inexplicablemente, fallaba cada dos por tres.

Pasado un tiempo, cuando la situación ya era casi insostenible para su negocio, llegaron a pensar que estaban sufriendo algún tipo de ciberataque, pero no encontraban nada, así que la empresa decidió acudir a la Guardia Civil. Allí le contaron lo sucedido al equipo de César Lorenzana, que recuerda lo que se encontró al principio: «Cada cada tres, cuatro o cinco horas el sistema se venía abajo, lo restauraban, volvía a funcionar… y a las pocas horas volvía a fallar. La empresa ya había hecho un montón de análisis, pero no encontraba ninguna pieza de malware ni rastros de ningún posible atacante».

César Lorenzana (Guardia Civil)

Fue entonces cuando comenzó la investigación: «Nos preguntábamos quién podía tener el motivo, porque estaba claro que algo raro estaba pasando. En la empresa nos hablaron de ciertos trabajadores del departamento de IT que habían despedido porque estaban descontentos y empezamos a indagar». A partir de ahí fueron avanzando, ya que «sospechamos que uno de esos trabajadores se había llevado tarjetas SIM de la empresa que estaban mal catalogadas y con ellas estaba enviando código para provocar las paradas«. Pero era algo difícil de probar: «Hicimos un estudio comparativo de las tarjetas, de los dispositivos que se habían utilizado, miramos las localizaciones de señales… y al final pudimos demostrar que efectivamente era esa persona, desde su domicilio, la que enviaba los códigos de parada».

«Un informático colocaba bombas lógicas para que el sistema fallase y le llamasen. Se conectó a lo que él pensaba que era una de sus víctimas… y era nuestro propio equipo»

César Lorenzana, guardia civil

No es el único caso de este tipo al que se ha enfrentado Lorenzana: «Tuvimos un caso parecido de una persona que se dedicaba a dar soporte informático para varias empresas y colocaba bombas lógicas para que el sistema fallase y tuviesen que volver a llamarle. Nadie en la empresa se explicaba qué estaba pasando, pero en los análisis encontramos una pieza de malware. Lo más curioso fue que, cuando estábamos en pleno laboratorio, el atacante se conectó a lo que él pensaba que era una de sus víctimas… y era nuestro propio equipo, con lo que cogimos los trazos de comunicación, grabamos el tráfico y pudimos identificarlo».

Conocer de cerca estos casos nos puede resultar llamativo por conocer de cerca cómo es una investigación, pero lo cierto es que, como veremos a continuación, las situaciones de este tipo se producen a diario.

La batalla más desigual de la historia: grandes empresas Vs. pymes

A la hora de analizar cómo protegen las empresas su ciberseguridad hay que hacer de entrada una clara distinción: grandes empresas y pymes. Para empezar, analicemos su presencia en España: según los datos del Ministerio de Industria, Comercio y Turismo, las pymes (hasta 250 empleados) son abrumadora mayoría en España, representando al 99,9% de las empresas.

No parece baladí que cualquier tipo de empresa proteja su ciberseguridad, ya que, como vimos en su momento, España es el país más ciberatacado del mundo según el informe de Imperva y el segundo según el de CyberEdge.

Y a la hora de recibir ataques, ¿qué tipo de empresas se ven más afectadas? Un estudio de Tecteco, citando al Incibe como fuente, lo pone negro sobre blanco: en España, el 70% de los incidentes de ciberseguridad van dirigidos a las pymes.

Así pues, la diferencia de preparación entre unas empresas y otras es abismal. El informe Hiscox Cyber Readiness Report 2020 realiza un análisis en función no solo de las capacidades de las empresas españolas, sino también de su tamaño. Las grandes empresas, como vemos, están por encima de pymes y micropymes.

En términos porcentuales, de hecho, el gasto también. El informe de Hiscox también analiza el porcentaje del presupuesto de IT que las grandes empresas destinan a ciberseguridad. En España no solo está creciendo, sino que además supera la media europea.

El drama de la pyme: ni sabe, ni puede invertir ni se siente amenazada

¿Y qué pasa entonces con las pymes? Que, a tenor de los datos expuestos, están muy poco protegidas, especialmente si tenemos en cuenta que, como vimos antes, son las receptoras del 70% de los ciberataques en nuestro país. ¿A qué se debe su escasa protección? Podemos dibujar tres factores principales:

1.- Poca sensación de amenaza

Según un estudio de The Cocktail para Google, el 99,8% de las pymes españolas no se consideran un objetivo atractivo para los ciberdelincuentes. Las cifras son devastadoras y hablan por sí solas (tendrás que afinar el ojo para ver ese 0,2% del ‘Sí’):

2.- Pocos recursos

Por mucho que se insista a las pymes en la necesidad de ciberprotegerse, no nos engañemos: sería ilusorio pensar que una microempresa que sufre para llegar a fin de mes pueda disponer de recursos para tal fin. Según el Hiscox Cyber Readiness Report 2020, las micropymes españolas (de 1 a 9 empleados) dedican el 6,5% su presupuesto de IT a ciberseguridad, significativamente por debajo de otros países europeos:

Además, el informe de The Cocktail nos ofrece otro dato relevante: el 20% de las pymes delegan su ciberseguridad en un familiar o un amigo, mientras que el 12% ni siquiera destina un solo recurso a ello:

3.- Poca concienciación

Siempre se habla mucho de la concienciación de los empleados como freno al cibercrimen, pero aún queda mucho, muchísimo por hacer. The Cocktail revela que la mayoría de empleados de las pymes españolas no sabe o no puede reaccionar ante un incidente de ciberseguridad:

¿Cómo se convence a una pyme?

Todos somos conscientes de que debemos concienciar más a las pymes para que inviertan en ciberseguridad pero, si tiramos de empatía, podemos llegar a entender que para un pequeñísimo negocio esa sea la menor de sus preocupaciones. ¿Hay alguna forma de convencerlas? Los expertos con los que hemos hablado nos dan tres claves:

1.- El cibercrimen sí va a afectar a tu negocio

Es evidente que, en caso de ciberataque, el núcleo del negocio de una pyme no se va a ver tan afectado como el de una gran empresa. Pero eso no quiere decir que no afecte en absoluto: «Las pymes pueden a tener una pérdida de unos 35.000 euros por una brecha de seguridad o un ciberataque», nos cuenta Icíar López-Vidriero, de ICEF Consultores, «y con esas cantidades… igual la empresa no se repone y acaba no teniendo viabilidad económica».

«Las pymes pueden a tener una pérdida de 35.000€ por un ciberataque, y con esas cantidades… igual no son viables»

Icíar López-Vidriero, ICEF Consultores

Las consecuencias económicas también pueden venir derivadas de otro factor a tener muy en cuenta: las sanciones. La Asociación Española de Protección de Datos (AEPD), por ejemplo, impuso 907 sanciones a empresas españolas en 2018 y 338 en 2019.

2.- Tus datos son más valiosos de lo que crees

Si cualquier pyme no se considera un objetivo atractivo para el cibercrimen es porque realmente no cree que sus datos puedan ser relevantes para el delincuente. Sin embargo, la abogada Elena Gil recuerda que «el robo de información y la venta de datos es un negocio lucrativo, y eso ya te pone en la diana de ciberatacantes que saben que ciertas organizaciones están muy protegidas y son muy difíciles de atacar, pero que el gran tejido empresarial de un país –las pymes– están poco protegidas».

Icíar López-Vidriero (ICEF Consultores)

Pero vayamos más allá y asumamos que, efectivamente, los datos de una pyme no son especialmente relevantes para un ciberdelincuente. Da igual: el caso es que seguirán siendo relevantes para la propia pyme, de modo que «te pueden pedir un rescate en criptomonedas. Y si encima pagas, es probable que vuelvan a pedirte dinero», insiste Elena Gil.

3.- Subcontrata lo que puedas y, si no puedes, pide ayuda

Andrés Calvo, de la AEPD, reconoce que «más del 95% de las micropymes en España tienen menos de nueve trabajadores: ¿cómo puede una empresa de este tamaño dedicar esfuerzos a la ciberseguridad? Es complicado». Por tanto, «hay que pensar en la ciberseguridad como un servicio más, tienes que contratar a un experto. No para tenerlo todos los días en la empresa, pero sí para que haga una pequeña política de ciberseguridad y de protección de datos».

Y si una empresa no puede gastarse dinero en esto, siempre puede tirar de recursos públicos y gratuitos. Luis Álvarez Satorre, CEO de SIA, una compañía de Indra, recuerda iniciativas como «la de la Cámara de Comercio de España, que ha creado un plan de ciberseguridad para ayudar a las pymes que quizás son las más débiles, las que menos fuerza tienen para ser capaces de protegerse adecuadamente». Otros organismos, como Incibe, ofrecen un amplio abanico de herramientas de ciberseguridad para pymes, la mayoría de ellas gratuitas, y también contiene un listado de soluciones gratuitas desarrolladas por empresas españolas.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Nace ‘El Enemigo Anónimo’, la primera serie documental sobre ciberseguridad

¿Quieres patrocinar El Enemigo Anónimo? Aquí te contamos cómo

Hoy nace El Enemigo Anónimo, un proyecto del periodista C. Otto que se convierte en la primera serie documental sobre ciberseguridad hecha en España.

Hoy abrimos boca con el tráiler del proyecto, que puedes ver al inicio de este artículo. El Enemigo Anónimo constará de 20 capítulos (aquí puedes ver la programación), que se publicarán de dos maneras:

  • Capítulo en Youtube. Duración de 4-5minutos por capítulo.
  • Reportaje extendido. Para complementar el vídeo, con cada capítulo publicaremos en esta web un reportaje extendido en el que trataremos, con mucha más amplitud, el tema tratado. Incluiremos información adicional, gráficos de datos, etc.

En El Enemigo Anónimo vamos a entrevistar a cerca de 40 especialistas en ciberseguridad, programación, derecho tecnológico, cuerpos policiales, cibercrimen, ciberguerra, privacidad, datos, ciberacoso, fake news, propaganda, Internet of Things (IoT) y voto electrónico, entre otras temáticas. Aquí puedes ver a gran parte de las personas entrevistadas.

¿Quieres patrocinarnos?

Este proyecto se financia mediante patrocinios. ¿Quieres patrocinar El Enemigo Anónimo? Aquí te contamos cómo hacerlo y lo que obtendrás a cambio.

Síguenos

Si quieres estar al tanto de las noticias de El Enemigo Anónimo, suscríbete aquí a nuestra newsletter semanal. También puedes seguirnos en las siguientes redes: