Después del susto vivido con el bloqueo informático provocado por 'la pantalla azul de la muerte' por un error de actualización de la plataforma Falcon de CrowdStrike, que afectó a empresas de numerosos sectores de todo el mundo que utilizan equipos Windows, repasamos con Bernard Cortijo, los problemas que acechan a las empresas que trabajan con ordenadores y redes digitales. Se trata de un comisario del Cuerpo Nacional de Policía en excedencia, fundador de la Unidad Central de Delitos Tecnológicos, representante por España en el Consejo de Europa para el Cibercrimen y miembro del Grupo de Cooperación NIS, cuya misión general es lograr un alto nivel común de seguridad para las redes y los sistemas de información en la Unión Europea. Ha sido Director Corporativo de Seguridad de Telefónica, director de Seguridad y Fraude de Telefónica España.También ha ejercido como director Ejecutivo y Oficial de Cumplimiento del Grupo Comfica y VP de Terra Lycos.
En la actualidad es CEO de Dacord Intelligence. También, es matemático especializado en Investigación Operativa, Ingeniero especializado en comunicaciones y jurista especializado en ciberdelincuencia. Director del Máster Universitario en Ciberdelincuencia de la Universidad de Nebrija y profesor del Máster de Geoestratregia de Iniseg. Cuenta con el certificado Cico, de experto Compliance Officer, Prevención en Blanqueo de Capitales, Protección de Datos e Inteligencia Artificial. Miembro del Instituto de Oficiales de Cumplimiento. Vicepresidente de la Asociación de Directores de Seguridad. Y Perito de la Asociación Europea de Peritaje Forense.
¿Cuales son los puntos críticos de la ciberseguridad a tener en cuenta?
Los ataques a los sistemas informáticos, a las comunicaciones y el robo de datos son los puntos críticos en estos momentos. En los ataques a los sistemas hay diversas modalidades, pero generalmente de lo que se trata es de dejar fuera de trabajo los sistemas informáticos que tenemos en la organización o bien, que nos secuestren algunos datos o todos ellos, que nos puedan quitar información relacionada con los proveedores, o con cualquier otro asunto que pueda ser crítico y que pueda traernos un problema administrativo o económico.
¿Cómo se minimizan los riesgos en las pymes?
En Dacord Intelligence venimos trabajando con la gran empresa y con la pyme grande. Y tiene una problemática propia que se puede reducir. Al final no se trata de poner unas medidas tecnológicas extremadamente caras, poner unas licencias muy costosas, que a veces hay que ponerlas, pero también es una metodología, una formación de los empleados, una forma de trabajo para evitar los riesgos, después de realizar un análisis de riesgos. Es necesario analizar los riesgos.
Ahora hemos decidido abrir una línea de atención a las pymes, porque en los últimos tiempos se han generalizado los ataques incluso contra las micropymes. Las medidas que hay que poner en marcha en la pyme tampoco son tantas y pasan porque alguien informe a los trabajadores sobre lo que hay que hacer y lo que no hay que hacer para evitar errores críticos.
¿Cuáles son las áreas de atención?
Hay tres áreas de atención: el área de ciberseguridad, el de compliance o cumplimiento normativo, que es por donde se pueden evitar las sanciones, y el uso de la inteligencia, la humana no la artificial, para adelantarnos a los hechos.
¿Qué es un ataque de denegación de servicio y cómo prevenirlo?
Es algo que vemos mucho en las películas. Con palabras sencillas, diría que alguien está pidiéndonos muchas cosas. Imaginemos una empresa que no sea crítica, como una agencia de viajes. Si ya es crítica sería mucho más grave.
Pues bien, lo que pediría un cliente normal lo multiplican millones de veces desde un solo ordenador o un grupo de ellos. Detrás de esto hay siempre una trama, grupos de hacking, que van colocando programas en los ordenadores que tenemos en casa o en la empresa y a través de ellos van atacando a terceros. Lo que consiguen es que caiga el servicio por falta de capacidad ante el volumen de cosas que se le demandan. Para evitar estos ataques hay algunos sistemas de hardware y software para grandes empresas, empezando por balanceadores y programas que permiten controlar esa demanda excesiva, Y en el caso de las pequeñas empresas, la solución pasa por monitorear los sistemas, que es algo muy sencillo.
¿Los emails son muy peligrosos?
A veces los correos electrónicos pueden venir de otras personas que no son las que nosotros creemos. Es relativamente fácil camuflar el origen del mensaje. Los problemas que afectan desde la gran empresa a la microempresa pasan por el engaño.
¿Qué papel juega el cifrado en la ciberseguridad?
Con el cifrado lo que hacemos es ocultar la información para que solo la vean quienes nosotros queramos. Hay mucha gente que lleva los teléfonos o los ordenadores sin cifrar y si nos los roban, por ejemplo, en la estación del tren, no solo vamos a tener un problema por el coste del equipo, sino que tenemos el problema que los datos de nuestros negocios y de nuestros clientes están ahí, a la vista.
Cifrar es muy sencillo. Hay programas de cifrado gratuitos y otros a un coste muy bajo en la red. Si nosotros enviamos un correo con un fichero adjunto, éste es muy fácil recuperarlo. Ese es unos de los objetivos que tenemos con las empresas, que no envíen archivos adjuntos. Estos son una fuente de conocimiento para los hackers muy grande. Hay que tener mucho cuidado con los emails que nos llegan.
Cada vez son más frecuentes aquellos que cuando los abres ves una factura de la luz, del teléfono o una comunicación de la Agencia Tributaria. No se trata de algo que hayamos solicitado o que estemos esperando. Lo normal es que si nos fijamos, el texto no suele ser el de la compañía o la entidad que se supone que lo envía.
Si abres el correo no pasa nada, pero si abres el adjunto vas a comprobar una parte de tu disco se ha encriptado. Esos archivos suelen ser los de texto, las fotos, los excel con los datos financieros y los pdf con mucha información transcendente para el usuario o para la empresa, según se trate. Para poder acceder a ellos te encuentras con una password, que el secuestrador te la vende. A través de un correo te exige hasta 6.000 euros en el caso de una empresa de tamaño estándar, exigiendo más dinero si es una gran empresa y menos si se trata de una persona física.
¿En caso de secuestro de datos es mejor pagar o no hacerlo?
Esta claro que lo mejor en general es no pagar. Lo vemos en las películas. Si pagas vuelves a pagar, con bastante seguridad. Para no pagar debemos tener unas normas mínimas y sencillas que disminuyan ese riesgo. Y si no hemos podido evitarlo, lo importante es haber adoptado una medida que nos permita recuperar la información con facilidad. Si estas medidas no se han tomado o fallan a la hora de la recuperación es necesario buscar a un profesional que negocie.
Hay que tener en cuenta que cuando se consigue la recuperación, después hay que hacer muchas cosas. Muchas veces lo que nos da el secuestrador es una clave, pero encontramos que daños en el sistema. En conclusión, lo mejor es no pagar, pero si hay que hacerlo, es necesario usemos la cabeza.
¿Qué nivel tienen las Fuerzas de Seguridad en estos asuntos?
La preparación de los Cuerpos de Seguridad en España es muy buena. Yo llevo el master de ciberdelincuencia que forma a la Policía Nacional, en un nivel elevado, y puedo asegurar que tienen un conocimiento muy alto, que los Grupos de Trabajo están muy bien organizados. Este Máster Universitario cuenta con la colaboración de la Fundación Policía Española, el Cuerpo Nacional de Policía y Telefónica España.
El problema que tenemos en España es que hay una excesiva demanda ciudadana sobre las Fuerzas de Seguridad y sobre la Justicia en general. Hay miles y miles de casos diarios y es imposible que se puedan abordar todos estos casos. Imposible. Por ello es necesaria una formación del usuario, tanto de la persona física como de la empresa en su conjunto, para que estas cosas se puedan evitar. Y, luego, sobre las que haya que investigar, seguro que lo van a hacer bien.
¿Y como sabe una pyme que sus ordenadores son 'zombis' o no lo son?
Pues sería necesario hacer un análisis forense. El problema es que se mete un programa en el ordenador o en un teléfono y se queda inactivo. Solo se va a poder ver cuando el malo quiera activar el troyano como si fuera un mando de la televisión.
Las últimas modalidades han conseguido que en el terminal no aparezca nada y esos archivos solo se llenen de código maligno cuando lo va a utilizar. Cuando paso el antivirus no me tengo que quedar tranquilo. Emplear el antivirus solo, no es suficiente, ya que no estaremos usando la pieza clave y necesaria.
¿Qué relación tiene la ciberdelincuencia con el 'Compliance'?
El compliance supone que hay una serie de normas que nos obligan, como son las de protección de datos o las de responsabilidad de la persona jurídica, que pueden llegar a conllevar hasta el cierre de la empresa, y condenar a los directivos e imponerles multas económicas y graves sanciones.
Cualquier cosa que haga un empleado de nuestra empresa, si no hemos puesto medidas, que son medidas de monitorización, medidas de control y, también, de formación, será responsabilidad nuestra.Todo debe estar documentado. Nosotros damos una serie de píldoras de formación, que a las empresas les viene bien, porque tienen cubiertas las espaldas en ese aspecto formativo si ocurre cualquier incidente producido por algún empleado.
¿Qué responsabilidad tiene la empresa en estos casos?
Tiene mucha responsabilidad. Y este es uno de los aspectos que olvidamos. Así, en temas de protección de datos ya nos hemos acostumbrado a que nos puedan imponer una multa. En el compliance también, desde que nos puedan sancionar, por ejemplo, por no por utilizar el canal de denuncias. Y hablamos de multas que alcanzan desde los 600.000 al millón de euros para las empresas y entre 30.000 y 60.000 para los autónomos y personas físicas.
¿Y qué papel juega la normativa de protección del denunciante?
Hay una directiva comunitaria que ha impulsado a que todos los países de la Unión impongan la exigencia de contar con un canal de denuncias. Con el objetivo de evitar represalias para los informantes, daños de reputación o pérdidas económicas, las empresas deben implementar un canal de denuncias seguro, legal y fácil de usar que garantice la confidencialidad. Fortalezca la confianza en su empresa y evite sanciones económicas de hasta un millón de euros.
En el caso de España se ha regulado a través de la Ley de Protección de Informantes de 2023, que obliga a las empresas a partir de 50 empleados. Y las que tienen más de 250 empleados tienen otra serie de obligaciones más. No tardará mucho en bajar el nivel de exigencia por número de trabajadores hasta generalizar estas obligaciones.
La ventaja del canal de denuncias es que te sirve para conocer a tu propia empresa. Si el canal cumple las condiciones exigibles va a terminar sirviendo para prevenir problemas que de otra forma deberíamos afrontar, tanto en el ámbito financiero como en el laboral, por dar un par de ejemplos. Evita posibles multas y es una medida barata, que pueden adoptar las pequeñas empresas sin hacer un gran sacrificio, económico, que ya bastantes tienen que hacer en todos los aspectos.
La Directiva está solo enfocada al 'compliance' penal, pero es una herramienta que se puede usar con muchos otros objetivos.
Relacionados
- Salvador González toma el relevo en la Presidencia de la Abogacía española
- Ordenan repetir el juicio a un abogado acusado de estafar a su cliente en una herencia, pero que fue absuelto
- La Comunidad de Madrid y el Iberian Chapter del CiArb firman un convenio para fomentar el arbitraje inmobiliario
- Adaptación de la pensión compensatoria a la sociedad actual: Convivencia marital en las estructuras familiares
