NOTICIAS GENERALES / 14-06-2023
Pregunta. La ciberdelincuencia se ha convertido en una de las principales amenazas externas de las empresas. ¿Cómo ha evolucionado este fenómeno durante los últimos años?
Respuesta. Las amenazas se han incrementado de una forma exponencial, fundamentalmente por dos motivos. Por un lado, la proliferación de nuevas infraestructuras y tecnologías digitales ha permitido multiplicar los objetivos de los ciberdelincuentes. Por ejemplo, con la aparición de las tiendas online su objetivo fue conseguir los datos de las tarjetas de pago. Después, cuando llegaron las redes sociales se abrió la puerta a la generación de fakenews o noticias falsas. Más tarde arrancó el teletrabajo con el COVID y los riesgos se multiplicaron porque los ciberdelincuentes comenzaron a acceder a las empresas de forma no autorizada. Y hoy en día estamos asistiendo a la aparición de tecnologías como el ChatGPT que aumenta aún más los riesgos, por ejemplo, con la suplantación online de personas, entre muchos otros. La segunda razón de este incremento tiene que ver con la organización de los propios ciberdelincuentes. Los atacantes ya no tienen que ser expertos para crear sus propios desarrollos de malware; ahora acuden a la Dark Web donde pueden encontrar plataformas denominadas de “Malware As A Service (MAAS)” y comprar los recursos que necesitan para delinquir, que muchas veces son kits ya preparados que no requieren conocimientos técnicos. Esto facilita el aumento de los grupos de activistas de estos ciberataques y el número potencial de objetivos.
“Debemos reclamar a nuestros proveedores los mismos requisitos de ciberseguridad que aplicamos en el Grupo aunque no sea fácil”
P. ¿De qué forma ha incidido la cuarta revolución industrial sobre esta amenaza?
R. La Industria 4.0 implica la incorporación de nuevas tecnologías como la robótica, el cloud o Internet of Things, y conecta mundos digitales con el mundo físico. La aplicación de las nuevas tecnologías tiene ventajas evidentes como el incremento de la eficiencia en la fabricación o la mejora en la gestión del control de los procesos pero también tiene sus inconvenientes y uno de ellos es que aumenta el riesgo de sufrir incidentes de ciberseguridad. Surgen nuevas amenazas por el elevado número de dispositivos conectados a internet y eso nos obliga a proteger las comunicaciones y sistemas para mantener los equipos y la información segura y garantizar la actividad empresarial. Además, cada vez existen más proveedores que dan soporte a estos nuevos sistemas y por ese motivo debemos mantener con ellos los mismos requisitos de ciberseguridad que aplicamos en el Grupo, en términos contractuales, y en muchas ocasiones esto no es fácil. La digitalización debe ir de la mano de la ciberseguridad desde la misma fase de diseño, y a los proveedores les resulta difícil en muchas ocasiones adaptarse a estos cambios cuando nuestros sistemas están ya implantados.
“Mi labor consiste en extender la concienciación desde la dirección al resto de las personas que forman parte de las empresas del Grupo”
P. ¿Cómo gestiona la ciberseguridad el Grupo Arania?
R. Lo hacemos desde una dirección centralizada y con un claro compromiso por parte de los gerentes de las diferentes empresas del grupo y de las personas del consejo de dirección, que consideran la ciberseguridad como una inversión, algo que es muy importante.
P. ¿Existe la concienciación necesaria en el Grupo para poder desarrollar una política de ciberseguridad eficaz?
R. La dirección, la parte superior de la pirámide, presta mucho apoyo a este trabajo, existe mucha concienciación, pero mi labor consiste en extenderla al resto de las personas que forman parte de las empresas. Aunque siempre trabajamos en esta dirección, no existe una garantía absoluta de seguridad y debemos seguir insistiendo en la concienciación de las personas. La creación de este nuevo puesto en el Grupo Arania es una decisión estratégica que emana de la alta dirección, que decide separar la IT de la ciberseguridad, y eso da una muestra del peso que tiene. Además, dentro de esta estrategia el Grupo también cuenta con un potente equipo de IT que dinamiza y aplica las tecnologías, y colabora con partners especializados que desarrollan una labor global muy importante.
“El correo electrónico es la principal vía de entrada del malware y lo que más reciben las personas que forman parte del Grupo”
P. Llegar a las casi 1.000 personas que trabajan en el Grupo no debe ser una tarea fácil pero ¿existe alguna regla básica que se pueda transmitir de forma general para evitar los ataques de los ciberdelincuentes?
R. El correo electrónico es la principal vía de entrada del malware (software malicioso) y lo que reciben mayoritariamente las personas que trabajan en el grupo. La mayor parte de los ataques que sufren las empresas va dirigida a las personas que trabajan en ellas. El phishing o la suplantación de identidad sigue siendo la mayor amenaza que sufrimos y para evitarlo es fundamental concienciar a las personas. Esta labor de concienciación es una de las principales medidas que tenemos que adoptar aunque resulte difícil, porque somos muchos y muy distribuidos. Pero como dijo Thomas Reid en el siglo XVIII, “una cadena es tan fuerte como su eslabón más débil”, y en este caso las personas que formamos parte de la empresa somos el eslabón más débil: por eso debemos trabajar constantemente sobre la concienciación y la formación en ciberseguridad. En esta tarea es muy importante comunicar bien, mostrar cercanía y hacer sentir a las personas que son parte del equipo de cibserseguridad. Soy consciente de que es difícil aplicar las medidas que ponemos en marcha y que tenemos que hacerlo con mucho tacto y con cercanía pero lo hacemos por el bien de todos, no es algo que nos hayamos inventado.
“En el Grupo Arania los ‘backups’ y los planes de recuperación son estratégicos pero también hemos preparado un ‘disaster recovery’”
P. ¿Cuáles son las principales amenazas a las que se enfrentan las empresas?
R. El ransomware y el phishing son las dos amenazas más utilizadas para extorsionar a las empresas. El ransomware es la peor porque puede afectar a la continuidad de una empresa como negocio y está proliferando muchísimo. Este malware puede situar a las organizaciones ante un difícil dilema: o pagas o pierdes tus datos. Por eso en el Grupo Arania consideramos estratégico realizar backups de los sistemas y desarrollar un plan de recuperación de esas copias de seguridad para comprobar que funciona correctamente. Además de desplegar un plan de recuperación de disaster o disaster recovery para estar preparados para el momento en que pueda ocurrir. Y la segunda gran amenaza es el phishing y sus variantes, que cada vez son más frecuentes, con las que los ciberdelincuentes intentar robar información sensible o instalar malware en los equipos.
“Aunque aún no hemos visto un mal uso de ChatGPT los ciberdelincuentes pueden usarlo para suplantar la identidad de un directivo”
P. ¿Existe alguna amenaza emergente en el ámbito empresarial ante la que haya que estar alerta?
R. En el Grupo Arania todavía no hemos visto un mal uso de ChatGPT, pero los ciberdelincuentes pueden utilizar esta herramienta para suplantar la voz de un directivo o incluso su imagen. Aunque ya se empieza a hablar de estas nuevas variantes de ciberdelincuencia todavía no nos ha llegado un caso similar. Los ataques siempre nos llegan a través del correo electrónico.
P. ¿Hasta dónde puede llegar la amenaza de ChatGPT?
R. Aunque esta tecnología todavía es incipiente, todos tenemos que empezar a adoptar medidas de prevención porque puede contribuir a que se produzcan incidentes. Esta tecnología, por ejemplo, te permite utilizar la voz de una persona para elaborar un mensaje falso sin que la destinataria pueda distinguir si se trata de un mensaje real o falso. O podría permitir generar código de forma automática, incluir código malicioso… tenemos que analizar el alcance de estos riesgos y adoptar las medidas de prevención que sean necesarias.
“Algunas empresas ya han empezado a movilizarse para regular e incluso prohibir el uso de ChatGPT”
P. Dicen que la tecnología y los delitos van siempre por delante de la regulación… ¿esto es aplicable también a ChatGPT? ¿Existe alguna regulación al respecto?
R. De momento, no. Algunas empresas ya han empezado a movilizarse para regular e incluso prohibir el uso de esta tecnología o para advertir de sus riesgos. El problema es que la tecnología avanza mucho más rápido que la regulación y ese riesgo lo corremos todos porque es ahí cuando los atacantes aprovechan.
P. ¿Podemos aspirar a conseguir un riesgo cero en materia de ciberseguridad?
R. La ciberseguridad 100% no existe y los atacantes siempre van a encontrar una vía de entrada para encontrar vulnerabilidades con los avances tecnológicos. Lo único que podemos hacer es ponérselo difícil y aplicar medidas preventivas para poder proteger nuestras infraestructuras.