¿Es demasiado bueno para ser verdad?

Si recibes un correo electrónico en el que te ofrecen algo demasiado bueno para ser verdad, debes sospechar ¿verdad? Pues éste es uno de los tipos de ingeniería social más efectivos usado por los ciberatacantes en la actualidad.

La seguridad de todo lo que tiene que ver con nuestros dispositivos, equipos informáticos, redes de ordenadores o internet está cada día más comprometida, entre cosas porque cada vez se lleva a cabo una mayor transformación digital de nuestro tejido empresarial. Eso es un hecho que comprobamos cada día en los medios de comunicación. Una de cada dos empresas españolas sufrió ciberataques en 2021^₁. 

En España se produjeron de media 40.000 ciberataques cada día durante 2021², lo que supone un incremento del 125% con respecto al año anterior. El 94% de las compañías sufrió, al menos, un incidente grave en materia de ciberseguridad³ lo que posiciona a España como el tercer país a nivel mundial en número de ciberataques recibidos en 2022.

Actualmente los ataques se están redirigiendo a las pymes, fundamentalmente porque son más vulnerables y además porque, según Google, el 99,8% de las mismas no se considera objetivo atractivo de los ciberdelincuentes⁴ . Por cierto, el 60% de las pymes europeas que son víctimas de ciberataques desaparece en los seis meses siguientes al incidente, muchas veces lastradas por el coste medio del ataque, que suele rondar los 35.000 euros.

La mayoría de las amenazas llegan por el correo y los ataques más frecuentes son el phishing (robo de datos confidenciales) y el ransomware (extorsión basada en el secuestro o cifrado de los datos).

Hay muchas otras amenazas y tendencias. La que más me ha llamado la atención es la suplantación de voz e imagen a través de videollamadas, una estafa muy sofisticada y preocupante, realizada mediante inteligencia artificial.

Pero ¿qué podemos hacer para estar significativamente tranquilos? Invertir. y ¿cómo? Pues lo mínimo recomendable y sin pretender en este texto ser muy técnico, sería: contratar un dominio internet propio para nuestra marca, disponer de correo electrónico corporativo, instalar antivirus profesional en todos los dispositivos, tener un buen plan de copias de seguridad, contar con un cortafuegos para securizar nuestra red privada, tener licencias para las aplicaciones y sistema operativo, definir una adecuada estructura de usuarios y atribuciones, implantar doble autenticación y por supuesto suprimir el uso de los usb.

Otras medidas más avanzadas podrían incluir las siguientes: plan de continuidad, acceso remoto mediante servicios basados en zero trust⁵ , pruebas de penetración, gestión proactiva de vulnerabilidades, inventario de activos, refuerzo o bastionado de servidores y de usuarios privilegiados, contratación de un SOC o centro de operaciones de seguridad y también es interesante realizar auditorías con una cierta frecuencia.

Mi colega y experto en ciberseguridad a la vez que divulgador incansable, José María Cervigón, plantea de forma muy genérica una aproximación de la inversión necesaria y la sitúa en un total de algo menos de tres mil euros de inversión inicial y ciento cincuenta euros de coste anual por empleado.

También es interesante considerar la posibilidad de contratar ciberseguros para hacer frente a posibles incidencias, un servicio que nos podrá ayudar en la contención del ataque, en la cobertura de los posibles gastos de notificación a la agencia de protección de datos en el asesoramiento jurídico e incluso en minimizar los efectos negativos en nuestra reputación.
Por tanto, mi sugerencia es: desconfiar, concienciar y actuar. Cuanto antes mejor.

1 “Nueve de cada diez empresas españolas sufrió al menos un ciberataque en 2021”, El
País, 10/feb/2022.
2 Estudio realizado por Datos 101.
3 Informe El estado de la ciberseguridad en España, elaborado por la consultora Deloitte.
4 Panorama actual de la Ciberseguridad en España, informe realizado por Google.
5 Zero Trust es una estrategia de seguridad de red basado en la filosofía de que ninguna
persona o dispositivo dentro o fuera de la red de una organización debe tener acceso para
conectarse a sistemas hasta que se considere explícitamente necesario. En resumen,
significa cero confianza implícita.