¿Cómo pueden las empresas prevenir ciberataques?

¿Cómo pueden las empresas prevenir ciberataques? El 89% de todos los ciberataques tienen una motivación financiera o de espionaje (Verizon 2016) y las víctimas (gobiernos y empresas) no suelen hacerlo público por su grave incidencia en la credibilidad, confianza y reputación.

El objetivo de estos ataques es la información (1010101010100011001) y dentro de ella uno de los mayores activos que existen: los datos personales de millones de personas. Ni que decir tiene que nuestros datos personales tienen valor en sí mismos en orden a poder “comercializar” con ellos en el tráfico jurídico mercantil, para vendernos moda, belleza, casas, coches, etc,.. empero también son mero instrumento de una larga lista de delitos (piratería, pornografía, pishing, fraude, suplantación identidad, ingeniería social, bullyng, etc,..). Conocer cómo se realizan estos ataques y cómo evitarlos puede significar la diferencia entre la vida o la muerte de una organización (Yahoo, Ashley Madison y otras muchas) siendo éste el motivo principal del porqué no salen a la luz los ataques a grandes corporaciones.

Las ideas-fuerza que debemos tener en cuenta a la hora de hablar de Ciberseguridad y privacidad de nuestros datos personales son:

• Vulnerabilidad:Todos los expertos lo afirman con rotundidad. No existe la invulnerabilidad y conforme el/la internet de las cosas (IoT) avanza –50.000 Millones de aparatos conectados para el 2020- cada vez irá a peor porque los aparatos por defecto estarán “siempre conectados” y porque los Ciberdelincuentes cada vez, como los terroristas, son más sofisticados y burlan hasta las SANDBOX (malware artesanal que reconoce cuando está en un sandbox y se comporta bien y pasado este filtro luego explota). En consecuencia es el grado de preparación frente al incidente o evento de seguridad(por ejemplo violación datos personales) donde debe ponerse el foco y dicho grado de preparación la prevención es lo que diferenciará a unas organizaciones de otras (caso Tesla vs Chrysler)
• Factor humano: Destacadamente, el factor humano lidera las causas de brechas de seguridad(sea dolosa o negligentemente) lo que, necesariamente nos lleva a poner el foco nuevamente en la PREVENCIÓN (concienciación y formación) de las personas que de un modo u otro siempre intervienen en los procesos de comunicación de la información de las organizaciones (Samsung acaba de sacar su SAMSUMG KNOX para terminales de todo tipo intentando suprimir el factor humano al máximo).
• Velocidad de los cambios: Decía Jack Welch (GE) que “cuando el ritmo de los cambios dentro de la empresa es superado por los del entorno, el final está cerca”. Una de las características que definen esta llamada 4ª revolución industrial es la velocidad de los cambios que generan las nuevas tecnologías y se define por todos los expertos como exponencial.
• Factor económico: Toda la ciberdelincuencia está asociada, como dijimos al principio, al factor económico: fraude, robo directo (ramsomware), robo información como instrumento de otros delitos, etc,..
• Ubicuidad: La ciberseguridad, como dicen los expertos, no tiene apellidos afecta a toda la tecnología, a cualquier sector de actividad, a cualquier dispositivo o terminal. Su prevención debe estar en el propio diseño de la tecnología y los dispositivos, cosa que, actualmente no ocurre.

La secuencia de un ciberataque es siempre la misma y actúa sobre una o varias de las capas de la arquitectura de todo dispositivo (hardware, firmware, sistema operativo y aplicaciones o utilidades) siguiendo este esquema:

• Existencia de una vulnerabilidad
• Creación de un programa diseñado para explotar dicha vulnerabilidad, EXPLOIT
• Intrusión en el sistema del EXPLOIT a través de un VECTOR DE INTRUSION (adjuntos, email, navegador, etc,..)
• Infraestructura de explotación para controlar el sistema atacado

La debilidad de los sistemas de información tiene que ver, a su vez, con varios factores, tales como la falta de concienciación (de ahí la privacidad por diseño y por defecto en data protection) de los fabricantes, la falta de concienciación de los usuarios de los sistemas, así como de formación de los mismos, etc, etc,…

¿Cómo pueden las empresas defenderse de la ciberdelincuencia?

Para defendernos de la ciberdelincuencia debemos atacar esos 4 elementos de la secuencia del ataque:

• Prevención desde el diseño al usuario
• Detectar: vigilar, monitorizar, alertar
• Vector intrusión: prevención, concienciación y formación usuarios (buenas prácticas)
• Mecanismo de respuesta: limpiar/desinfectar/mitigar/recuperar

Esta filosofía es la que sustenta la nueva regulación europea de la protección de datos personales GDPR y que se sustenta en los principios de Responsabilidad por Diseño y por defecto. Es decir, los riesgos sobre la privacidad (violación o incidente) deben contemplarse desde el mismo momento del diseño del producto o servicio y una vez en marcha únicamente deben tratarse lo estrictamente necesario para la finalidad que se persigue, o sea, mínima intervención en términos de uso y tiempo de los datos personales. Esta exigencia y rigor en cuanto a la responsabilidad de las organizaciones en relación a los datos personales tiene que ver con la doble vertiente siguiente:

• Dentro de la información a la que se accede a través de un ciberataque, la privacidad está especialmente protegida toda vez que es un derecho fundamental de los ciudadanos de la Unión Europea
• Por regla general, la sustracción de los datos personales que identifican o pueden identificar a una persona, es IRREVERSIBLE. La gravedad de su violación justifica por sí misma esta regulación.

Durante los próximos años veremos cómo los organismos de control de los países miembros UE van definiendo los criterios que sustentan estas normas a base de interpretaciones en los casos concretos que se vayan planteando en el día a día de las organizaciones y distintas administraciones públicas.

Juan José Cortés Vélez

Of Counsel del Área Compliance y Legaltech de Devesa & Calvo Abogados