Inicio » Ciberseguridad » Consejos de los expertos en ciberseguridad para evitar caer en la ciberdelincuencia

Consejos de los expertos en ciberseguridad para evitar caer en la ciberdelincuencia

Con motivo de la celebración de la mesa redonda organizada por IMF Business School con el título Teletrabajo: ¿un riesgo para la ciberseguridad?, hemos querido entrevistar a los 5 ponentes que participaron en ella. En esta entrevista, hemos querido conocer un poco más sobre el sector de la ciberseguridad y cómo nos afecta día a día, sin ser muchas veces conscientes de ello.

Nuestros entrevistados son: Javier Ruiz de Ojeda, Product Manager de la CyberAcademy Deloitte; Jaime Guillermo Ferrer Marfil, Security Architect – Threat Intelligence / Incident Response in DeloitteMarco Lozano, Responsable de Servicios de Ciberseguridad para Empresas de INCIBE; Omar Jesús Orta Pedroza, director de Transformación Digital en Grupo Oesía; y Manuel Carpio, coordinador del área en ciberseguridad en IMF.

Conoce lo más importante de la Ciberserguridad de mano de los expertos

Si tuvieras que dar una única razón por la que argumentar la necesidad de Ciberseguridad en la empresa, ¿cuál sería?

Manuel Carpio, Master en Ciberseguridad de IMF Business School

Por la misma razón que se necesitan cámaras de seguridad en el “hall” del edificio, cerraduras en los armarios y extintores de incendios. Damos por sentado que todas las medidas de seguridad física que protegen los bienes materiales de la empresa están justificadas. Y sin embargo, en muchos casos lo que más vale en las empresas no son ya sus bienes materiales, sino sus intangibles como la información y el conocimiento de sus empleados. A pesar de este desplazamiento del valor, todavía hoy no se ha producido un “desplazamiento” paralelo en el presupuesto de seguridad de las organizaciones, desde lo físico a lo lógico.

Manuel Carpio
Jaime Guillermo Ferrer, experto ciberseguridad Deloitte

La ciberseguridad hoy en día es tan importante como la seguridad a secas, nadie se plantea no disponer de seguridad para su negocio, y la ciberseguridad hoy en día es igual de importante, y en algunos casos dependiendo del modelo de negocio de la empresa, incluso más. La ciberseguridad es un aspecto crítico para salvaguardar la integridad de cualquier tipo de información sensible, para la protección de nuestros propios empleados, y en definitiva, para poder asegurar la continuidad del negocio.

Jaime Guillermo Ferrer Marfil

Javier Ruiz de Ojeda, Ciberseguridad Deloitte

En la última década los cibercriminales han organizado, industrializado y rentabilizado sus actividades hasta un nivel nunca antes visto, y prueba de ello es el número y la gravedad de los incidentes durante este periodo. Las organizaciones que no se mantengan en esta carrera (independientemente de su tamaño) estarán avocadas a ser el objetivo recurrente de estos ataques.

Javier Ruiz de Ojeda
Omar Orta, Oesia

Vivimos en la época de la Transformación Digital, donde estamos desplegando tecnologías a lo largo y ancho de los procesos de negocios de las organizaciones para ser más eficientes, muchas veces sin considerar que con ello estamos ampliando la superficie ataque. En estas tecnologías que desplegamos transitan los datos más importantes de nuestras organizaciones. Por lo tanto, para poder respaldar la competitividad de las empresas es fundamental proteger los procesos de Transformación Digital contra el espionaje y los ciberdelincuentes.

Omar Jesús Orta Pedroza
Marco Lozano, INCIBE

Sin duda, mantener el negocio. La realidad actual obliga a cualquier tipo de empresa a depender de las tecnologías, en mayor o menor medida, para que la actividad de esta se pueda desarrollar. Un ejemplo muy básico pero a la vez esencial es el servicio de correo electrónico. Seguramente cualquier empresa pueda seguir operando mínimamente sin recibir y enviar emails. Pero ¿qué ocurriría si estuviera días o semanas sin él? Esta misma reflexión la podemos extrapolar al resto de servicios, como los servidores de archivos donde se centraliza la información de la empresa, la página web si dispone de ella, la posibilidad de teletrabajar y un largo etcétera. Es por ello que la implementación de las medidas de ciberseguridad adecuadas en una compañía, que tiene cierta dependencia tecnológica con independencia de su tamaño, sin duda serán necesarias para garantizar que el negocio pueda continuar.

Marco A. Lozano Merino

Cuéntanos tres datos reveladores sobre Ciberseguridad en estos momentos

Manuel Carpio, Master en Ciberseguridad de IMF Business School

El año próximo seguirán sin cubrir 3.5 Millones de puestos de trabajo en ciberseguridad, por falta de profesionales.

Los delitos informáticos mueven más dinero que el narcotráfico

Una de cada tres empresas españolas sufrió al menos un ciberataque el año pasado

Manuel Carpio
Jaime Guillermo Ferrer, experto ciberseguridad Deloitte

Aunque se pueda pensar que la ciberseguridad es un gasto importante para las compañías, hoy en día el beneficio que les produce lo supera con creces. La manera en que se trabaja la ciberseguridad no facilita únicamente la protección de las empresas, sino que la gran especialización de los profesionales que la trabajan están ayudando mucho a las empresas a avanzar en la transformación digital y a hacer más eficiente sus procesos. En los últimos incidentes de seguridad que se están produciendo, la gran mayoría de ellos sobre grandes empresas con presencia internacional, los atacantes están consiguiendo un beneficio de media de alrededor de 5 millones de $ por ataque.

Jaime Guillermo Ferrer Marfil
Javier Ruiz de Ojeda, Ciberseguridad Deloitte

En 2019, el 94% del malware alcanzó su objetivo a través del correo electrónico. (Verizon)

El impacto resultante del cibercrimen se estima en 6 billones (millones de millones) de dólares anuales a partir de 2021. (Cybersecurity Ventures)

Al cabo de 2020, se estima que el número de contraseñas empleadas por humanos y máquinas alcance los 300.000 millones. (Cybersecurity Media)

Javier Ruiz de Ojeda
Omar Orta, Oesia

Los usuarios, el principal vector de ataque de los ciberdelincuentes;

Los ataques para acceder a los datos personales y empresariales crecen ante las menores barreras de protección por el uso masivo del Teletrabajo;

El sector sanitario foco de ciberataques

Omar Jesús Orta Pedroza
Marco Lozano, INCIBE

Lo cierto es que nada de lo que explique a continuación puede ser considerado como revelador, pero quizá sí “sorprendente”.

En primer lugar, gran parte de los incidentes que han ocurrido y que ocurrirán se deben a la falta de aplicaciones de parches o actualizaciones de seguridad. Esto significa que una empresa puede ser víctima de un ataque por parte de los ciberdelincuentes, por no aplicar o instalar una actualización que el desarrollador de la aplicación o el dispositivo ha publicado. El ejemplo más mediático ocurrió allá por el 2017 con Wannacry, pero es algo que se ha venido repitiendo desde entonces. Empresas que han sido afectadas por problemas de seguridad por no instalar los parches que corrigen determinados problemas. Es cierto, que en las grandes compañías este tipo de acciones no se pueden llevar a cabo sin las precauciones debidas, ya que quizás la instalación de ese parche pueda provocar un problema en algún servicio. Pero personalmente pienso que debemos ser más ágiles con estas cuestiones.

Otra cuestión interesante es que para los ciberdelincuentes la empresa pequeña es mejor que la grande. En este sentido existe una falsa percepción entre las pymes, donde muchas de ellas no se consideran en el radar de aquellos que buscan el dinero fácil a través del engaño, o las infecciones por malware (virus). Las pequeñas empresas son, sin duda, un objetivo mucho más fácil de alcanzar que las grandes ya que no cuentan con presupuesto para implementar medidas de ciberseguridad y tampoco tienen perfiles dedicados a estas cuestiones, en muchos casos, bastante tienen con preocuparse de su actividad y salir adelante. Los ciberdelincuentes saben esto y por ende llevan a cabo grandes campañas de suplantación (phishing) que tienen como objetivo este tipo de organizaciones que, además, suelen estar más dispuestas a pagar en caso de secuestro de la información o ransomware. De hecho, este tipo de incidente es el que más preocupa a pymes y microempresas en la actualidad y el que más impacto les genera.

Como tercer dato, indicar que los usuarios o empleados siguen siendo la causa principal de incidentes en ciberseguridad en una empresa. Por supuesto la mayor parte son llevados a cabo de manera no intencionada, pero sin duda algo que, como empresarios, debería hacer plantearnos la necesidad de formar y concienciar a nuestra plantilla para crear una cultura de ciberseguridad en la empresa. En la actualidad existen multitud de recursos disponibles en Internet que pueden ayudar a conseguir, o al menos a elevar, esa cultura. Por ejemplo, los disponibles en el portal de “Protege tu Empresa” de INCIBE (https://www.incibe.es/protege-tu-empresa).

Marco A. Lozano Merino

¿Cuáles crees que son las principales amenazas cibernéticas en las empresas?

La falta de compromiso real de la dirección ejecutiva, para dotar a la función de ciberseguridad de los recursos humanos y materiales suficientes.

La irresponsabilidad o la falta de formación del personal interno, más preocupado por la comodidad de uso que por la seguridad de la información corporativa, que perciben como ajena a sus intereses.

La autocomplacencia del equipo de TI, más preocupado en entregar el servicio al menor coste posible y en el menor tiempo posible, para lo cual la seguridad supone un estorbo.

Manuel Carpio

Lo diferenciaría principalmente en 2, amenazas internas y externas. La principal amenaza interna es la bomba lógica, es decir, lo que se conoce como un “insider” (trabajador de la propia compañía), que a través de la tecnología causa una caída masiva de toda la infraestructura. Hay que tener en cuenta que internamente no se poseen de tantas medidas como en el perímetro, por lo que la investigación es mucho más compleja. Por otro lado, la principal amenaza externa actual serían los incidentes de “Double-extortion”, a través de los cuales los atacantes ganan acceso remoto a la infraestructura, a través de movimientos laterales se hacen con acceso a toda la red, roban los datos más sensibles de la empresa, le cifran los datos de los dispositivos (y se los inhabilitan a veces), y piden un rescate muy alto para que los datos no sean publicados. Esto pone en jaque a cualquier compañía…

Jaime Guillermo Ferrer Marfil

La principal amenaza para una empresa es el desconocimiento inconsciente, o “no saber lo que no se sabe”. El primer paso que debe emprender una organización que desee poner en orden su ciberseguridad es un análisis de los propios riesgos entendiendo qué activos debe proteger, qué tecnologías los soportan y qué situaciones o amenazas podrían poner en riesgo su seguridad. Una amenaza que podría llevar a la quiebra a una empresa, al mismo tiempo podría no suponer un gran impacto para otra. Este análisis de riesgos será determinante por tanto para que cada organización pueda identificar sus propias “amenazas críticas”, y ponerse en marcha para reducir su probabilidad y mitigar su impacto sin desperdiciar recursos.

Javier Ruiz de Ojeda

Falta de cultura en materia de ciberseguridad por parte de las organizaciones, por un lado, los directivos no están invirtiendo en desplegar controles de seguridad por considerarlo algo “opcional” en el proceso de Transformación Digital de las organizaciones y, por otro, los usuarios no son conscientes de lo vulnerable que son contra la pericia de los ciberdelincuentes y resultan “inocentes” ante ataques, como, por ejemplo, phishing;

Falta de organización, educación y despliegue de controles ante el cambio de gestión operativa, hemos cambiado el puesto de trabajo en las organizaciones, desde nuestras instalaciones “seguras” y controladas, a los hogares de nuestros empleados muchas veces, sin contemplar los riesgos del nuevo puesto de trabajo y sin hacer cambios en materia de ciberseguridad,

Carencia de planes de contingencia y continuidad de negocio, las organizaciones están tan preocupadas por garantizar la operativa de los procesos de negocio, que se han descuidado de planificar escenarios de acción en caso de que algún evento disruptivo impactase en la continuidad operativa.

Omar Jesús Orta Pedroza

Lo cierto es que se trata de una cuestión de “amplio espectro”, pero en base a lo respondido anteriormente, se podría decir que dentro del ámbito pyme y autónomo lo que más preocupa son las infecciones por ransomware o secuestro de información; mientras que las grandes compañías ponen especial cuidado para evitar lo que se denominan ataques dirigidos. Estos últimos pueden provocar un gran impacto en este tipo de empresas causando enormes pérdidas. Para hacernos una idea, podemos repasar las noticias del último trimestre del 2019 donde el malware “Emotet” tuvo una gran incidencia en multitud de grandes organizaciones, tanto del ámbito público como privado.

Marco A. Lozano Merino

¿Algún consejo de experto para evitar caer en la ciberdelincuencia?

Manuel Carpio, Master en Ciberseguridad de IMF Business School

Formar al personal, dotarle de recursos, y establecer una estrategia basada en políticas preventivas más que reactivas.

Manuel Carpio
Jaime Guillermo Ferrer, experto ciberseguridad Deloitte

Para las compañías, les diría que está en sus manos ayudar a los empleados a que no sean víctimas de los atacantes, y que son ellas las que deben hacer todo lo que esté en su mano para protegerlos y protegerse a sí mismas. A veces se ve a la ciberseguridad como un impedimento a negocio o una restricción a la libertad de los empleados, pero está muy lejos de la realidad, y hay que hacer saber que la ciberseguridad no es más que un componente que ayuda a que todos podamos hacer nuestro trabajo de una manera más segura y eficaz.

Jaime Guillermo Ferrer Marfil

Javier Ruiz de Ojeda, Ciberseguridad Deloitte
[Risas] Imagino que nos referimos cómo evitar caer víctimas de un ciberdelincuente, y no a cómo evitar seguir el camino oscuro y terminar siendo nosotros mismos unos cibercriminales. Uno de los mayores vectores de entrada en la actualidad (si no el mayor) son los ataques a la organización a través de los empleados, usando todo tipo de engaños para conseguir que hagan clic en un enlace o adjunto, o que ingresen sus credenciales o información personal en un formulario falso. Hay muchos elementos que pueden hacernos sospechar de estos correos de phishing (intentan dar un sentido de urgencia, solicitan una de las 3 cosas antes mencionadas, apelan a nuestra voluntad de ayudar o de ganar…), pero la norma general es desconfiar de aquella información que nos llegue sin haberla solicitado previamente. Si tenemos delante alguna oferta o petición que genuinamente queramos atender, deberíamos hacerlo accediendo a la web de quien dice enviarla a través del navegador o la app correspondiente, y no a través del enlace incluido en el correo.

Javier Ruiz de Ojeda
Omar Orta, Oesia

Yo soy un obsesionado con la concienciación en materia de seguridad, por lo que mi consejo siempre será educar a los empleados a protegerse contra los ciberdelincuentes.

Omar Jesús Orta Pedroza
Marco Lozano, INCIBE

Sin duda concienciación de los empleados, la implementación de medidas de prevención y el disponer de planes contingencia, y no necesariamente en ese orden. Si existiera una fórmula mágica, o mejor dicho “técnica-humana”, que acabara con los incidentes de ciberseguridad, no estaría respondiendo a estas cuestiones. Pero lo cierto es que cada vez usamos más servicios, más aplicaciones y con ello abrimos nuevas vías de ataque a los ciberdelincuentes. Por esta razón es importante que antes de utilizar, implementar o desplegar un servicio concreto, es importante saber cómo usarlo y saber cómo bastionarlo o reforzar su seguridad. Y si alguna empresa no sabe cómo hacerlos, tienen a su disposición el número 017, la Línea de Ayuda en Ciberseguridad de INCIBE, que ofrece soluciones frente a este tipo problemas a todas las empresas de ámbito privado de España.

Marco A. Lozano Merino

Un libro que recomiendes para los futuros expertos en ciberseguridad

Manuel Carpio, Master en Ciberseguridad de IMF Business School

Hacking: The art of exploitation, de Jon Erickson

Manuel Carpio
Jaime Guillermo Ferrer, experto ciberseguridad Deloitte

Como soy un apasionado del análisis de malware, siempre recomiendo el mismo libro: “Practical Malware analysis”.

Jaime Guillermo Ferrer Marfil

Javier Ruiz de Ojeda, Ciberseguridad Deloitte

Pues para aprender sobre seguridad humana (la rama a la que me dedico), recomiendo El Arte de la Intrusión de Kevin Mitnick a nivel ofensivo, o  Transformational Security Awareness de Perry Carpenter a nivel defensivo. Y si lo que buscas es que te pique el gusanillo de la seguridad, entonces me paso al mundo de la novela con Daemon de Daniel Suarez, o La Estancia Azul de Jeffery Deaver, los libros que me metieron en este camino hace ya muchos años.

Javier Ruiz de Ojeda
Omar Orta, Oesia

Ciberseguridad y transformación digital: Cloud, Identidad Digital, Blockchain, Agile, Inteligencia Artificial (María Ángeles Caballero Velasco y Diego Cilleros Serrano).

Omar Jesús Orta Pedroza
Marco Lozano, INCIBE

Lo cierto es que en mi día a día, al trabajar con tecnologías y demás, la literatura que consumo es para evadirme o adentrarme en otros mundos muy diferentes a los de mi rutina, no porque no me guste mi trabajo, al contrario me apasiona, pero hace unos años que no leo libros técnicos o exclusivamente de ciberseguridad. De hecho los conocimientos los adquiero a través de formación reglada o recursos en Internet. Pero guardo un grato recuerdo de un libro de Kevin Mitnick: “The Art of Deception”, en el que a través de las diferentes historias, se puede inferir lo sencillo que es engañar a una persona a través de técnicas de ingeniería social, que son y serán muy utilizadas por los ciberdelincuentes.

Marco A. Lozano Merino

Mesa Redonda: Teletrabajo, ¿un riesgo para la ciberseguridad?

Estos cinco expertos en Ciberseguridad participaron en una mesa redonda organizada por IMF Business School donde hablaron de los riesgos de ciberseguridad existentes con la implantación global del teletrabajo. ¿Quieres conocer más sobre este tema? Aquí puedes ver su charla. ¡No te lo pierdas!

Formación Relacionada

Las dos pestañas siguientes cambian el contenido a continuación.
Avatar

IMF Business School

Avatar

Últimos posts de IMF Business School (ver todo)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Noticias, eventos y formación!

Suscríbete ahora y recibe los mejores contenidos sobre Negocios, Prevención, Marketing, Energías Renovables, Tecnología, Logística y Recursos Humanos.

Acepto recibir comunicaciones comerciales por parte del grupo IMF
He leído y acepto las condiciones


▷ Tips de expertos en ciberseguridad para no caer en la ciberdelincuencia

Una entrevista para conocer más sobre la ciberseguridad y cómo nos afecta día a día, sin ser muchas veces conscientes ¡entérate!