El ‘phishing’, el ‘malware’ y el ‘ransomware’ continúan siendo las mayores amenazas de ciberseguridad

A estas alturas del partido —por utilizar un símil mundialista—, todos hemos oído términos como phishing, ransomware o malware, asociados a la seguridad en internet. Pero ¿somos en verdad conscientes de los riesgos que corremos? Aunque el impulso del trabajo en remoto o híbrido, implementado y potenciado en muchas empresas a raíz de la pandemia, facilitó la conciliación de muchos trabajadores, también puso de relieve la necesidad de protegerse ante las numerosas amenazas de seguridad que pueblan la red; un esfuerzo cada vez más consciente en todo tipo de organizaciones, en el que la concienciación y la formación de los empleados reculta fundamental. El pasado 30 de noviembre se celebró, como cada año, el Día Internacional de la Seguridad Informática.

Casi la mitad de las empresas españolas (un 49 %) han sufrido algún tipo de ataque cibernético este año, según el Informe de Ciberpreparación 2023 elaborado por Hilcox: un dato ligeramente superior al de la media global (un 53 % de la empresas en Europa y EE UU, según la misma encuesta). La tendencia también es ligeramente inversa: mientras que en España se ha pasado del 53 al 49 % en tres años, en conjunto se ha pasado de un 48 a un 53 % en solo uno. La transformación digital de la sociedad ha multiplicado el número de aplicaciones y servicios digitales que utilizamos casi a diario, pero también el riesgo y el número de ataques. No en vano la ciberdelincuencia es, hoy, el primer crimen organizado a escala internacional, por delante del narcotráfico y de la trata de personas.

“Ha habido un gran impulso del teletrabajo, y eso lo aprovechan los ciberdelincuentes para pescar en río revuelto: hay mayores servicios expuestos, más empleados trabajando cuyas competencias de ciberseguridad son limitadas y las empresas están todavía adaptando sus políticas de seguridad a esta nueva realidad”, cuenta Manuel Ransán, responsable de Ciberseguridad para Menores y Ciudadanos del INCIBE. Solo en 2022, atendieron 118.000 incidentes (un 9 % más que el año anterior), de los cuales más de 110.100 correspondieron a ciudadanos y empresas, 546 a operadores estratégicos (organizaciones públicas o privadas responsables del funcionamiento de una infraestructura que resulta indispensable) y 7.980 a la Red Académica y de Investigación Española (RedIRIS).

¿Cuáles son los ataques más peligrosos?

“Si nos vamos a las empresas, las principales amenazas son el malware [programas con intenciones maliciosas], el phishing [hacerse pasar por una web legítima para intentar hacerse con los datos personales o bancarios del usuario] y el ransomware [que bloquea el acceso a un determinado sistema y que exige el pago de un rescate]. El caso del phishing es quizá el más preocupante, porque es el principal vector de entrada, se combina con el resto de amenazas y, además, depende en gran medida del eslabón más débil, que es el de los usuarios”, explica Ransán. Por eso, añade, la formación de los empleados es tan importante, para que sepan reconocer y reaccionar ante estas y otras amenazas. El INCIBE, por su parte, implementó en 2022 diversas acciones con las que formaron a más de 100.000 personas a lo largo del año.

El indudable aumento de la concienciación por parte de las organizaciones se traduce en mayores presupuestos y más acciones de capacitación y sensibilización (la mediana del gasto en ciberseguridad se ha incrementado un 39 % en los últimos tres años, hasta alcanzar los 142.600 euros en 2023), pero se reparte de forma desigual: las grandes empresas están más preparadas, destinan más dinero y tienen incluso departamentos específicos, mientras que a las pymes les cuesta todavía un poco más, “y tienden a pensar, erróneamente, que sus negocios no serán de interés para los ciberdelincuentes. Y hasta que no ocurre un incidente, no se sensibilizan”, sostiene Ransán. Aun así, “a día de hoy se reciben muchas más llamadas no solo para la formación, sino para dar los primeros pasos en lo que a una infraestructura de ciberseguridad se refiere. No es fácil cambiar las costumbres de la noche a la mañana, y por eso las formaciones son cruciales, al igual que las campañas de concienciación, los talleres y las charlas con los empleados”, afirma Daute Delgado, lead instructor en Ironhack.

El nivel de sensibilización también varía según la categoría profesional del empleado: entre los puestos de dirección, casi cuatro de cada 10 personas manifiestan tener una gran preocupación por la seguridad informática, frente al 32 % de los mandos intermedios y el 26 % de los especialistas, según un estudio de Infojobs de 2022. De la misma manera, aquellos que han recibido una formación al respecto tienen mayores probabilidades de percibir cuándo han sido víctimas de un ataque informático: un 29 %, frente a solo un 11 % de aquellos que no la recibieron.

Garantizar la seguridad informática en un entorno de trabajo en remoto es, no obstante, una responsabilidad compartida entre los trabajadores y sus empresas, que han de definir una política de teletrabajo que contemple tanto los aspectos técnicos como organizativos. Que quede claro, por ejemplo, qué dispositivos tienen que usar los empleados, ya que los corporativos estarán sujetos a la política de ciberseguridad de la empresa y actualizaciones forzadas; pero si los empleados pueden usar sus propios dispositivos, habrá que definir las recomendaciones de seguridad a seguir. “La empresa debe también garantizar un método de acceso a distancia que sea seguro y que permita compartir información, recursos y ficheros. Aquí lo más normal es usar una red privada virtual (VPN) que garantice la confidencialidad de la comunicación”, esgrime Ransán. Desde Goodhabitz, por su parte, recuerdan que conviene evitar siempre las redes WiFi públicas, ya que cualquier información enviada o almacenada mientras se está conectado a ellas es vulnerable si no se activa la VPN de la empresa.

¿Y qué hay del empleado? “Lo primero es tener cuidado con qué abrimos y qué no; el mejor consejo es no abrir nada de lo que no tengamos referencia. Lo segundo, no pinchar jamás en enlaces que estén acortados, ya que en el día a día no utilizamos herramientas suficientes para tener visibilidad de lo que se encuentra detrás de ellos, como unshorten.it”, advierte Delgado. “Y, finalmente, no menospreciar el riesgo de trabajar en esa cafetería que tanto nos gusta, porque no todos los ataques son cibernéticos: hay que tratar con cautela el shoulder surfing [mirar por encima del hombro desde un lugar cercano, para intentar obtener información sensible de ese usuario]”. Para gestionar adecuadamente las contraseñas, la Oficina de Seguridad del Internauta recomienda utilizar lo que se conoce como gestores de contraseñas, aplicaciones que se pueden descargar en el móvil y que permiten almacenar todas las contraseñas en un fichero cifrado. Para acceder a ellas, tan solo se necesita recordar una contraseña maestra (en los terminales con reconocimiento facial o digital, ni siquiera es necesario), para poder visualizar la contraseña que se necesita, copiarla y pegarla.

Perfiles más demandados en ciberseguridad

“Los profesionales más demandados son aquellos que tienen una visión estratégica del manejo global de la información. De ahí su especialización en lo que se refiere a la arquitectura e infraestructura de seguridad”, apuntaba Jared Gil, CEO y fundador de Nuclio Digital School, a este medio el pasado mes de abril. Entre las principales habilidades de un experto en ciberseguridad, Gil mencionaba las de hacker, fundamentales para identificar agujeros de seguridad complejos; de forense, para aplicar técnicas de investigación científica a los delitos digitales; y de arquitecto, para aplicar todas las tecnologías posibles.

A la hora de identificar los perfiles de ciberseguridad más demandados por las empresas, Delgado apunta hacia los analistas, los ingenieros (que se ocupan de realizar mejoras continuas del servicio y de adaptar las herramientas a las necesidades de los clientes), arquitectos que montan las infraestructuras de ciberseguridad y pentesters, que llevan a cabo pruebas de penetración a clientes para ver hasta dónde se podría llegar en caso de un ataque real. Los analistas de Big Data, por su parte, se ocupan construir modelos matemáticos para la detección de anomalías, un perfil más buscado en empresas que necesitan un alto nivel de ciberprotección o en aquellas que ofrecen servicios específicos de ciberseguridad.

FORMACIÓN EL PAÍS en Twitter y Facebook

Suscríbase a la newsletter de Formación de EL PAÍS