Con la digitalización de las empresas, estas también se han convertido en un objetivo de los ciberdelincuentes, que realizan ataques como acceder a las cuentas bancarias o a informaciones sensibles y confidenciales.
Hay que destacar que, con el teletrabajo, se ha incrementado el uso de Internet y del correo electrónico y –por tanto– delitos como el phishing se han disparado. Por otro lado, con la dependencia de los sistemas de información, también se producen ataques de software de secuestro o ransomware.
Por eso, es importante que el tejido empresarial haga una prevención y tome medidas con la voluntad de evitar estos delitos que pueden ocasionar graves problemas en la viabilidad y competitividad de las empresas.
Lo pueden hacer desarrollando entornos digitales, tecnológicos y de trabajo a distancia seguros, que sirvan para prevenir y para disuadir a los hackers mediante acciones como la de sensibilizar y formar a todo el personal, establecer protocolos de uso, copias de seguridad, software seguro, y la contratación de servicios de ciberseguridad gestionada (EDR/ MDR).
El director del departamento de Tecnología e innovación de PIMEC, Andreu Bru, recuerda que la patronal pone a disposición de empresas y personas autónomas diferentes servicios de ciberseguridad adaptados a sus necesidades: servicios gratuitos de prevención, servicios profesionales de sensibilización, servicios de vigilancia activa, y –en caso de haber sufrido un ciberataque– un servicio telefónico gratuito de apoyo técnico.
A continuación, hablamos con dos empresarios que han sido víctimas de ciberataques y comparten sus testimonios.
Ignasi Llobet, general manager de Llobet Supermercados S.A., explica qué tipo de ciberataque sufrió su pyme: “Recibimos un ataque dirigido y automatizado dentro de nuestro sistema por la vulnerabilidad de los sistemas operativos viejos de Windows. Los delincuentes revisaron nuestra información durante meses y estudiaron nuestra infraestructura para poderla encriptar, con las copias incluidas”. A continuación, comenta que en aquel momento tenían medidas de seguridad “preparadas a medias”, como acciones para monitorizar procesos, y cree que este hecho les ha servido de experiencia, puesto que “o lo tienes todo implementado o no te sirve de nada”.
Finalmente, nos dice cómo se han defendido para evitar más ataques, destacando que “implementar la totalidad de la seguridad requiere tiempo e inversión”. Además, aclara que previamente se tienen que analizar todas las vulnerabilidades reales y mitigarlas.
“La dificultad está en evitar aquellos riesgos que detendrían la producción de la empresa, lo que requiere previsión para poderlos frenar”, añade antes de afirmar que también han reforzado la formación interna y externa, la monitorización de todos los dispositivos de la organización, la limitación perimetral interna y externa de la land, con sus diferentes segmentaciones, y con planes de operatividad y contingencia.
Por otro lado, el director general de Arpe, Joan Pera, explica que sufrieron un ataque de suplantación de identidad a través de la penetración en el ordenador de una persona del equipo de back office. “Detectamos el acceso, cambiamos contraseñas y avisamos a nuestros informáticos externos para que verificasen que ya no había ningún acceso no autorizado, pero no se detectó nada porque las reglas de redirección de los correos se hacen a través de la configuración de Office y no son un software malicioso”.
Posteriormente registraron un dominio similar en un tercer país y con un perfil falso. Pera señala que, a través de este, contactaban con sus clientes pidiéndoles que hicieran los pagos de las facturas en cuentas creadas en diferentes ciudades del territorio español. “Algunos clientes no hicieron ninguna comprobación de que, efectivamente, la empresa había cambiado de cuenta bancaria, de entidad financiera y de ciudad, y pagaron las facturas”, lamenta.
Para solucionarlo enviaron newsletters a todos los clientes, añadieron un aviso a las facturas y en las firmas de los correos, y también avisaron a través de llamadas. “Nosotros no lo detectamos hasta que, al llegar el vencimiento de las facturas, vimos que los clientes no pagaban”, asegura. Seguidamente, señala que en aquel momento les faltaba una medida clave que justo estaban empezando a aplicar: el doble factor de autentificación para acceder al correo: “No tengo claro que hubiera evitado este fraude, puesto que el acceso remoto se consiguió por vía de un correo con un adjunto malicioso y para la configuración de redirección de correos no te hace falta un 2FA si ya tienes acceso remoto al ordenador infectado”.
Después de contratar los servicios de una empresa especializada en ciberseguridad, que ha introducido muchas mejoras, recomienda a las empresas hacer como ellos y contratar un seguro que cubra todos los supuestos de ciberfraudes, además de insistir mucho en la concienciación del equipo de la empresa. “Al final, es la clave de todo el sistema. Si la gente está atenta ante cualquier cosa extraña, dudosa, y actúa siguiendo el protocolo, el riesgo se minimiza mucho”, concluye.