Amb la digitalització de les empreses, aquestes també s’han convertit en un objectiu dels ciberdelinqüents, els quals fan atacs com accedir als comptes bancaris o a informacions sensibles i confidencials.
Cal destacar que, amb el teletreball, s’ha incrementat l’ús d’Internet i del correu electrònic i delictes com el phishing s’han disparat. D’altra banda, amb la dependència dels sistemes d’informació, també es produeixen atacs de programari de segrest o ransomware.
Per això, és important que el teixit empresarial faci una prevenció i prengui mesures amb la voluntat d’evitar aquests delictes que poden ocasionar greus problemes en la viabilitat i competitivitat de les empreses.
Ho poden fer desenvolupant entorns digitals, tecnològics i de treball a distància segurs, que serveixin per prevenir i per dissuadir els hackers a través d’accions com la de sensibilitzar i formar tot el personal, establir protocols d’ús, còpies de seguretat, programari segur, i la contractació de serveis de ciberseguretat gestionada (EDR/ MDR).
El director del departament de Tecnologia i Innovació de PIMEC, Andreu Bru, recorda que la patronal posa a la disposició d’empreses i persones autònomes diferents serveis de ciberseguretat adaptats a les seves necessitats: serveis gratuïts de prevenció, serveis professionals de sensibilització, serveis de vigilància activa, i –en cas d’haver patit un ciberatac– un servei telefònic gratuït de suport tècnic.
A continuació, parlem amb dos empresaris que han estat víctimes de ciberatacs i comparteixen els seus testimonis.
Ignasi Llobet, general manager de Llobet Supermercats S.A., explica quin tipus de ciberatac va patir la seva pime: “Vam rebre un atac dirigit i automatitzat dins del nostre sistema per la vulnerabilitat de sistemes operatius vells de Windows. Els delinqüents van revisar la nostra informació durant mesos i van estudiar la nostra infraestructura per poder-la encriptar, amb les còpies incloses”. Tot seguit, comenta que en aquell moment tenien mesures de seguretat “preparades a mitges”, com accions per monitorar processos, i creu que aquest fet els ha servit d’experiència, ja que “o ho tens tot implementat o no et serveix per a res”. Finalment, ens diu com s’han defensat per evitar més atacs, tot destacant que “implementar la totalitat de la seguretat requereix temps i inversió”. A més, aclareix que prèviament s’han d’analitzar totes les vulnerabilitats reals i mitigar-les.
“La dificultat està a evitar aquells riscos que aturarien la producció de l’empresa, fet que requereix previsió”, afegeix abans de dir que també han reforçat la formació interna i externa, el monitoratge de tots els dispositius de l’organització, la limitació perimetral interna i externa de la land, amb les diferents segmentacions, i amb plans d’operativitat i contingència.
D’altra banda, el director general d’Arpe, Joan Pera, explica que van patir un atac de suplantació d’identitat, a través de la penetració en l’ordinador d’una persona de l’equip de back office. “Vam detectar l’accés, vam canviar contrasenyes i avisar els nostres informàtics externs perquè verifiquessin que ja no hi havia cap accés no autoritzat, però no es va detectar res perquè les regles de redirecció dels correus es fan a través de la configuració d’Office i no són cap software maliciós”.
Posteriorment van registrar un domini semblant al seu, en un tercer país i amb un perfil fals. Pera assenyala que, a través d’aquest, contactaven amb els seus clients demanant-los que fessin els pagaments de les factures a comptes creats en diferents ciutats del territori espanyol. “Alguns clients no van fer cap comprovació del fet que, efectivament, l’empresa havia canviat de compte bancari, d’entitat financera i de ciutat, i van pagar les factures”, lamenta.
Per tractar de solucionar-ho van enviar newsletters a tots els clients, van afegir un avís a les factures i a les firmes dels correus, i també van avisar a través de trucades telefòniques. “Nosaltres no ho vam detectar fins que, en arribar al venciment de les factures, vam veure que els clients no pagaven”, assegura. A continuació, assenyala que en aquell moment els faltava una mesura clau que justament llavors estaven començant a aplicar: el doble factor d’autentificació per accedir al correu: “No tinc clar que hagués evitat aquest frau, ja que l’accés remot es va aconseguir via un correu amb un adjunt maliciós i per a la configuració de redirecció de correus no et cal un 2FA si ja tens accés remot a l’ordinador infectat”.
Després de contractar els serveis d’una empresa especialitzada en ciberseguretat, la qual ha introduït moltes millores, recomana a les empreses fer com ells i contractar una assegurança que cobreixi tots els supòsits de ciberfraus, a més d’iinsistir molt en la conscienciació de l’equip de l’empresa. “Al final, és la clau de tot el sistema. Si la gent està atenta a qualsevol cosa estranya, dubtosa, i actua seguint el protocol, el risc es minimitza molt”, conclou.