Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.

Los ciberdelincuentes también eligen a las pymes: cómo evitar convertirse en su próximo objetivo

Encuentro 'Ciberseguridad: hackeando la mente', dirigido a pymes y organizado por elDiario.es Castilla-La Mancha y BBVA

edCreativo Castilla-La Mancha

0

La digitalización avanza a pasos agigantados. Su mayor ventaja es que permite a las pymes adaptar sus modelos de negocio, innovar y competir en mercados que antes parecían inalcanzables.

En ese contexto, la ciberseguridad se convierte en un factor clave para garantizar la continuidad y la reputación de cualquier empresa, sea cual sea su sector de actividad y su tamaño.

En un encuentro en Toledo, bajo el lema Ciberseguridad: hackeando la mente. Conoce los riesgos, cuida la seguridad de tu pyme, tres especialistas vinculados tanto al sector público como al sector privado han intercambiado experiencias y han ofrecido recomendaciones de buenas prácticas para la pequeña y mediana empresa.

¿Cómo proteger el negocio en la era de la Inteligencia Artificial a través del conocimiento de los nuevos riesgos? La seguridad digital en las pequeñas y medianas empresas se plantea hoy como una necesidad porque convivimos con algoritmos, tecnología cada vez más desarrollada que beneficia a las empresas, pero que utilizan los ciberdelincuentes.

La mesa redonda, organizada por elDiario.es Castilla-La Mancha, en colaboración con BBVA, ha reunido a Andrés Prado, director TIC en la Universidad de Castilla-La Mancha, y coordinador de este sector en la Conferencia de Rectores de las Universidades Españolas (CRUE), Mario Martín, CEO de la empresa UNITEL Ciberseguridad y Laura del Pino, Discipline Leader Information Security en BBVA España, en una conversación moderada por la directora del medio, Carmen Bachiller.

¿A qué tipos de fraude digital se enfrentan las empresas? ¿Cuáles son las claves de la prevención? Estas son algunas de las preguntas que deben plantearse las pymes frente a unas amenazas que evolucionan de forma constante y con un ingrediente añadido: la IA.

Pregunta.- La Universidad de Castilla-La Mancha sufrió ciberataque, allá por el año 2021. ¿Cómo fue darse cuenta de que algo no iba bien y cuál fue la reacción?

Respuesta (Andrés Prado).- Lo primero que pensamos es cómo nos podía estar pasando eso a nosotros. Nos cambió la forma de pensar y de abordar la ciberseguridad porque la cuestión no es si puede pasar sino cuándo pasará.

Ocurrió un domingo por la noche y este tipo de situaciones no lo son por azar. Hay que olvidar el romanticismo del hacker porque hay quien ha convertido la ciberdelincuencia en una industria.

Después de la sorpresa inicial, fuimos muy conscientes de nuestras capacidades y también fuimos muy honestos con la situación que estábamos abordando, por eso contamos con especialistas. También establecimos un plan de comunicación muy claro con nuestra comunidad universitaria.

Pregunta.- Si hablamos de amenazas, ¿cuáles son las tendencias en el ámbito de los ciber fraudes, especialmente en pymes?

Respuesta.- (Mario Martín).- En UNITEL creamos hace unos cuatro años un área específica de ciberseguridad tras confirmar que la ciberdelincuencia va en aumento. Desde 2020 sabemos que la aplicación de la IA está suponiendo algo bueno para frenar los ataques (a través de los SOC o centros de operaciones de seguridad que gestionan ciberataques masivos para contenerlos y neutralizarlos), pero también hay quien la utiliza, precisamente, para provocarlos.

Una de las amenazas más frecuentes ahora es el ransomware, un código malicioso que penetra en la red para escalar privilegios, secuestrar datos y después pedir un rescate. Siempre recomendamos que no se pague. Después está el phishing, por ejemplo, a través del correo electrónico, con ataques ahora muy dirigidos a determinados sectores o personas, y que busca suplantar para robar datos o dinero.

Además, hay mucho robo de credenciales que se venden en la Dark Web y los usuarios tenemos la manía de usar la misma contraseña para todo. No es un buen hábito.

Pregunta.- BBVA lleva mucho tiempo trabajando en la concienciación y la cultura de ciberseguridad. ¿Hay errores recurrentes en las pymes, humanos u organizativos, que dejan la puerta abierta al fraude? ¿Cómo les estáis ayudando a integrar la seguridad en su día a día?

Respuesta (Laura del Pino).- Hay que desmontar mitos. El primero es que los ciberdelincuentes solo atacan a empresas grandes. La realidad es que hay una industria del cibercrimen que funciona como una empresa. Al final es coste/beneficio.

Las empresas más pequeñas suelen estar menos protegidas y les cuesta menos atacarlas. Las pymes son un objetivo.

El otro mito es que en la ciberseguridad se soluciona todo con tecnología. Es cierto que es fundamental tener algunos básicos (como un antivirus), pero también es importante la formación.

P.- ¿En qué sentido?

R (Laura del Pino).- Por ejemplo, hay una amenaza que es el fraude por cambio de cuenta del proveedor. Consiste en suplantar la identidad de un proveedor de la empresa a través del correo electrónico. Incluye una cuenta de pago de facturas, que previamente habrá cambiado para que el dinero llegue al ciberdelincuente. Cualquier empresa debe saber cómo actúan los ciberdelincuentes para poder actuar.

Las empresas más pequeñas suelen estar menos protegidas y les cuesta menos atacarlas. Las pymes son un objetivo

Laura del Pino Discipline Leader Information Security en BBVA España

¿Cómo proteger tu empresa?

P.- ¿Qué medidas pueden ponerse en práctica ante un ciber ataque?

R (Laura del Pino).- Una cosa sencilla es contar con un protocolo interno de doble verificación. Si un proveedor me pide que le pague en una cuenta nueva hay que verificarlo. Basta una simple llamada para evitar el engaño. La concienciación y formación es muy relevante.

Desde BBVA ofrecemos información y formación. Ofrecemos cursos online y gratuitos sobre ciberseguridad a través de la plataforma Coursera a cualquiera. No tiene que ser cliente.

En breve estrenaremos un espacio de noticias sobre ciberseguridad en la web y ponemos a disposición de los clientes herramientas que les ayuden a identificar posibles fraudes en la relación con el banco. Incluso monitorizamos operaciones no habituales. Hay también productos como los ciberseguros que incluyen un análisis de riesgos para comprobar cómo está la empresa en cuanto a protección.

P.- ¿Cuál es el punto de vista de UNITEL?

R (Mario Martín).- Es necesario concienciar y formar, como decía Laura. Como empresa nos encontramos a menudo en Castilla-La Mancha con mucha falta de cultura de la ciberseguridad entre las pymes. No quieren invertir en algo que no sea tangible, porque creen que no va con su negocio y eso es un error.

Nos encontramos a menudo en Castilla-La Mancha con mucha falta de cultura de la ciberseguridad entre las pymes. No quieren invertir en algo que no sea tangible, porque creen que no va con su negocio y eso es un error

Mario Martín CEO de UNITEL Ciberseguridad

Nos ocurrió con un cliente que contactó con nosotros para recibir ayuda sobre ciberseguridad tras sufrir el engaño de una falsa factura. Quien se dio cuenta y lo paró fue precisamente el banco. El personal de las empresas debe tener formación. Eso les puede evitar muchos problemas.

P.- ¿Y la opinión de un experto en TIC?

R (Andrés Prado).- Se debe valorar mucho cuál es la exposición al fraude digital para abordar la protección. Hay que tener copias de seguridad, y blindar la identidad digital. Después, más allá del trabajo de prevención, es necesario tener clara la capacidad de reacción ante un ataque. Es algo que nosotros teníamos más adormecido cuando nos ocurrió.

Coincido en que hay que trabajar en la concienciación y en la formación. Los ataques que se han comentado son muy habituales y hay otro más: es el fraude del CEO, que cada vez se depura más gracias a la IA. Se trata de suplantar la identidad del directivo, solicitando al personal de administración hacer una transferencia urgente. El correo está redactado en el estilo del jefe.

Es importante saber el impacto que tiene perder la identidad digital de una empresa porque estará vendida. Hay que concienciar a las empresas y a quienes forman parte de ellas.

La IA puede jugar a favor de las pymes en su estrategia de ciberseguridad

P.- ¿Qué papel juega en todo esto la IA?

R (Laura del Pino).- La IA ha democratizado el acceso a lanzar ciberataques que antes eran imposibles si uno no tenía herramientas a mano. Es absolutamente necesario tener protocolos de seguridad en la empresa.

Una empresa no puede sobrevivir en el mundo digital sin unas mínimas medidas, también relacionadas con la IA: hay que tener la última versión, lo que se llama el parcheado, de las herramientas que manejamos porque tiene vulnerabilidades que se corrigen con esos ‘parches’.

Y no bastan las contraseñas, hay que tener una doble verificación con un código que nos llegará al correo o al móvil, cuando hablamos de accesos remotos de las empresas, ahora que tanto usamos el teletrabajo. Debemos tener hábitos seguros en nuestro día a día. Es como cuando subimos al coche y nos ponemos el cinturón de seguridad.

Después está la gestión de incidentes, con un protocolo sobre qué hacer y a quién llamar. Eso es un diferencial en el impacto que puede tener en la empresa. O romper con la necesidad de urgencia en las operaciones. Los ciberdelincuentes usan ingeniería social para engañar. Antes de hacer nada, si hay algo fuera de lo habitual, hay que comprobar.

P.- Claro porque, en realidad, con el internet de las cosas todo está conectado

R (Andrés Prado).- Sí, y en ese mundo tan conectado debemos saber qué tenemos expuesto en el mundo digital. No solo afecta a las personas, sino también a las cosas. Cada vez hay más elementos industriales conectados. A las pymes también empieza a afectarles.

En un mundo tan conectado debemos saber qué tenemos expuesto en el mundo digital. No solo afecta a las personas, sino también a las cosas. Cada vez hay más elementos industriales conectados. A las pymes también empieza a afectarles

Andrés Prado Responsable TIC en la Universidad de Castilla-La Mancha

R (Mario Martín).- Efectivamente, en UNITEL tenemos clientes en los que el 90% del trabajo de la empresa está robotizado. Un ciberataque a esas máquinas supone parar la producción. Y después, software no mantenido, software vulnerable.

También hay que probar de forma previa lo que se pone en internet. Hacemos muchos test previos de vulnerabilidad.

P.- Pese a todo, la IA nos puede ayudar a defendernos…

R (Laura del Pino).- Tiene muchas ventajas y nos ayuda a ser más eficientes. En el banco llevamos usando IA desde hace mucho tiempo, con muy buenos resultados. Desde la parte preventiva hay herramientas para detectar patrones anómalos. Y se puede usar además para formar y concienciar. Sí, hay que apostar por ello.

Etiquetas
stats