Entre los múltiples y costosísimos factores que hay que tener en cuenta para poner en marcha una empresa, y que van desde la burocracia al local, los materiales de oficina, las inversiones iniciales, los empleados, la asesoría o un sin fin de cuestiones que forman un verdadero muro para el emprendedor, uno suele pasar casi siempre desapercibido: la ciberseguridad. Un enorme porcentaje de las pymes cordobesas no tienen en cuenta este área. Y eso puede traer gravísimas consecuencias. El CEO de la empresa AllPentesting, Eduardo Sánchez, nos pondrá más de un ejemplo para la reflexión. Profesor de F.P., perito judicial es también impulsor de la iniciativa Hack & Beer, en la que se debate sobre asuntos de seguridad en torno a unas cervezas. Esa actividad empezó en Córdoba y ya está en más de 30 localidades de España. Sánchez, también vicepresidente de la Asociación Nacional de Profesionales del Hacking Ético, es actualmente uno de los principales exponentes de la ciberseguridad en Córdoba.
¿Cree que las empresas cordobesas, en su mayoría pymes, invierten los suficiente en ciberseguridad?
Las empresas no suelen invertir porque no es una inversión que dé dinero. La ciberseguridad suele ser algo que se contrata una vez has tenido un incidente. Una vez surge el problema, sí es verdad que pueden venir los problemas económicos o de activos. Pero lo normal es que las pequeñas y medianas empresas toquen la ciberseguridad muy por encima.
Un altísimo porcentaje de las empresas cordobesas son muy pequeñitas, pymes sin empleados o con un empleado o dos. Con todos los problemas que tienen para arrancar y subsistir le parece que les conviene también invertir en el campo de la ciberseguridad?
La inversión en seguridad no es un gasto muy alto, es simplemente seguir una serie de protocolos. No cuesta ningún trabajo hacer uso de contraseñas seguras o activar un doble factor de verificación, acciones básicas que cualquier usuario debería utilizar a día de hoy. El problema es la falta de concienciación en el uso de nuevas tecnologías, los malos lo saben y aunque seas una pequeña empresa…al final los datos los pierdes tú. Si entran en tu sistema, cifran tus datos y te piden un rescate, el problema ya lo tienes encima aunque seas una empresa pequeña. Por mucho o poco que factures ya te van a pedir equis dinero. Estas personas extorsionan a lo mejor por pequeñas cantidades que juntas suponen un fraude enorme.
Imaginemos una pyme cordobesa, ¿qué recomendarías que tuviese como mínimo en ciberseguridad?
A partir del covid se ha empezado a trabajar mucho más online, se utiliza mucho más el correo electrónico y se han incrementado los protocolos de facturación. A partir de aquí te voy a explicar los tipos de ataque y las soluciones. En el correo electrónico los problemas vienen de usar contraseñas que no son seguras o de caer en algún tipo de phishing. Por tanto los cibercriminales entran en el correo, ven la información y cuando ven por ejemplo una transacción económica suplantan una de las personalidades, mandando la factura con el número de cuenta cambiado. Para este caso la empresa debería utilizar servicios de correo electrónico que tengan una mínima seguridad, por lo menos que cuenten con el doble factor de verificación que comentamos antes. Y también tener una web con un firewall o los mínimos sistemas de ciberseguridad, que al menos, si hay un ataque seamos conscientes.
¿Qué otros ataques añadiría?
Se está dando mucho el secuestro de cuentas en las redes sociales. La imagen de la empresa es muy importante, y esto supone un palo muy duro a la reputación y la confianza del cliente. Las redes sociales deben de tener una buena contraseña activada y ese doble factor de verificación. Al final la ciberseguridad va por capas, mientras más capas añadamos muchísimo mejor. Eso hace que los malos tengan más problemas.
Hablando de los malos, ¿cómo seleccionan a sus víctimas en el caso de pymes? ¿De forma aleatoria o siguen algún tipo de patrón?
Existen dos tipos de ataques. Por una parte está el ataque persistente dirigido o APT (Advanced Persistent Threat). En ese ataque o bien han sido contratados por terceros o bien se han focalizado en esa empresa porque les interesa por cualquier motivo. Con esos ataques tratan de entrar por todo los métodos posibles, bien mediante phishing por correo electrónico, o bien suplantan una identidad por correo para obtener algún tipo de información, también mediante fuerza bruta con las contraseñas o intentan echar abajo la página web. Luego está lo que yo llamo pesca de arrastre, por ejemplo una campaña de sms’s con el típico mensaje de “tienes un paquete” o un supuesto sorteo de Amazon o correos pidiendo los datos bancarios etc., es decir, algún tipo de correo o mensaje muy genérico que les permita acceder a la empresa.
¿Una pyme tiene posibilidad de defenderse ante un ataque persistente dirigido que ha tenido éxito mediante la denuncia a las autoridades?
El proceso de denuncia es bastante largo. Nosotros damos formación a los cuerpos de seguridad del Estado, y muchas veces le recomiendan a la empresa que ha sido víctima de un ataque que recurra a una empresa especializada. Por ejemplo nosotros nos dedicamos a eso. Hacemos la investigación, extraemos todos los datos posibles y se los damos a la empresa para que tenga todo el trabajo hecho una vez ponga la denuncia. La realidad es que la policía no tiene medios suficientes y sí un gran volumen de trabajo. En la provincia de Córdoba están cuatro o cinco personas en delitos tecnológicos. Málaga por ejemplo tiene a 35 agentes, quince de ellos en la capital. Al final la policía se centra en estafas grandes o pornografía infantil. En cualquier caso denunciar es necesario, porque el autor puede haber hecho eso mismo con muchas empresas. Con los ataques a redes sociales, sí hay que recurrir al ámbito privado con una empresa especializada, porque es difícil que Instagram, Facebook o Twitter te contesten. Al final se consigue información y por ejemplo yo actúo en el juicio como perito judicial. Y se llama al orden a quien se tenga que llamar. Por ejemplo hace poquito le han estafado más de medio millón de euros a un cliente por un tema de inversiones en bitcoin y ya hemos conseguido localizar 260.000 euros que estaban en un monedero de bitcoins y saber quién estaba al mando de ese monedero.
Por lo que veo si el ataque es consistente, a la pyme le costaría responder.
Claro. Al final el proceso de la denuncia es más para que quede plasmado y que si alguien ha sufrido la misma estafa o desde la misma dirección IP o recibiendo el mismo correo, pueda tener cierta orientación. Pero desde luego hay que actuar rápido con lo que se denomina respuesta de incidentes. Y ahí o te pones en contacto con alguien que controle o estas perdido, porque al final el negocio debe continuar y no se puede estar a expensas de lo que decide la policía, porque algunas de las denuncias pueden no llegar a ningún sitio debido a la comentada falta de medios o porque los cibercriminales lo hayan hecho bastante bien. Además imagínate, han atacado una página web y resulta que la IP es de Ucrania, pues hace falta solicitar un mandamiento y una comisión probatoria, y es un proceso largo y tedioso a través de la Interpol.
Hay que actuar rápido con lo que se denomina una respuesta de incidentes
Hablando de nuevo de los malos, supongo no hay perfil posible y que podrá ser cualquiera desde cualquier punto del globo.
Nos hemos encontrado de todo. Este caso que te comentaba de los bitcoin, aunque por teléfono sonaban de Europa del Este, la IP real que nos aparecía era de Madrid. Puede ser alguien de cualquier país que a su vez usa servidores de otros países donde la legislación es más laxa o bien de aquellos que ni siquiera colaboran con la Interpol, como Filipinas. Pero el país se combina con el proveedor del servicio, imagínate, te sale una IP de Rusia pero el servidor está en Ucrania y las personas cometen el delito desde España.
¿Conviene formar a las pymes en ciberseguridad?
Independientemente del tamaño de la empresa, porque todas son posibles objetivos de estafas, de robo de cuentas o suplantaciones de identidad. Y el problema no es que te quiten poco porque tienes poco en una cuenta, por ejemplo, sino que puedan llegar a hacer cosas en tu nombre y eso te traiga problemas legales. Desde el covid, en quince minutos se puede crear una cuenta bancaria con el DNI, así que pasar un DNI por whattsap ya puede generar un problema. Esa cuenta bancaria podría actuar de mula sin tú saberlo.
¿Cuánto le costaría a una pyme cordobesa tener lo mínimo exigible en ciberseguridad?
Al final un análisis y securización de la web junto con un correo seguro no llega a 3.000 euros. Y al final estás haciendo una inversión a largo plazo con esta primera línea de batalla. Es un escudo que ya es complicado de romper.
¿Puede un ataque poner en peligro la viabilidad de una empresa o incluso precipitar su cierre?
Por supuesto. Tenemos algunos clientes que han sufrido ataques de ramsomware y les han cifrado toda la información, perdiéndolo todo.. No hace mucho, a principios de año, el hospital de Lucena sufrió precisamente un ataque de ramsonware y los datos están expuestos en internet ya que no cedieron a la extorsión.
¿Son en ese sentido los empresarios conscientes del valor de los datos que manejan independientemente de su sector?
En las empresas, tanto en Córdoba como en España en general, hay una falsa sensación de seguridad. Muchas veces el informático que les trabaja les vende esa sensación, siendo relativamente fácil entrar para los cibercriminales.
