Celebramos el Día Internacional de Internet Seguro con la opinión de tres especialistas de Galp. Luís Morais, CISO (Chief Information Security Officer), Edgar Oliveira (Head of Cyber Security) y Jorge Afonso (Data Officer), quienes responden a cuatro cuestiones sobre el uso de Internet, con consejos para estar todos más protegidos.
Luís Morais
CISO (Chief Information Security Officer), Galp
¿Un Internet más seguro?
La frialdad de los números oficiales, procedentes de las diversas autoridades judiciales y observatorios especializados, es clara e inequívoca: existe un incremento continuado y global de los delitos cibernéticos. En Portugal, el último informe de seguridad interna (referente a 2019) anuncia un aumento del 42,7 % de los delitos informáticos y, pese a no disponer todavía de datos oficiales relativos a 2020, un informe interno del Ministerio Público de la República demostraba ya un aumento del 139 % de este tipo de delitos a finales de mayo 2020, si lo comparamos con todo el año 2019. La gran mayoría de estos casos son relativos a fraudes online, envío de mensajes con malware, campañas de phishing para el robo de claves de acceso o intentos de extorsión digital (ransomware…), una tendencia global que no solo se observa en la realidad portuguesa.
La propia Galp (como muchas otras empresas) vio cómo en 2020 su imagen fue utilizada en campañas fraudulentas y maliciosas, obligando a la compañía a enviar alertas a sus clientes y al público en general. Estos números fríos tienen una explicación clara y concisa: la ciberdelincuencia se ha profesionalizado en los últimos años, convirtiéndose en un negocio muy lucrativo. Mientras que en el pasado los delincuentes informáticos actuaban solos, en la actualidad forman parte de organizaciones criminales muy bien estructuradas y formadas, que operan al margen de la ley en "paraísos fiscales" y que venden sus servicios a otros delincuentes, en una lógica criminal a modo de servicio (llave en mano). Alguien que pretenda, por ejemplo, obtener datos de tarjetas de crédito válidas o claves de acceso a servicios de banca electrónica para llevar a cabo fraudes económicos puede obtener estos datos en Internet (en una parte conocida como Dark Web o web oscura) a un grupo de delincuentes informáticos dedicado exclusivamente a robar estos datos. Para poner esta economía en perspectiva, el Foro Económico Mundial estima que en 2021 el valor global de los daños causados por los delitos informáticos ascenderá a 6 billones de dólares (5.000 millones de euros), el equivalente al producto interior bruto de la tercera mayor economía mundial.
Además, uno de los claros ejemplos de esta capacidad de organización y competencia por parte de los ciberdelincuentes ha sido el año 2020, con motivo de la pandemia mundial del covid-19 y los cambios que esta ha traído consigo a nivel de formas de trabajar y vivir. Rápidamente, el cibercrimen detectó y exploró una serie de nuevas fragilidades surgidas en ciudadanos y empresas, pasando a depender mucho más de los medios digitales. Pero no todo son malas noticias. Personalmente (y porque soy un optimista por vocación), creo que existe hoy, tanto en la sociedad como en las empresas, una mayor concienciación y percepción de este riesgo. Y este es el primer paso para estar más preparados como individuos y como empresas.
¿Cómo debemos protegernos cada uno de nosotros?
El principal mensaje es estar alerta a todo lo que nos llega a través de los distintos canales digitales que consumimos (o como dirían nuestros abuelos, "cautela y caldos de gallina…". El principal cuidado que debemos tener como ciudadanos es saber quién tenemos al otro lado de la pantalla, es decir, que se trate de la persona que realmente creemos. Tanto si hablamos de un e-mail, como si se trata de un SMS, una llamada telefónica o una web de Internet a donde somos redirigidos, debiendo confirmar siempre la dirección.
Incluso aunque conozcamos a la persona con la que estamos interactuando, recordemos que siempre puede tratarse de un delincuente informático que se ha apoderado de la entidad digital de nuestro interlocutor. Si nos encontramos ante una petición inusual o si esa persona utiliza expresiones poco comunes, no debemos sentir vergüenza a la hora de confirmar la veracidad de la petición. Solo hay que coger el teléfono y llamar a dicha persona para comprobar.
Recomiendo también realizar cursos online y gratuitos siempre hay disponibles a través del Centro Nacional de Ciberseguridad – Ciudadano Ciberseguro y Ciudadano Ciberinformado. Son herramientas óptimas que nos preparan para los riesgos del mundo digital, una especie de aulas de "estudio del medio y la ciudadanía" para una sociedad digital.
¿Cómo deben protegerse las empresas?
Los delitos informáticos han venido para quedarse en la vida de las empresas y los ciberdelincuentes no escogen sectores, geografías, tamaños u otros factores que puedan atenuar el riesgo de ser atacados. Los delincuentes buscan a las empresas como potencial fuente de lucro y como elementos orgánicos que contienen varios riesgos susceptibles de ser explotados. Además, no buscan solo las fragilidades tecnológicas, sino a las propias personas y procesos implicados en las operaciones. Las empresas deben, por ello, abordar el tema de una forma pragmática y orientada al riesgo al que están expuestas, de modo que garanticen su resiliencia cibernética. Desgraciadamente, el sector de la ciberseguridad todavía se basa mucho en la idea de que basta con invertir en la solución A o B para proteger y evitar su exposición a los riesgos cibernéticos. Esta es una idea falsa que conviene desmitificar. No existen soluciones tecnológicas 100 % seguras. Al igual que todas las personas (como humanos que son) cometerán errores y al igual que los procesos de la empresa estarán siempre expuestos a riesgos cibernéticos (dado que los cibercriminales están siempre inventando nuevas formas de quebrarlos). Las empresas deben, por ello, invertir en la protección de tres vertientes: tecnología, personal (mediante formación y concienciación) y procesos. Pero no debe quedar solo ahí, tienen que invertir en la capacidad de anticiparse a los riesgos cibernéticos (por ejemplo, probando y evaluando regularmente los mecanismos de protección) y, tanto o más importante, crear una capacidad de respuesta y recuperación a incidentes de ciberseguridad para garantizar que en el día en que los mecanismos de protección fallen, la empresa sea resiliente y logre resistir y recuperarse de los diferentes ataques cibernéticos que pueda sufrir.
¿Cuál debe ser la prioridad para todos?
En un momento en el que todos (personas y empresas) son cada vez más dependientes de lo digital en su vida cotidiana (y que en buena parte la simplifican), es importante concienciarse de que esas oportunidades y desarrollo tecnológico llevan consigo también una serie de riesgos. Sin embargo, si tomamos una serie de medidas de precaución básicas como ciudadanos y nos preparamos para este riesgo como empresas, podemos reducir de manera significativa el impacto del cibercrimen y las ciberamenazas y contribuir a una sociedad digitalmente más resiliente.
Edgar Oliveira
Head of Cyber Security, Galp
¿Un Internet más seguro?
Todos y cada uno de nosotros estamos cada vez más concienciados de los patrones fraudulentos y tentativas de robo de información, por ejemplo, a través de la ingeniería social, así como de la manera de actuar para evitar caer en las artimañas de los ciberdelincuentes.
La actividad maliciosa en Internet ha aumentado aumentar teniendo en cuenta la facilidad con la que se llevan a cabo este tipo de ataques, a bajo coste y con un retorno elevado. Un buen ejemplo de ello y de la capacidad de adaptación y creatividad de los ciberdelincuentes es el aprovechamiento de la actual crisis pandémica para explorar los miedos, fragilidades e inseguridades de las personas para lanzar campañas a gran escala. Nos corresponde a cada uno de nosotros respetar determinados principios, poniendo en práctica los conocimientos adquiridos y haciendo así más seguro el uso de Internet.
¿Cómo debemos protegernos cada uno?
Una de las principales recomendaciones para protegernos en Internet es teniendo en cuenta la célebre expresión "There ain't no such thing as a free lunch". Los delincuentes informáticos conocen las vulnerabilidades del ser humano, que no se resiste a un premio, un viaje, una vacuna o una cura para el Covid-19, compartiendo a cambio información a través de una suscripción temporal a un servicio. Estos son “cebos” habituales que usan los ciberdelincuentes para atraer, comprometer y lograr sus fines. Es necesario reflejar, analizar y ponderar antes de tomar decisiones, para evitar sus consecuencias. Si algo parece demasiado bueno para ser verdad, cabe aplicar la expresión “If something is free, you are the product".
¿Cómo deben protegerse las empresas?
Las empresas deben, por un lado, conocer todo su ecosistema digital, identificando riesgos asociados a esa exposición y reduciendo las fragilidades que puedan ser exploradas por los atacantes a los sistemas y a la información. Por otro lado, deben adoptar medidas de protección adecuadas ante los principales patrones de ataque utilizados por los ciberdelincuentes, como el e-mail o el acceso de los empleados a las páginas web. No menos importante es capacitar a los empleados de una empresa en aspectos de ciberseguridad, de modo que sean siempre conscientes de los peligros que acechan en la red y así protegerse ellos mismos y proteger de paso a la empresa, actuando como una extensión de los equipos de ciberseguridad.
¿Cuál debe ser la prioridad para todos?
Si todos desempeñamos nuestro papel y logramos ser diseminar las mejores prácticas de ciberseguridad, al final del día contribuiremos a ese gran esfuerzo colectivo que es aumentar la seguridad en Internet. Las instituciones educativas y las empresas tienen también un papel fundamental a la hora de incorporar temáticas de ciberseguridad a sus programas, formando y reforzando este importante aspecto en la lucha desigual contra los ciberdelincuentes.
Jorge Afonso
Data Officer, Galp
¿Un Internet más seguro?
A intensificación y la aceleración digital, así como la continua necesidad de reinventar los negocios, sitúan los datos en el centro del ciclo de valor de las empresas. Son estas las que permiten introducir inteligencia en la forma de interactuar con el exterior, cómo trabajamos y utilizamos los recursos, cómo tomamos decisiones informadas y con un alto impacto.
A medida que los datos asumen un papel cada vez más crítico para la supervivencia del tejido empresarial, estos se convierten a su vez en una fuente apetecible, muy propensa a violaciones, ya sean ataques externos, pérdida de datos o incluso como consecuencia de un uso indebido o divulgación “involuntaria”. Pero sea cual sea el motivo, es innegable la necesidad de garantizar su protección y de preservar su confidencialidad, disponibilidad e integridad.
Incluso en un ambiente corporativo (y aparentemente seguro), es muy sencillo exponer los datos y aumentar los riesgos asociados a su uso. Bien sea a través del uso de Internet para realizar búsquedas de soporte a la actividad, bien sea mediante aplicaciones o apps de gestión de contactos o documentos. O incluso en situaciones en las que los empleados utilizan las mismas credenciales tanto en un contexto de trabajo como en un contexto personal. Todos esas “huellas digitales” se pueden girar “en contra del hechicero” y ser usados indebidamente para intentar obtener información sensible que pueda causar daños severos (y muchas veces irreversibles) a las empresas a diferentes niveles. Y todo ello, debido en gran parte a la masificación de Internet, lo que crea desafíos aún mayores en el ámbito de la protección de dados. La frontera entre el mundo profesional y el personal es cada vez más frágil. Y resulta muy difícil controlar esa realidad, ya que las personas acaban compartiendo datos en Internet, en plataformas, o acceder a páginas de juegos y redes sociales, por ejemplo. Unas webs que, de entrada, recopilan los datos de cada usuario. Y en estas situaciones es muy difícil saber lo que se hará con esos datos y para qué fines serán usados.
¿Cómo debemos protegernos cada uno?
La actual realidad social y económica ha acelerado toda la transformación digital en el mundo, llevando a un crecimiento exponencial de las transacciones de datos online. Y sobre esta materia hay un activo valiosísimo, indiscutible para cualquier empresa: los datos de sus clientes. El uso de los mismos para fines comerciales y de marketing nunca ha sido tan importante como en estos momentos, en los que la ventaja competitiva se basa en gran parte en el conocimiento diferenciador que puede extraerse de dicha información.
El potencial de valor de los datos, unido a métodos analíticos y de gestión de información sofisticados, permite a las empresas innovar constantemente y generar insights exclusivos sobre sus clientes. Insights, estos, que permiten anticipar tendencias, observar comportamientos y obtener un conocimiento personalizado y completo del potencial de cada individuo. De este modo, cualquier acción comercial se vuelve más efectiva y con una alta probabilidad de realizarse. Las tecnologías en materia de gestión de información asumen un papel crucial, siendo uno de los pilares esenciales para habilitar estas capacidades, acelerando y automatizando todos los procesos de análisis y extracción de conocimiento relacionados.
¿Cómo deben protegerse las empresas?
El uso de múltiples dispositivos, redes sociales e Internet para una divulgación y promoción más asertivas de productos y servicios, dirigir mensajes a públicos objetivo y, con ello, enriquecer la base de CRM de la empresa, son buenos ejemplos de cómo las fronteras entre el mundo exterior y el interior de las empresas desaparecen rápidamente. Y en un mundo sin fronteras físicas, donde se multiplican las amenazas en la captura o falsificación de estos datos, es fundamental que las empresas implementen mecanismos que permitan salvaguardar la información de sus clientes, ya sea dentro de sus sistemas de almacenamiento interno o bien mediante un enlace al mundo exterior.
En este sentido, es necesario valorar la posibilidad de adoptar plataformas y procesos que garanticen la seguridad, criptografía, anonimización y otros factores para proteger los datos. La legislación también se ha visto reforzada en este sentido, con la entrada en vigor del RGPD, que ha aportado mayor transparencia y la posibilidad de que los clientes decidan qué información pueden usar y qué información no. Pero todo esto es tan solo una parte de la ecuación.
¿Cuál debe ser la prioridad para todos?
En este Día de Internet Seguro, quisiera recordar que la prevención y la responsabilidad de todas las empresas, de todos y cada uno de los profesionales y cada persona o cliente son los mayores aliados en la lucha contra los delitos informáticos. Se trata de un factor clave. La seguridad de los datos sensibles y las fronteras de su uso entre dispositivos a través de Internet nunca fue tan discutida y profundizada como ahora. Y continuará siendo, seguramente, uno de los temas centrales en la agenda estratégica de cualquier empresa digital orientada a los datos. Pero depende mucho de cada uno de nosotros. Tenemos que adoptar comportamientos y acciones responsables en el uso que hacemos de los datos, teniendo mayor conciencia de los riesgos y de los límites asociados, pasando a ser agentes activos en la prevención y en la seguridad de los mismos.
