Spoiler: en caso de duda, no hagas clic. Así de claro y contundente fue Roger Sales, jefe de la Región Policial Virtual de los Mossos d'Esquadra, durante la jornada Ciberataques. El precio de la modernización tecnológica de las empresas catalanas, impulsada por la Cambra de Terrassa. Una iniciativa que ha servido para concienciar al tejido empresarial catalán sobre los riesgos de la ciberdelincuencia y el impacto que tiene en las compañías, sean pequeñas o grandes, en un escenario de digitalización constante. Todo el mundo trabaja en la nube o en red y, por lo tanto, todos son víctimas potenciales. Los datos son el gran botín de unos ciberdelincuentes que también pueden paralizar completamente cualquier negocio.
Más allá de todas las cuestiones tecnológicas y de ciberseguridad, los ponentes han insistido en la importancia del comportamiento individual y una actitud de desconfianza para evitar cualquier ataque. “Lo más importante son las personas. Si nadie hace clic, por muy sofisticado que sea un ataque, no tendrá éxito”, ha insistido Víctor Villalobos, especialista en Operaciones de Seguridad de GFT.
Talamàs (Cambra de Terrassa): "No sabremos qué día sufriremos un ciberataque, es una amenaza latente"
"Todos estamos sometidos al hecho de que no sabemos cuándo sufriremos un ciberataque, es una amenaza latente", ha advertido Ramon Talamàs, presidente de la Cambra de Terrassa.
8.000 millones de ciberataques
La Generalitat de Catalunya registró 8.000 millones de ciberataques durante 2023, de los cuales 2.600 se materializaron y unos ochenta fueron críticos. Estas son las cifras que ha ofrecido Óscar Salvador, jefe de la Unidad de Respuesta Activa de la Agencia Catalana de Ciberseguridad. Un correo, un mensaje o una llamada puede ser la puerta de entrada de un ciberataque.
“Hay un aumento brutal de la ciberdelincuencia. Cada vez tienen más capacidades, son más y están más focalizados en el ámbito local”, ha advertido Salvador, quien ha señalado que cada vez las pequeñas y medianas empresas son más atractivas para los ciberdelincuentes. En cuanto a los ciberataques, todo puede empezar con el phishing, que es una suplantación (que se realiza habitualmente a través de un correo o un SMS) para conseguir una contraseña o un dato crítico. A partir de ahí, el mismo usuario abre la puerta a todos sus datos.
“Las credenciales que consiguen las usarán más adelante para robarnos datos y lanzar un ataque más fuerte”, ha advertido el miembro de la Agència Catalana de Ciberseguretat.
El poder del usuario
El jefe de los Mossos ha detallado que una de cada diez empresas ha sufrido un ciberataque, pero que todo el mundo ha recibido un ataque en forma de mensaje. Y ha insistido en la importancia de la formación de los empleados: “Podemos poner muchas capas de seguridad, pero quien está detrás de recibir un correo es una persona”. Desconfiad de todo, revisad en detalle el origen del correo o mensaje, el destino de los supuestos enlaces conocidos, desconfiad de los mensajes que se presenten como urgentes... Son solo algunas de las actitudes que ha mencionado.
“Existen muchos riesgos, la sobreexposición a la red incrementa los vectores de ataque. Pero nosotros marcamos la diferencia; una persona con buenos hábitos puede reducir la posibilidad de recibir un ataque”, ha explicado Sales.
Cambia la contraseña cada tres meses
Más allá de esta actitud de desconfianza, hay otros comportamientos imprescindibles para reducir los riesgos. Y las contraseñas son fundamentales. Roger Sales lo ha resumido con claves diferentes para cada cuenta, que tengan al menos 12 caracteres, combinen mayúsculas, minúsculas y símbolos, y se cambien cada tres meses. Además, establecer una doble verificación, ya sea en el acceso a cualquier espacio digital o para verificar un correo o una llamada sospechosa.
Antivirus, firewall, cifrado de datos o prohibir las wifis públicas son medidas que se pueden tomar a escala empresarial
Además de tener bien presentes estas pequeñas acciones al alcance de todos, los ponentes también han señalado la importancia de preparar a la empresa frente a los ciberataques. Planes de contingencia, copias de seguridad aisladas, control de dispositivos y extrabajadores, antivirus, cortafuegos, cifrado de datos o prohibir el uso de redes wifi públicas son medidas que se pueden tomar a nivel empresarial.
Todo ello para evitar ser una víctima fácil de un ciberataque. Y, en caso de que ocurra, el jefe de los Mossos ha recomendado denunciar el caso y no pagar la extorsión: “No tenemos ninguna garantía de que nos desencripten los datos o que no los difundan”. “Si pagas, sabrán que lo volverás a hacer”, ha concluido.