Luis González, experto en ciberseguridad: «As políticas de seguridade poden ser cousas tan sinxelas como non deixar apuntada a clave nun pósit»
TENDENCIAS
O Principal Cloud Architect da firma Keepler achega as claves para protexer os datos dunha empresa en caso de ciberataque e dá algúns consellos aos usuarios
27 ene 2023 . Actualizado ás 11:07 h.«No 2021, o 40% de todos os negocios do mundo foron afectados por algún tipo de ransomware», expón Luis González, Principal Cloud Architect da empresa Keepler Data Tech. A cifra soa alarmante. Con todo, as consecuencias destes ciberataques poden variar en función do preparada que estea unha corporación para afrontalos. «As políticas de seguridade poden ser cousas tan sinxelas como non deixar apuntada a clave nun pósit», engade o experto en ciberseguridad. De aí, a importacia de seguir boas prácticas informáticas como as que sinalan en Keepler, onde achegan unha serie de claves que axudan a protexer os datos corporativos da actuación dos ciberdelincuentes.
Os ataques de ransomware consisten no secuestro de datos dunha empresa co obxectivo de esixir un rescate e así obter un beneficio económico. «Se non pagas o rescate, perdes a información, a menos que teñas un respaldo ou back-up», explica Luis González. Traducido á linguaxe coloquial, trátase de unha sorte de copia de seguridade: «Fanse fotos de todo tipo de datos, bases de datos, sistemas internos… E almacénanse historificados. Así, podes restaurar a información».
Cando o pasado 11 de xaneiro un fallo informático paralizou todo o tráfico aéreo dos Estados Unidos, unha das causas que se investigaron foi un posible ciberataque. Aínda que logo se descartou esta posibilidade, Luis González advirte que as bandas de cibercriminales poderían «sin duda» chegar a paralizar a actividade dunha empresa ou institución. «Os sistemas críticos, como un aeroporto ou un banco, ademais de back-ups teñen redundancia. É dicir, se se cae un sistema, o outro sistema que está en modo piloto comeza a interactuar. No caso de que haxa ransomware, non se perde información, pero poida que durante un curto período de tempo, unhas horas ou uns minutos, haxa perda de servizo. A empresa deixa de funcionar ata que se restaurasen todos os respaldos que se fixeron dos datos».
Con todo, o método non é tan sinxelo como crear copias de seguridade. Se un ciberdelincuente ten acceso aos datos dunha empresa, podería obter beneficios a través doutras fórmulas. «Normalmente nas empresas hai dous tipos de información que se considera altamente sensible: a información estratéxica e interna —deseños de fabricación, patentes...— e a información que está protexida por algunha lei que implique unha seguridade extra sobre os datos persoais, como as GDPR (Regulamento Xeral de Protección de Datos da Unión Europea) ou a LOPD (Lei Orgánica de Protección de Datos Persoais e garantía dos dereitos dixitais)», explica Luis González.
O segundo grupo inclúe información persoal de clientes, como nomes, direccións ou claves. «Cando se producen este tipo de roubo de datos, normalmente os cibercriminales fan ataques individuais aos usuarios. Poden crear campañas de spam ou de phishing facéndose pasar por a empresa para obter datos bancarios ou algo que lles poida dar beneficios económicos», explican desde Keepler. Un dos exemplos máis recentes foi o ciberataque sufrido por Twitter este mes de xaneiro, no que se filtraron os datos de máis 200.000 usuarios.
As catro craves de Keepler
Xa que este tipo de ataques de cando en cando son evitables e multiplícanse co paso do tempo, desde Keepler guindan catro craves coas que afrontar o desafío da seguridade no almacenamento, tratamento e explotación de datos. O primeiro paso é contar con un catálogo exhaustivo de toda a información que hai na empresa: «Ter identificados todos estes datos, onde están, quen é o seu responsable e que teñan definidas políticas de back-up ».
A segunda e a terceira clave son realizar un cifrado da información sensible e implantar unha xestión correcta das claves de acceso. «É dicir, se as nosas claves están cifradas nunha base de datos, que ninguén poida obter esa clave de ningún xeito, nunca. Ou se hai un contrato ou documento sensible, que esa información a custodien e só teñan acceso as persoas que deban ver ese documento», explica o experto en ciberseguridad.
Para rematar, as empresas deben ocultar ou eliminar a información persoal a través de técnicas de desidentificación, anonimización, tokenización ou seudonimización. Luis González pon como exemplo aqueles proxectos, como pode ser unha análise de datos, que se contratan a provedores externos: «Moitas veces para facer análise globais, con big data por exemplo, non é necesario saber o nome, o apelido, o DNI e o teléfono dunha persoa. Con ter datos máis xenéricos é suficiente. É recomendable que a información que non sexa útil para a análise, pero que si pode ser perigoso que se libere maliciosamente, ocúltese ou se elimine mediante estes procesos».
Estes pasos permiten xestionar a seguridade da rede, o cifrado e a seguridade física, o proceso de autorización e os dereitos de acceso, así como manter o principio de mínimo privilexio, que permite acceso por usuario só a aquelas funcións estritamente necesarias para desempeñar unhas responsabilidades concretas.
Política security first
Outro dos métodos que recomendan en Keepler e que xa implantaron nos seus proxectos é a política security first. «Trátase simplemente de facer un proceso de mellora continua, de revisión dos teus activos, xa sexa con ferramentas que analicen tráfico, que poidan detectar comportamentos estraños nunha rede ou que identifiquen vulnerabilidades nos paquetes de software que se instalan, e levar a cabo unha evolución continua das ferramentas para que nunca queden obsoletas e estean sempre actualizadas. É como pór a un garda de seguridade inspeccionando as persoas que entran nun edificio. Un sistema continuo de vixilancia e protección dos sistemas informáticos», explica Luis González.
O ideal sería implantar esta política desde que se empeza a desenvolver unha aplicación ou ferramenta, pero o experto asegura que normalmente se pode implantar naquelas que xa foron creadas con anterioridade: «Dunha ou outra forma, pódese mellorar a seguridade. Ás veces son pequenas pezas que agregas a esa aplicación, como pondo unha devasa por diante. Mentres actualices os sistemas de xeito continuo e sigas as políticas, deberías poder seguir actualizando e protexendo o software de novos ataques».
Que podes facer os usuarios para protexer os seus datos?
Aínda que a responsabilidade dos datos corresponde ás empresas, os usuarios poden mellorar a seguridade con pequenos xestos. «O primeiro que debemos facer como usuarios é informarnos de cales son os nosos dereitos», di Luis González. Existen organismos, como a OCU, «que se dedican a difundir cales son os teus dereitos e como as empresas están obrigadas a protexer os teus datos persoais cando eles as teñen», engade.
A partir de aí, o usuario debe ter claras dúas premisas. A primeira é utilizar claves fortes: «Longas, que conteñan a maior cantidade de combinación de maiúsculas, minúsculas, caracteres especiais e números». A segunda é activar os sistemas de autenticación multifactor (MFA). «Leva moito tempo funcionando en entidades como bancos. Recibes un SMS cun número ou tes unha aplicación cunha clave temporal dun só uso. Estes sistemas adoitan ser bastante bos para verificar a identidade da persoa».
«Desa forma protéxesche principalmente de ataques de forza bruta, que é cando os atacantes intentan adiviñar a túa clave. Se pos unha clave que é unha palabra moi simple ou con moi poucas letras é moi probable que os atacantes a adiviñen. Se pos unha clave forte e tes unha autenticación multifactor é máis difícil que poidan acceder aos teus datos», explica Luis González.
«O resto da seguridade dos datos que dás unha empresa, páxina web ou portal queda sobre a súa responsabilidade. Esa empresa ten que cumprir coas políticas de seguridade informática, coas distintas leis de protección de datos e coas boas prácticas de provedores onde teñan despregadas as súas estruturas, como poden ser Amazon ou Google», conclúe.
O papel crave xógano as empresas, que se enfrontan ao reto de facer fronte a unha escalada de ciberdelincuencia que, previsiblemente, irá en aumento os próximos anos. «No 2015, pagáronse 24 millóns de dólares en recompensas de ransomware no mundo. No 2016, foron aproximadamente un billón. No 2021, acadáronse 20 billóns de dólares. En só cinco anos, multiplicouse por vinte», expón González. Por iso, desde Keepler insisten na necesidade de seguir as súas claves e aplicar o enfoque de security first . Ás veces, «as políticas de seguridade poden ser cousas tan sinxelas como non deixar apuntada a clave nun pósit».