lunes, 27 de mayo de 2024


Hay dos clases de empresas: las que han sufrido un ataque informático y las que lo van a sufrir. ¿De qué tipo es la tuya?



Si piensas que esto de los ciberataques no va con tu empresa o negocio, siento hacerte despertar. Tu empresa tiene hoy una gran dependencia de su información y de sus sistemas, y, como todas, puede ser blanco de las ciberamenazas.

Según datos del Instituto Nacional de Ciberseguridad (INCIBE) el año pasado se registraron más de 57.000 ataques dirigidos a empresas y comercios. Los incidentes en los que se logró instalación de software malicioso, virus, se consiguió el secuestro de datos y el robo de credenciales de acceso aumentaron en un 25%.

Aquellas empresas que han sufrido un incidente de seguridad se apresuran, si han sobrevivido al mismo, a adoptar medidas de seguridad para evitar que se repita. Han comprobado el coste de sufrir un ciberataque y bajo ningún concepto están dispuestas a que se repita.

Las que no lo han sufrido -supongamos que la tuya- muchas veces viven con una falsa sensación de invulnerabilidad, de que esto de los ataques informáticos les pasa a los bancos, a las grandes multinacionales y que nadie va a ir a por tu empresa.

En la era digital, la seguridad informática se ha convertido en una prioridad estratégica para cualquier empresa. La creciente dependencia de la tecnología para operaciones diarias, almacenamiento de datos y comunicación ha aumentado exponencialmente los riesgos de seguridad informática.

Entre la cada vez más larga lista de riesgos a los que se enfrenta cualquier empresa o profesional podemos destacar:

1. Ciberataques: Una amenaza constante

a) Malware

El malware, o software malicioso, es una de las amenazas más comunes y variadas que enfrentan las empresas. Incluye virus, gusanos, troyanos, ransomware y spyware. Estos programas pueden infiltrarse en los sistemas de la empresa a través de correos electrónicos fraudulentos, sitios web comprometidos o descargas de software aparentemente inocuas.

El denominado ransomware es particularmente devastador, ya que secuestra los datos de una empresa y exige un rescate para su liberación. Un ejemplo notable fue el ataque de ransomware WannaCry en 2017, que afectó a organizaciones en todo el mundo, incluidas grandes corporaciones y sistemas de salud, demostrando el potencial de daño financiero y operacional de estos ataques.

b) Phishing

El phishing es una técnica de ingeniería social donde los atacantes se hacen pasar por entidades confiables para engañar a los empleados y obtener información confidencial, como contraseñas o detalles de tarjetas de crédito. Los correos electrónicos de phishing pueden parecer legítimos y, a menudo, incluyen enlaces o archivos adjuntos que instalan malware o redirigen a sitios web falsos para robar credenciales.

c) Ataques DDoS

Los ataques de Denegación de Servicio Distribuida (DDoS) sobrecargan los servidores con tráfico masivo, haciendo que los servicios en línea de la empresa sean inaccesibles. Estos ataques pueden provocar pérdidas significativas de ingresos, dañar la reputación de la empresa y afectar la confianza de los clientes.

2. Vulnerabilidades Internas

a) Empleados insatisfechos o descuidados

Los empleados pueden representar un riesgo significativo para la seguridad de la empresa, ya sea por negligencia o malicia. Un empleado descontento con acceso a datos sensibles puede causar daños intencionados, mientras que los errores no intencionados, como compartir contraseñas o descargar archivos no seguros, pueden crear vulnerabilidades explotables por atacantes externos.

b) Acceso inadecuado

Un control deficiente de acceso puede permitir que empleados no autorizados accedan a información sensible. La falta de implementación de principios de privilegio mínimo, donde los empleados solo tienen acceso a los datos necesarios para sus funciones, puede facilitar fugas de información y otros incidentes de seguridad.

3. Amenazas a la infraestructura y datos

a) Infraestructura obsoleta

La infraestructura tecnológica desactualizada o sin soporte puede ser una puerta abierta para los atacantes. Los sistemas operativos, software y hardware obsoletos a menudo tienen vulnerabilidades conocidas que los atacantes pueden explotar fácilmente si no se aplican las actualizaciones y parches necesarios.

b) Almacenamiento en la nube

Si bien el almacenamiento en la nube ofrece muchas ventajas, también presenta riesgos de seguridad. Las empresas deben asegurarse de que sus proveedores de servicios en la nube ofrezcan robustas medidas de seguridad y cumplimiento con regulaciones. La falta de encriptación y controles de acceso adecuados puede poner en riesgo datos sensibles almacenados en la nube.

4. Cumplimiento y regulaciones

Las empresas deben cumplir con una variedad de regulaciones de protección de datos, como el Reglamento General de Protección de Datos (GDPR) en Europa. El incumplimiento de estas regulaciones puede resultar en multas significativas y daños reputacionales. Las políticas de seguridad inadecuadas y la falta de procedimientos de auditoría y monitorización pueden dificultar el cumplimiento de estas normativas.

5. Impacto financiero y reputacional

El impacto de una brecha de seguridad puede ser devastador tanto financieramente como para la reputación de la empresa. Los costos directos incluyen la respuesta al incidente, la reparación de sistemas y la implementación de medidas de seguridad adicionales. Los costos indirectos pueden ser aún más severos, incluyendo la pérdida de clientes, daños intangibles al prestigio de la empresa y daños a la marca.

6. Medidas de mitigación y mejores prácticas

a) Educación y capacitación

Capacitar a los empleados sobre las prácticas de seguridad y concienciarlos sobre las amenazas actuales es crucial. Los programas de formación deben cubrir el reconocimiento de correos electrónicos de phishing, la importancia de las contraseñas fuertes y la política de la empresa sobre el uso seguro de dispositivos y redes.

b) Implementación de tecnología de seguridad

Las empresas deben invertir en tecnologías avanzadas de seguridad como firewalls, sistemas de detección y prevención de intrusiones (IDS/IPS), y soluciones de cifrado para proteger datos en tránsito y en reposo. Además, la adopción de autenticación multifactor (MFA) puede añadir una capa adicional de seguridad para el acceso a sistemas críticos.

c) Evaluaciones y auditorías regulares

Realizar evaluaciones de vulnerabilidades y auditorías de seguridad regularmente ayuda a identificar y remediar fallas antes de que sean explotadas por atacantes. Las pruebas de penetración y las auditorías de cumplimiento pueden proporcionar una visión clara del estado de la seguridad de la empresa y garantizar que se cumplan las normativas vigentes.

d) Políticas de gestión de incidentes

Desarrollar y mantener un plan de respuesta a incidentes bien definido puede minimizar el impacto de una brecha de seguridad. Este plan debe incluir procedimientos para la identificación, contención, erradicación y recuperación de incidentes de seguridad, así como la comunicación adecuada con las partes interesadas internas y externas.

¿Y qué puedes hacer hacer para ser víctima de estas amenazas sin volverte loco y sin afectar al normal funcionamiento de la empresa?

No hacer nada supone actuar como el avestruz que esconde la cabeza entre las plumas. No vemos la amenaza pero nos chocaremos con ella tarde o temprano.

Nuestra propuesta, Ciberseguridad 365, es un servicio de ciberseguridad gestionada que analiza y evalúa de forma continua todos los aspectos que entran en juego para ofrecer el máximo nivel de protección. Este servicio, con un coste muy asequible, se contrata en función del número de equipos a proteger, desde un dispositivo.

Nos encargamos de todo, desde medidas de seguridad preventivas a reactivas. Implementamos en tu empresa un sistema de vigilancia para la defensa de tus activos digitales frente a amenazas de seguridad informática. Nuestro servicio combina tecnología de vanguardia con el equipo de expertos en ciberseguridad.

Para ofrecerte la máxima protección el servicio se plantea sobre cuatro ejes principales:

  • Protección: Análisis y detección de ciberataques, evaluación del comportamiento de ciberamenazas tanto conocidas como nuevas. Utilizamos herramientas y técnicas avanzadas para identificar patrones maliciosos, analizar el comportamiento de malware y desarrollar estrategias efectivas de prevención y mitigación contra posibles ataques de piratería informática.
  • Monitorización: Monitorización de la red, dispositivos, archivos y usuarios mediante herramientas avanzadas para analizar el tráfico y el comportamiento malicioso. Detectamos amenazas sobre posibles ciberamenazas, proporcionando una vigilancia continua para garantizar la seguridad de datos y equipos frente a posibles riesgos de seguridad.
  • Copias de seguridad: Implementación de estrategias de copias de seguridad para la protección de los datos frente a ciberataques. Programación, almacenamiento y restauración de los backups de manera eficiente, garantizando la continuidad del negocio y minimizando las interrupciones en la actividad, incluso después de un posible ataque de hacking como ransomware.
  • Formación: Formación para la adopción eficaz en tu organización de soluciones de ciberseguridad. Concienciación de los usuarios en materia de seguridad informática para complementar la solución, brindando habilidades de "cortafuegos humano" mediante la educación, fortaleciendo así la seguridad a través de buenas prácticas y comportamientos conscientes.

Si quieres adelantarte al momento en que se produzca un incidente de seguridad y te haremos una propuesta para ofrecer la máxima seguridad para los datos y sistemas de tu negocio. Podrás tener la tranquilidad de contar con la mejor protección por menos de lo que imaginas.

Si esperas a que se produzca el ataque, seguramente ya será tarde. Tú decides.

Te invito a conocer más en detalle cómo te protege la solución Ciberseguridad 365 desde aquí.

lunes, 25 de marzo de 2024

Una lección a aprender


La noticia bomba del fin de semana ha sido la prohibición de Telegram en España debido a las denuncias de varias cadenas de televisión acusando a la plataforma de mensajería de facilitar la realización de delitos contra la propiedad intelectual. 

La Audiencia Nacional ordenó a los principales operadores de acceso a Internet que bloquearan el acceso a Telegram dado que la empresa, que tiene su sede en Dubai (aunque su cerebro es un empresario ruso, para más inri), no respondía a la solicitud de explicaciones pedidas por el magistrado asignado al caso, Santiago Pedraz. 

Por si no lo sabes, Telegram es una aplicación de mensajería instantánea similar a WhatsApp. Para muchos, entre los que estoy, no es la principal aplicación de comunicación, pero es un plan B si un día WhatsApp falla. 

La noticia salta también coincidiendo en el tiempo con noticias sobre la regulación en Europa de la Inteligencia Artificial y con un amplio debate sobre la normativa sobre privacidad que las compañías (sobre todo pensando en los grandes actores como Google, Meta, WhatsApp...) deben cumplir. 

En ese sentido, Telegram ha ignorado los requerimientos de la Justicia y seguramente se ha querido hacer una llamada de atención. "Si quieres operar en Europa, debes cumplir las normas europeas", parece ser el mensaje. Porque también hay grupos que proporcionan acceso a contenidos ilegales mediante Whatsapp y la prohibición no ha caído sobre la filial de Meta (probablemente porque ya están colaborando con la Justicia cuando hay una petición formal de proporcionar información o bloquear servicios que bordean o, directamente, se saltan las leyes). 

"Si quieres operar en Europa, debes cumplir las normas europeas", parece ser el mensaje.

Sin ser jurista, desde mi punto de vista, la decisión de prohibir Telegram es totalmente desproporcionada por varias razones: la primera, que hay unos derechos, denominados fundamentales, que están por encima de otros. En España se consideran derechos fundamentales, por ejemplo, la comunicación libre, la libertad de expresión y o el derecho a la información. 

Prohibir una herramienta como Telegram por peticiones de empresas privadas que se sienten (seguramente con razón) perjudicadas por ciertos comportamientos de algunos individuos es matar moscas a cañonazos. Se perjudica así a los millones de usuarios de Telegram y se les coartan sus derechos por el delito de unos pocos. 

En mi época de estudiante, si nos dejaban solos en clase y alguien armaba barullo, venía el profesor de turno y si no quería complicarse la vida, ale, toda la clase castigada. Pues aquí el juez parece haber optado por aplicar la misma táctica: qué en Telegram alguien piratea, pues bloqueamos Telegram. Aunque puede seguir aplicando la norma: que por el móvil se hacen estafas (y muchas) pues bloqueamos la telefonía móvil; que hay web fraudulentas, con contenidos pedófilos, racistas, face news... pues prohibimos los navegadores web y el acceso a toda la web. 

En mi época de estudiante, si nos dejaban solos en clase y alguien armaba barullo, venía el profesor de turno y si no quería complicarse la vida, ale, toda la clase castigada.

Además hay que tener en cuenta que muchas empresas desarrollan actividades totalmente legítimas a través de Telegram: cursos, grupos de debate, foros educativos, atención al cliente, conversaciones dentro de empresas. A todas estas actividades se les crea un perjuicio por el que luego podrían pedir ser compensadas.

Afortunadamente, según las últimas informaciones parece que alguien ha aconsejado al juez que se replantee sus medidas, porque una medida así, además de polémica, crea graves perjuicios y seguro que quien quiera, va a seguir encontrando otras formas de realizar sus actividades al margen de la legalidad. 

Pero volviendo al título de este artículo, ¿cuál es la lección que podemos aprender de todo esto? Que debemos analizar la dependencia que tenemos de soluciones tecnológicas de terceros. Muchas empresas se apoyan en herramientas como WhatsApp y Telegram para comunicación con clientes y con los propios empleados. Frente a esto, hay soluciones mucho más profesionales, que además se pueden integrar con el software de gestión, con el CRM, con la web... y que no dependen de terceros para operar. 

Debemos analizar la dependencia que tenemos de soluciones tecnológicas de terceros.

Estas soluciones tienen un coste, normalmente asequible, pero también nos ofrecen seguridad y continuidad. El día que se cae WhatsApp (que también se cae cada cierto tiempo) muchas empresas ven alterada su actividad: no pueden pasar avisos a sus operarios (porque al no haber WhatsApp, también las redes móviles comienzan a saturarse con millones de llamadas por encima del uso habitual), no pueden atender a clientes, no pueden gestionar pedidos... 

Disponer de una herramienta profesional y dedicada a estas funciones, además de proporcionar un imagen de empresa más profesional, puede ser una diferencia con nuestra competencia. No hace falta esperar a que surjan problemas para valorar si disponer de una herramienta propia puede ser interesante. Que cada cual valore qué es más importante.

lunes, 4 de marzo de 2024

¿Sirve para algo firmar electrónicamente las facturas?



En los últimos tiempos se han dado bastantes casos de una estafa denominada Man in the Middle, que consiste en que alguien intercepta la comunicación entre emisor y receptor para alterarla y lograr su propio beneficio.

Esto, que suena muy teórico, se plasma en la vida real en estafas que muchas empresas han sufrido y de la que tú o tu empresa podéis ser víctimas en cualquier momento.

Pero, ¿en qué consiste esta estafa?

En unos años -menos de los que esperas, que el tiempo vuela- todo intercambio de facturas será realizado de forma electrónica y automática entre emisor y receptor, informando a Hacienda en tiempo real y teniendo que acreditar la identidad de todos los actores que intervengan en el proceso.

Pero hoy en día, la mayoría de empresas envían sus facturas o piden a sus clientes que las descarguen mediante un fichero PDF, que muestra una apariencia similar a la factura en papel de toda la vida.

Y en este proceso es donde se produce la estafa.

El estafador logra interceptar un correo electrónico en el que tu empresa envía una factura a un cliente, edita el PDF, para poner por ejemplo sus propios datos bancarios en los datos de pago, y lo envía al cliente haciéndose pasar por tu empresa.

Tu cliente recibe un correo exactamente igual a tu correo original, con tu firma, tu logotipo, tus datos, tus comentarios... e incluso viene de tu dirección de correo electrónico habitual. Es decir, no tiene ningún motivo para pensar que ha ocurrido algo extraño y que alguien ha intervenido modificando algún dato.

Así que, llegado el momento del pago, tu cliente realiza el pago al número de cuenta indicado en la factura, que ya no es tu cuenta sino la del estafador.

Cuando pasa el tiempo y no recibes el pago de tu cliente, comienzas a tirar del hilo, hablas con tu cliente, quien te asegura que ha pagado y al revisar la factura que recibió se comprueba que el número de cuenta que aparece no es el tuyo.

Para recibir el pago, los estafadores normalmente habrán abierto una cuenta con documentación falsa o a nombre de personas en situación social marginal, que aportan su documentación auténtica, y en cuanto reciben un pago, lo transfieren múltiples veces para que sea imposible seguirlo.

Se han dado muchos casos de esta estafa tanto en empresas como en entidades públicas. Basta con que busques "Estafa man in the middle facturas" en Google y encontrarás más de 43.000 resultados, muchos de ellos de estafas reales cometidas en España.

Pero, ¿cómo garantizar al cliente que la factura es legítima?

Hoy no puedes estar seguro de que un e-mail viene de quien dice venir o que quien te llama es quien aparece en la pantalla del móvil. Incluso es posible que alguna vez recibas un e-mail que parece enviado desde tu propia dirección electrónica. Incluso se están dando casos de spoofing telefónico, que consiste en que recibes una llamada de teléfono, por ejemplo, desde el número de tu banco, pero es alguien que se hace pasar por ellos, aunque en la pantalla aparece el número legítimo de la entidad.

Todos estos casos de suplantación de identidad se basan en agujeros de seguridad que tienen tanto los servidores de correo como las centrales telefónicas. Pero estos sistemas no están a tu alcance para mejorar su seguridad sino que se trata de los equipos que usan los proveedores de Internet o de telefonía. Hay que suponer que las empresas proveedoras de estos servicios han tomado las medidas oportunas para evitar que esto pase, pero no siempre es así y a veces no reaccionan con la suficiente rapidez cuando se detecta un agujero de seguridad. O puede que pase tiempo desde que los hackers encuentran la forma de aprovechar estas puertas traseras y alguien se da cuenta de que esto está ocurriendo.

La forma más efectiva de garantizar que un PDF no ha sido alterado es firmarlo electrónicamente con un certificado digital. Esta operación, que se puede hacer en segundos, garantiza que el documento que recibe tu cliente no ha sido alterado. Basta con indicar al cliente que compruebe la situación de la firma electrónica en el PDF.

Un PDF legítimo que no ha sido alterado mostrará al abrirlo un mensaje indicando que la firma es válida, como éste:


Y si pedimos más información, nos dará detalles de la firma y, sobre todo, nos dice que el documento no ha sido alterado desde que se firmó:

Incluso si pulsamos sobre el botón "Propiedades de la firma... " nos indicará más datos como la fecha y hora de la firma o el emisor del certificado con el que se ha firmado.

Sin embargo, si el PDF ha sido alterado desde que lo firmamos, al abrirlo recibiremos un aviso como éste:

Lo que indica que el documento ha sido alterado después de haberlo firmado digitalmente.

No es necesario contratar ningún servicio de pago para firmar documentos. Hay herramientas gratuitas como el Adobe Acrobat Reader que nos permiten firmar un documento con el certificado digital emitido por la FNMT o por otra entidad de confianza.

También hay herramientas que permiten firmar en lote múltiples documentos como Xolido Sign. Y si lo que buscas es automatizar la firma de muchos documentos la solución es una herramienta de firma como VIDsigner, que es de pago, pero con un coste muy, muy inferior, tanto económico como de reputación, a las perdidas que puedes sufrir en caso de ser víctima de la estafa de Man in the Middle.

Para cualquier cosa, a tu disposición:

fernando@artaiz-asesoria.es

645 541 842