Los ciberataques a empresas podrían haber aumentado hasta un 2000% desde el año 2018 al 2019, según el informe de IBM “X-Force Threat Intelligence Index 2020”. Por otro lado, Interpol ha alertado en agosto de este año sobre el incremento de casos de ciberataque durante la pandemia.
Alerta especialmente la actividad en contra de empresas e infraestructuras sanitarias. Uno de los casos que han tenido lugar en España es el del Quirón Salud. Cuando entra en juego la salud de los ciudadanos es cuando tomamos conciencia de la relevancia y escalada que puede suponer un ataque a los sistemas informáticos de una infraestructura vital.
A estos ciberataques se suma el espionaje industrial llevado a cabo por Gobiernos y Farmacéuticas a otras empresas y laboratorios del sector. Ya en julio de 2020 el periódico digital “La Información” lanzaba el siguiente titular: “La vacuna contra la Covid amenazada por el ‘ciberespionaje’ farmacéutico”.
Cualquier empresa puede ser víctima de ciberdelincuentes a través de distintas y refinadas técnicas, cada vez más adaptadas al comportamiento de los usuarios.
En contadas ocasiones la respuesta al ciberataque es la correcta. Por lo general, las decisiones tomadas en torno a ella no son las más adecuadas.
Ciberataques y ciberriesgos a los que se enfrentan las empresas.
Internet y la creciente digitalización del mundo empresarial abren nuevas líneas de negocio, lo que indirectamente conlleva la aparición de riesgos que se deben conocer, prevenir y gestionar. Para exponer esta realidad de una forma más cercana, debemos diferenciar estos dos conceptos clave:
- Un ciberataque puede definirse en el intento malintencionado ejecutado por parte de un individuo o grupo organizado, por el cual se puede irrumpir en los sistemas de información de un objetivo. Por lo general, el atacante busca algún tipo de beneficio, ya sea económico o reputacional.
- El ciberriesgo expone las amenazas y peligros derivados de la utilización de nuevas tecnologías en el ámbito empresarial, siendo la red un canal de información y comunicación habitual en el día a día de una compañía o entidad. Aquí, lo importante es conocer los riesgos y prevenir su ocurrencia, de tal manera que facilite establecer medidas técnicas y organizativas que tengan como principal objetivo minimizar su impacto.
Al final, estos dos conceptos se alimentan entre sí y van de la mano, pues los ciberataques están detrás de una gran parte de los ciberiesgos a los que se enfrentan las empresas hoy en día.
Según el Observatorio Español de Delitos Informáticos, se calcula que en 2019 se produjeron alrededor de 218.302 ciberataques en España, encabezando la lista Cataluña, la Comunidad de Madrid y Andalucía como áreas con mayor incidencia de ataques informáticos. Y a esta cifra debemos sumar todos aquellos ciberataques que no han sido reportados, tanto a nivel empresa como a nivel individual. En la era del Covid, los ataques se han multiplicado, por lo que esta cifra puede aumentar de una forma alarmante en el 2020.
El impacto económico ante la consecución de un ciberataque es evidente, pero no debemos olvidar que también tienen un fuerte impacto en la reputación de una empresa, lo que al final pone en vilo la supervivencia de las empresas españolas que no apliquen las medidas necesarias para hacer frente a esta realidad.
¿Cuáles son los ciberataques más comunes y cuál es su impacto en el tejido empresarial español?
Los ciberdelitos más comunes a los que se enfrentan las empresas españolas son:
- El fraude informático: realizándose a través de Internet todo tipo de estafas y engaños que en otra época utilizaban métodos más tradicionales, principalmente de carácter económico.
- Amenazas directas o coacción, realizando ofensivas personalizadas que afecten la reputación de una compañía a cambio de beneficio económico, e incluso transformando las actuaciones habituales de la entidad para alcanzar un objetivo ideológico o empresarial.
- La falsificación informática, con la manipulación de programas, aplicaciones e incluso datos. Un ejemplo claro es la modificación de un documento digitalizado, alterando la información en búsqueda de beneficio.
- Acceso ilícito a redes y sistemas, donde los ciberatacantes aprovechan vulnerabilidades y “puertas traseras” para acceder de forma no autorizada, generalmente en búsqueda de información valiosa o disrupción del servicio.
- Ataques contra el honor, que atentan contra la dignidad y reputación de un individuo o de una empresa, mancillando y atacando su propia imagen a través de Internet.
- Ciberdelitos contra la propiedad intelectual e incluso industrial, con el robo de patentes e información confidencial esencial, entre otros.
- Delitos de naturaleza sexual, en los que la imagen de una compañía puede verse afectada tras la manipulación personal, por ejemplo, del CEO. Los atacantes usan métodos de chantaje de naturaleza sexual en búsqueda de un grave impacto, utilizando vídeos o imágenes de la víctima, o incluso interfiriendo con pornografía explícita tras el hackeo de un dispositivo del individuo.
Después del ciberataque: lo que debes hacer como empresa (y lo que no).
Habitualmente, cuando una empresa o celebridad es víctima de un Ciberataque suele contar con la ayuda de una agencia especializada en reforzar sus sistemas informáticos, recuperar el acceso a sus dispositivos e información, y en retirar contenido filtrado.
Estas acciones forman la base para recuperar la normalidad y poder continuar trabajando, intentando evitar pérdidas económicas aún mayores.
Sin embargo, no todo termina aquí. Hay que trabajar más allá de lo evidente para intentar solventar la situación y minimizar el daño a los posibles clientes que hayan salido perjudicados.
Cuando una empresa sufre una brecha de seguridad tal que afecta a la intimidad o privacidad de los clientes debe informar y garantizar la seguridad de éstos, ante todo.
Es frecuente encontrarnos con ciberataques a corporaciones o administraciones cuyos datos de clientes están disponibles en la Deep Web, e incluso forman parte de transacciones económicas para quienes estén dispuestos a pagar por estos datos.
¿Cómo actuar después de ser víctima de un ciberataque?
Encontramos tres vías de actuación fundamentales cuando detectamos que estamos siendo víctimas de ciberdelincuentes, y sus actuaciones pueden perjudicar gravemente a la empresa y a los clientes:
- Re-establecimiento de la normalidad.
Esta es la vía de actuación elemental que todas las empresas llevan a cabo al ser víctimas de un ciberataque. Sobran las explicaciones sobre por qué es importante prevenir en materia de ciberseguridad y reforzar los sistemas de protección y detección de ataques; pero si los ciberdelincuentes han conseguido llegar hasta el corazón de nuestra empresa, hay que solucionarlo lo antes posible.
El objetivo de esta vía es recuperar el control de los sistemas informáticos y volver a la normalidad lo antes posible.
- Comunicación al cliente.
La comunicación con los clientes es fundamental llegados a este punto, debido a la posible vulnerabilidad de la información que de ellos dispone la empresa. La falta de información a los afectados supone una práctica alejada de toda ética empresarial.
Debe ponerse en marcha una estrategia de comunicación integral que permita dar a conocer a los clientes el incidente ocurrido, especialmente si ha podido tener lugar una violación de la seguridad que afecte en parte o en su totalidad a sus datos privados. Si el ciberataque ha comprometido este tipo de datos, puede que suponer un riesgo para las libertades, privacidad y derechos de los clientes.
Podemos llegar a entender la gravedad de una filtración de datos de clientes si pensamos en instituciones que tutelen a menores de edad, hospitales mentales con sesiones grabadas de sus pacientes, o claves y accesos bancarios de clientes de un e-commerce.
La puesta en venta de este tipo de datos en la Deep Web puede suponer graves peligros para las víctimas, ya que quedarían al descubierto direcciones postales, números de teléfono, datos familiares, información sanitaria, datos y accesos bancarios, y un sin fin de contenidos que llegadas a las manos equivocadas pueden derivar en un delito o crimen grave.
Es por ello, que de elaborarse un plan de comunicación a clientes que incluya:
- Información sobre el número de clientes afectados
- El tipo de datos expuestos.
- Las medidas que se llevarán a cabo para eliminar esa información que se ha hecho pública.
- Las medidas llevadas a cabo para reforzar los sistemas.
- Teléfono o canal de contacto directo para obtener información sobre la situación.
- Persona de contacto responsable de la comunicación con los clientes.
No basta con informar a los clientes de la situación, sino que deben tomarse medidas para paliar los efectos que sobre ellos pueden tener.
- Gestión de la crisis reputacional.
Un ciberataque que comprometa los datos y la seguridad de los clientes puede derivar rápidamente en una crisis reputacional para la empresa o institución que ha sido víctima del hecho.
Es habitual que el nombre de la organización y los efectos del ataque copen titulares durante un tiempo, y que los propios clientes generen contenido sobre la preocupación que la situación genera; y también, sobre la posible inacción de la compañía de forma previa y posterior al ciberataque.
Esta inacción es lo que puede agravar la situación reputacional de la compañía. Para comenzar a manejar una crisis desde el principio, deben llevarse a cabo las siguientes medidas:
- Tomar medidas para re-establecer la situación.
- Elaborar un plan de comunicación hacia los clientes, e informar de los hechos y las medidas tomadas.
- Evitar en la medida de los posible que los datos de los clientes sigan siendo públicos, e informar en todo momento de las gestiones realizadas para ello.
- Informar de la situación a los medios de comunicación antes de que comiencen a elaborar cualquier titular. Es importante destacar que se está trabajando en resolver la situación.
- Notificar a la Agencia Española de Protección de Datos antes de 72 horas.
- Denunciar ante la Policía, Guardia Civil etc.
- Elaborar un nuevo plan de imagen de marca y reputación a seguir tras la resolución del incidente.
La rapidez en la respuesta y la transparencia en cuanto a la comunicación es fundamental, así como la comunicación y la atención al cliente en un momento tan delicado. Es imprescindible mantener abiertas las líneas de comunicación, evitando tecnicismos que confundan o generen inseguridad, y explicar detalladamente cómo se solucionará el problema.
Dejar pasar el problema sin afrontarlo puede derivar en una situación aún más grave, que implique un daño reputacional irreparable con lo que ello implica.
Los últimos ciberataques detectados.
Prácticamente a diario saltan noticias en los medios de comunicación sobre ciberataques a empresas y entidades. Las formas de reaccionar son muy diferentes, pero realmente las noticias de prensa no suelen identificar cómo está actuando la compañía para solventar la situación.
A continuación, repasamos algunos ciberataques que han saltado a la prensa durante los últimos meses que refleja la compleja situación a la que pueden enfrentarse empresas, instituciones y celebridades:
https://www.larazon.es/deportes/20201121/4dqnyxswazf7lbu63qpxedznre.html
https://www.20minutos.es/noticia/4386778/0/muere-mujer-ataque-informatico-hospital-dusseldorf/
https://www.elperiodico.com/es/sociedad/20200918/hackers-china-datos-vacuna-espana-covid19-8117592
Estos titulares de los últimos tres meses componen una pequeña muestra de los riesgos a los que están expuestos los usuarios en el entorno digital.
Aún más, nos hacen reflexionar sobre la necesidad de gestionar un ciberataque de forma responsable, ya que en prácticamente todos ellos podemos entrever la vulnerabilidad que los clientes o socios de las empresas han sufrido a causa del ataque.
¿Quién puede ayudarte en caso de Ciberataque y crisis reputacional?
Los ciberataques son constantes, evolutivos y causan un gran impacto no solo a nivel individual, sino también a nivel empresarial.
La seguridad al 100% no existe, pero debemos aplicar las suficientes medidas técnicas y organizativas para minimizar el impacto ante la consecución de una amenaza. La Ciberseguridad todavía se recibe como un gasto y no como una inversión. Esto supone un acceso increíblemente sencillo y rentable para los ciberdelincuentes.
¿Quién puede ayudar a proteger mi empresa?
Lo primero que debemos hacer, es establecer una fuerte cultura en torno a la ciberseguridad en la empresa. Para ello, estableceremos planes de formación y concienciación que suplan el principal vector de consecución ante un ataque: el propio usuario.
Existen empresas especializadas en la creación personalizada de programas educativos en torno a la seguridad de la información. Esto reforzará los conocimientos básicos y buenas prácticas de prevención y defensa entre los propios empleados.
En torno a medidas técnicas, que pueden resultar en ocasiones un dolor de cabeza, es esencial contar con un soporte y asesoramiento tecnológico e informático por parte de especialistas . De esta forma, se podrán establecer la seguridad en los sistemas de la empresa.
Y no debemos olvidar la seguridad legal. La aplicación de estándares internacionales y normativas esenciales, como es el RGPD en materia de protección de datos, evitará futuras sanciones. También facilitarán el establecimiento de políticas y procedimientos en torno a la seguridad.
Debemos tener en cuenta además la importancia de una consultora o empresa especializada que gestione el proceso. Deme también trabajar de forma continua para prevenir, detectar, solucionar, y comenzar de nuevo el ciclo. Al igual que ocurre con el establecimiento de planes de contingencia y continuidad de negocio.
Ciberseguridad como inversión, no como gasto.
Debemos empezar a ver la Ciberseguridad como una inversión prioritaria y esencial en torno al propio bienestar de las empresas. La falta de recursos o concienciación en esto puede derivar en un fuerte impacto que puede poner en peligro la continuidad del servicio prestado.
No solo se trata de curar una vez que el daño ya está hecho. Consiste en aplicar las suficientes medidas que prevean, soluciones y minimicen el posible daño ante la consecución de un ciberataque.
Si el daño ya está hecho, debemos buscar soluciones activas y pasivas con ayuda de especialistas en la materia. Es fundamental de que la situación provocada ante una amenaza no se vuelva a repetir.
Sec2Crime, partner de onBRANDING en materia de seguridad ha colaborado en la elaboración de este post. Desde su experiencia, han aportado claves y conocimientos en materia de ciberseguridad y ciberriesgos. Si quieres conocer más sobre su proyecto accede a su web a través de este link.
En onBRANDING somos especialistas en ciberseguridad, investigación de ciberdelitos, gestión de la comunicación en situaciones de crisis, reputación, identidad digital, y asesoramiento legal.
Si has sido víctima de un ataque o de un acceso ilícito a tus comunicaciones, trabajamos para re-establecer la normalidad.