Uno de cada cinco delitos digitales en España se comete a través de Internet o mediante herramientas digitales. Según los datos hechos públicos por el Ministerio de Interior relativos a 2022, la cifra total ascendió a más de 375.000 ciberataques.
Ante este dato, resulta más que evidente la necesidad de actuar de manera urgente, fijando la mirada en actuaciones concretas como la mejora de las capacidades tecnológicas, la formación y la concienciación y sensibilización de la ciudadanía con el fin de protegerse ante las cada vez más comunes prácticas de ataques digitales como el malware, gusano, phishing o ransomware.
Profundizar sobre la situación actual, buscar soluciones y aprender sobre el uso de hábitos correctos para aplicar en el día a día tanto a nivel personal como profesional han sido los temas a debate en el diálogo informativo BBVA El reto de la ciberseguridad: claves para estar más protegido, en el que expertos en la materia han analizado la situación actual, han expuesto consejos y recomendaciones, además de hacer incidencia en la importancia de la educación y la concienciación desde edades tempranas.
La primera en tomar la palabra, Laura del Pino, responsable de Seguridad de la Información de Datos y Personas de BBVA, ha corroborado cómo la pandemia supuso un punto de inflexión a la hora de adoptar la tecnología en el ámbito empresarial y personal, “no siempre con las medidas de seguridad o con el conocimiento adecuado”, lo que ha provocado una oportunidad para los ciberdelincuentes, aumentando la superficie de ataque. “Hay más personas y más empresas a las que atacar”.
Si bien está de acuerdo en que la tecnología trae muchas ventajas, también que conlleva sus riesgos, por lo que matiza que lo importante es conocer cuáles son esos riesgos y saber protegerse de ellos. Señala la ingeniería social como la técnica más utilizada por los ciberdelincuentes, que consiste básicamente en engañar a las personas para que proporcionen información confidencial o descarguen algún tipo de archivo o aplicación maliciosa, haciéndose pasar para conseguirlo por marcas o entidades conocidas, administración pública, bancos e incluso, el entorno más cercano. Tras el escenario más habitual del ciberdelincuentes, Del Pino afirma que “hay información que no podemos compartir nunca con nadie”, y pone como ejemplo las contraseñas y claves para acceder a la banca online.
Durante el encuentro, la responsable de Seguridad de la Información de BBVA ha compartido diálogo con Javier Diéguez, Director General BCSC (Basque CyberSecurity Center); Igor Unanue, CTO y cofundador de S21sec; e Iñaki Aldama, Ceo de Bullhost Cloud Services SL.
Para Javier Diéguez, cualquier actividad implica sus riesgos y conocerlos es fundamental para actuar de manera correcta. En el mundo de la ciberseguridad, la seguridad 100% no es posible, por lo que aunque uno sea prudente y se tenga en cuenta todas las cautelas necesarias para manejarse en los escenarios digitales, existe el riesgo de tener algún incidente, motivo por el cual incide en la importancia de tener preparado un plan o protocolo para proceder en caso de sufrir una agresión digital. “Hay que estar preparado y hoy existen muchos medios para reducir los riesgos”.
Los cuatro participantes al encuentro con DEIA consideran que el aumento del uso de las tecnologías va a provocar un aumento de ciberdelincuentes pero es el CTO y cofundador de S21sec, Igor Unanue, quien se apoya en datos reales a la hora dar su opinión, al indicar que 2022 registró un aumento del 40% de ataques respecto al ejercicio anterior, confirmando que la pandemia ha acelerado mucho esta situación. Otro dato llamativo es que en 2022 los ataques de malwares superaron los 3.000 millones .
Para Iñaki Aldama, “estamos ante una amenaza real y creciente”, con un móvil económico por parte de los ciberdelincuentes, con organizaciones muy cualificadas y financiadas. “Una vez superada la situación de pandemia, estamos viendo que los ataques no paran y en la mayoría de las situaciones los ciberdelincuentes van a por el eslabón más débil, que en definitiva, somos las personas”.
La conectividad entre dispositivos personales y coorporativas, la inmediatez en la que se actúa, la inconsciencia por parte del usuario y, en ocasiones, la excesiva curiosidad son aspectos que, según Aldama, aprovecha el ciberdelincuente para atacar tanto a empresas como a particulares. Como medida de protección señala la importancia de no escatimar en seguridad y en recursos para saber actuar ante un ataque y en la necesidad de concienciar e informar a las personas.
Los datos recogidos por el BCSC muestran también esta tendencia al crecimiento de la ciberdelincuencia en los últimos años y según previsiones del organismo se estima que siga en la misma línea. El director general del Basque CyberSegurity Center afirma que cada vez hay más herramientas a disposición del cibercrimen, con ataques más sofisticados y maneras más creativas de llegar a los objetivos, por lo que el peligro va a seguir creciendo y las organizaciones van a tener que seguir preparándose con un esquema organizativo y mental que tiene que ver más con “para cuando me pase algo”, frente a un “para que no pase” porque realmente es muy difícil evitar todos los ataques.
Como experto en ofrecer herramientas de seguridad a las empresas, Igor Unanue considera que hay algunas medidas que corresponde a la propia compañía desplegar, ya que hay que tomarlas como un proceso continuo y constante. Pero a nivel personal hay muchas prácticas que ya se están aplicando en las organizaciones como es el caso del spear phishing, que consiste en mandar correos falsos para saber quién dentro de la organización actúa de manera incorrecta y ofrecerles formación para corregirla. También aconseja leer el dominio de los correos electrónicos, fijarse en lo que aparece detrás de la @ para saber si es real o falso e interpretar el e.mail antes de abrir los documentos que adjunta, ya que estos pueden estar infectados. En el caso de los teléfonos móviles, SMS o redes sociales “hay que fiarnos de las personas que nos envían los mensajes para actuar en consecuencia y sino utilizar aquellos sistemas que no tengan datos confidenciales”.
Para Aldama es fundamental actuar con sentido común y ante cualquier duda siempre hay que borrar el mensaje y no hacer click. No pasa por alto la importancia de conectarse desde dispositivos confiables y la doble autentificación.
Información en exceso
Toda la información que se guarda en los dispositivos electrónicos es de gran valor para los ciberdelincuentes, ya que como bien apunta Laura del Pino, “cuanto mejor nos conocen, mejor pueden personalizar los ataques y hacerlos más creíbles”. Este argumento hace ver la importancia de proteger la información que se almacena tanto personal como empresarial. Como ejemplos prácticos, la responsable de Seguridad de la Información de BBVA detalla medidas básicas. La protección para acceder al dispositivo móvil puede venir desde la instalación de una contraseña, un patrón de desbloqueo, la biometría, tanto para móviles como para ordenadores, o la instalación de un antivirus puede alertar de la existencia de algún programa malicioso.
Clasifica también como medidas de protección de los dispositivos la instalación de las aplicaciones desde sitios oficiales, evitando descargas desde búsquedas, enlaces o correos electrónicos que puedan desviar a páginas falsas, así como mantener actualizados los programas y aplicaciones que se utilicen y, por último, no utilizar los mismos dispositivos para lo personal y lo profesional, sobre todo si se comparten con otros miembros de la familia.
En cuanto a las medidas de seguridad que percibe el cliente de BBVA, enumera el doble factor de autentificación (clave de un solo uso para autorizar operaciones), uso de la biometría, configuración de alertas sobre los movimientos de las cuentas, así como el control total sobre las tarjetas y la identificación de los principales fraudes. Otras medidas que se escapan del conocimiento del cliente son los equipos que monotorizan las 24 horas y los 7 días a la semana toda la operativa de tarjetas y banca online para intentar detectar cualquier tipo de operación sospechosa, con la capacidad de pararla inmediatamente, y la utilización de nuevas tecnologías como la Inteligencia Artificial o el matching learning. Esta última, se trata de sistemas que procesan de forma monitorizada gran variedad de información sobre cómo se relaciona el cliente a la hora de hacer operaciones con el banco a través de la generación de un perfil digital que permite detectar una alerta ante cualquier patrón irregular, siempre dentro de los límites de la privacidad.
La edad de los usuarios digitales es otro de los temas a debate. Javier Diéguez segmenta la población joven y diferencia entre las personas que entran a formar parte de la etapa profesional y los menores de edad, grupo en el que incluye también a las personas con diversidad funcional o cognitiva que pueden estar más expuestas a este tipo de escenarios indeseados. Los analiza en dos ópticas diferentes. En el caso concreto de los menores de edad distingue por un lado el hecho de que puedan ser víctimas de algún tipo de estafa, pero también que puedan ejercerlo. Lo argumenta tomando como referencia las casuísticas que normalmente atribuye la Er-tzaintza a estas situaciones, al tener en cuenta el rol de las personas agresoras, que al tratarse de agresiones en el ámbito digital no tienen la percepción o la conciencia de que están ejerciendo una violencia en el mismo modo que cuando lo ejercen en el ámbito físico. Desde el BCSC consideran este aspecto muy importante y preocupante, por lo que han llevado a cabo varias campañas en redes sociales para informar sobre el tema. Una de ellas, En Ciber Cibersegurolas, exponía temáticas como el sharenting responsable, concepto que responde a los riesgos que corre la privacidad de una persona de cara al futuro cuando un tutor, madre o padre comparte una fotografía de un menor en redes sociales. Otra temática ha sido la identificación de los riesgos de hacer juegos en red, una práctica muy habitual entre las personas menores de edad. En ocasiones, se ha comprobado que tras un supuesto perfil de persona menor hay una persona adulta con el interés de relacionarse con menores de manera fraudulenta. Los buenos modales en el ámbito digital y cómo identificar información falsa y bulos en la red han sido otras materiales de interés que han formado parte de la campaña de BCSC.
Comprar por internet
Las compras por Internet han crecido exponencialmente en los últimos tiempos, una práctica generalizada en la que también se debe adoptar una serie de precauciones. Como experta en velar por la seguridad de los clientes de BBVA, Laura del Pino detalla algunas. Lo primero, indica, hay que asegurarse que la página del comercio empieza por https, “esa s es importante, al existir un candado cerrado en el navegador, lo que quiere decir que el intercambio de información es segura”.
Un segundo consejo es revisar que el comercio expone en un lugar visible la información de la empresa, CIF, domicilio social, etc..., y que además cuenta con una política de privacidad y de devolución, a lo que añade que hay que sospechar ante ofertas de compra excesivas, con grandes descuentos, sobretodo en productos que habitualmente no los tienen. Los errores tipográficos en la descripción de los productos o las imágenes de baja calidad pueden ser pistas que hagan sospechar de que se está ante un comercio que no sea legítimo. Fijarse en la opinión y comentarios de los usuarios, evitar comprar desde wifis públicas o utilizar tarjetas prepago como la tarjeta Aqua de BBVA, con un CVV dinámico que no aparece impreso en la propia tarjeta sino que se genera automáticamente en el momento de realizar un pago desde la propia App del banco y únicamente sirve para esa compra, son otras formas para realizar a una compra segura por la red.
Otros ejemplos de control que lleva a cabo la entidad es el bloqueo inmediato de las tarjetas por parte de los clientes, así como la opción de activarlas únicamente a la hora de hacer una compra. Por último, la responsable de Seguridad de la Información de BBVA recalca que siempre, ante cualquier cargo de compra no reconocido por el cliente, lo más importante es ponerse en contacto con el banco lo antes posible y realizar una reclamación.
Del lado de la empresa, tanto el representante de S21sec como el Bullhost Cloud Services SL argumentan que existen muchas medidas de seguridad en el mercado para protegerse, aunque según apunta Igor Unanue, es importante saber cómo aplicarlas y gestionarlas atendiendo a las distintas normativas que existen sobre su aplicación.
El hecho de que cada vez salgan al mercado nuevas tecnologías conlleva a su vez el surgimiento de más herramientas de seguridad, pero incide en la importancia de contar con profesionales cualificados para poder dar una respuesta adecuada a esas herramientas. En el ámbito de autónomos y pymes, colectivos que también se están viendo cada vez más afectados por los ciberataques, la recomendación de Aldama es tomarse en serio lo que está ocurriendo, dejarse aconsejar, invertir en seguridad y a nivel de concienciación formar a la plantilla en unas prácticas correctas. Subraya las ayudas que existen tanto a nivel público como privado para las empresas y también el trabajo de concienciación que realizan empresas como Bullhost Cloud Services y S21sec.
En el caso del BCSC, el organismo guía a las empresas a través del Libro Blanco, mapa de capacidades de ciberseguridad que existe en Euskadi, donde figuran los servicios públicos y agentes formativos y educativos que ofrecen servicios en el campo de la ciberseguridad.
Participantes
Laura del Pino. Responsable de Seguridad de la Información de Datos y Personas de BBVA
“Cuanto más nos conocen, mejor pueden personalizar los ataques”
Entre las medidas de seguridad que percibe el cliente de BBVA se encuentra el doble factor de autentificación (clave de un solo uso para autorizar operaciones), la biometría, configuración de alertas sobre los movimientos de las cuentas, control total sobre las tarjetas e identificación de los principales fraudes.
Javier Diéguez. Director General BCSC (Basque CyberSecurity Center)
“La tendencia al crecimiento de la ciberdelincuencia en los últimos ejercicios se prevé que se mantenga en el futuro”
Cada vez hay más herramientas para el cibercrimen, por lo que el peligro va a seguir creciendo y las organizaciones tienen que protegerse todavía más y tener un plan de respuesta en caso de sufrir un ataque.
Igor Unanue. CTO y cofundador de S21sec
“Hay que conocer los peligros que esconden los correos electrónicos y desconfiar de ciertos mensajes que se reciben ”
Hay que desplegar los sistemas de seguridad según cada organización, ya que evolucionan con el tiempo y se deben adaptar a los cambios que se producen. A nivel particular, es fundamental aprender a utilizarlos de forma segura.
Iñaki Aldama. Ceo de Bullhost Cloud Services SL.
“Estamos ante una amenaza real y creciente, con un móvil económico por parte de los ciberdelincuentes”
La conectividad entre dispositivos personales y coorporativas, la inmediatez en la que se actúa, la inconsciencia y, en ocasiones, la curiosidad son aspectos que aprovecha el ciberdelicuente para atacar a empresas y particulares.
