No es posible estar del todo seguros frente a los ataques de la ciberdelincuencia, los piratas no descansan, siempre trabajan para encontrar grietas por las que colarse en los sistemas y hasta existen boots (robots) con plena dedicación a la fechoría durante las 24 horas de cada día que pasa. Ahora bien, el porcentaje de éxito que tienen esas tentativas de intrusión es escaso, porque si en ese batallón del lado oscuro hay mentes brillantes entregadas al delito, el equipo de enfrente es incluso más talentoso a la hora de impedirles el paso.
Estos últimos, los hackers buenos y las empresas de ciberseguridad, hace solo diez años que clamaban en el desierto advirtiendo a los negocios canarios de la necesidad de invertir para quedar a salvo de quienes pretenden y pueden causarles daños tan serios como para quebrarlos para siempre. El panorama ha cambiado en ese tiempo, bien porque las compañías han visto cómo se mojaban las barbas del vecino, o bien porque la labor de divulgación ha logrados calar en ellas.
A pesar de los avances, queda mucho por hacer, con la disponibilidad presupuestaria como gran elemento diferencial. Las más potentes destinan cada vez más fondos a la ciberprotección, y las que a duras penas subsisten, que abundan entre el nutrido universo micropyme isleño tras el solar en que la pandemia ha convertido algunos rincones de la economía, cruzan los dedos para que la piratería moderna no cierre sus garras sobre ellas.
¿Por qué debo protegerme?
A decir de los expertos esta es la primera incógnita a despejar. Admite formularse de esta otra manera: ¿por qué debo destinar parte de mi facturación a un servicio del que desconozco su rentabilidad exacta? Solo cuando el empresario o autónomo entienda que estas cuestiones no tienen cabida comenzará a mejorar la ciberprotección del negocio. Cierto que el resultado en muchas ocasiones no se ve. Así ocurre en el caso de ataques frustrados que se quedan en una primera fase al encontrarse frente a unas fuertes defensas. Claro que también existen los golpes de ariete que dejan huella y permiten cuantificar el valor de la minimización de los daños. En cualquier caso, lo que en ningún caso puede ocurrir, por resultar fatal, es que el promotor se entere de la derrota en la batalla cuando ya la ha perdido.
¿Cuál es la primera decisión a adoptar?
Como en prácticamente todos los negocios, el sentido común tiene que ser el más común de los sentidos. Dependiendo del tamaño de la compañía, el propietario contratará directamente los servicios de una empresa; en las más grandes, el valedor de la iniciativa intentará convencer –comúnmente de la mano de un experto– al comité de dirección, o ese mismo impulsor de la atención a un flanco tan estratégico como sensible propondrá la creación de un departamento para atender a la defensa cibernética con un CISO (Chief Information Security Officer) a su frente. Esta figura se integrará, además, en los órganos de decisión. En función del tamaño del negocio, se tomará uno u otro camino, pero la primera acción a ejecutar será siempre la de realizar una auditoría que determine los riesgos a desterrar y las herramientas a utilizar.
¿Cómo eliminar el error humano?
Es imposible. El fallo es inherente a la condición humana y aceptarlo es importante de cara a diseñar el plan de acción encaminado a alejar la posibilidad de que se produzca. En esta, como en todas las batallas contra quienes quieren obtener algo de nosotros de modo ilícito, no caben la rendición ni, prácticamente, el descanso. El CISO y su equipo, o el servicio externo contratado, trabajan constantemente para obtener de la plantilla su compromiso de cara al cumplimiento de un código de buenas prácticas que ponga a los ciberdelincuentes muy difícil el acceso a los sistemas y los datos del negocio.
¿Fabricar expertos?
No se trata de que cada empleado se convierta en un experto en ciberseguridad, basta con obtener la certeza de que cuidará de no abrir la puerta a los malos. Si el CISO logra que en cada rincón de la compañía se preste atención a este capítulo, la empresa habrá dado un paso de gigante. En cuanto a lo que puede pedirse a cada trabajador en este ámbito, siempre serán cuestiones sencillas, pero útiles a la hora de sumar sacos a las barricadas. Por ejemplo, el Gobierno de Canarias comunicó la semana pasada a los trabajadores de la Administración autonómica la necesidad de que al finalizar la jornada apaguen los ordenadores y cierren las aplicaciones para teléfono móvil de las que se sirven para la realización de sus funciones. ¿Se trata de una acción definitiva contra las intrusiones? No, pero cada equipo desconectado es un butrón menos por el que pueden colarse quienes no están invitados.
Datos personales.
La labor formativa también debe servir para explicar a la plantilla la importancia de establecer los únicos protocolos de comunicación que resultan válidos. Ocurre en el ámbito del trabajo y también en el personal, recibe el nombre de phishing y consiste en el intento de los ciberdelincuentes por hacerse con las contraseñas privadas u otros datos que, de forma directa o indirecta, les permitan acceder a la estructura de la empresa. En el perfeccionamiento de sus ataques, los piratas ya llegan incluso a intentar entrar por la parte más alta del organigrama, mediante lo que ha venido en llamarse «estafa al CEO». Si logran introducirse en el equipo informático de la cabeza rectora del negocio, pueden dar órdenes que el resto de departamentos no van a poner en tela de juicio. Por ejemplo, el abono de una supuesta compra a un número de cuenta que, por supuesto, no pertenece a ningún proveedor, sino a la organización criminal.
¿Por qué ahora la situación se complica?
Rusia ha explicado claramente que las sanciones que la Unión Europea y Estados Unidos le han impuesto tras invadir Ucrania tendrán una respuesta. Moscú entendió hace tiempo que la Red le abre un campo en el que desestabilizar a quienes considera potenciales amenazas. El más alto nivel de los poderes públicos repele ataques constantemente y el previsible agravamiento de esta cuestión revuelve un río en el que intentan pescar los oportunistas. Una protesta que termina en carreras y enfrentamientos es terreno abonado para que un delincuente rompa el escaparate y se lleve un televisor, valga el símil.
