Plan 15 - Ciberseguridad
Plan 15 - Ciberseguridad
Plan 15 - Ciberseguridad
CIBERSEGURIDAD
Nº15|ENERO2020
Portal de Noticias de Pymes, Autónomos y Emprendedores
cepymenews.es
Descárgate la app oficial de cepymenews.es y accede
a contenidos exclusivos, alertas, ofertas, y mucho más.
L A CARTA DEL PRESIDENTE
GERARDO LA
CIBERSEGURIDAD,
UN RETO
INELUDIBLE PARA
CUERVA
LAS EMPRESAS
Gerardo Cuerva
Presidente CEPYME
@cepyme_
2
CIBERSEGURIDAD
Todas las empresas, sean del ta- A esas amenazas están expues- proyectos y frenan las inversiones
maño que se sean y operen en el tas todas las empresas. Pero, sin y la actividad y, en definitiva, signi-
mercado que operen, solo pueden duda, las particulares característi- fican retrocesos en el progreso y el
competir sobre la base de ser más cas de las pymes, que cuentan con empleo.
productivas y más eficientes. una infraestructura de seguridad
menos sofisticada que las grandes
En la actualidad, esto exige incor- empresas, menor experiencia y Vamos a trabajar
porar más tecnología y mayor cua- mayor falta de recursos y de perso- conjuntamente
lificación de los profesionales, es nal cualificado para gestionar y res- con los agentes
decir un proceso de globalización, ponder a las amenazas, las hacen implicados para
digitalización, automatización y ro- más vulnerables a los ciberriesgos tener cada vez unas
botización, que es ya un camino y más sensibles a sufrir las conse- empresas más
irreversible. cuencias de esta delincuencia aso- seguras y protegidas
ciada a Internet.
En mercados cada vez más abier-
tos y globales no es posible ser Alcanzar mayores grados de segu-
innovador, flexible, versátil, produc- Aproximadamente ridad en un entorno cada vez más
tivo, competitivo…, todo lo que la el 50 por ciento complejo y minimizar las conse-
economía global exige a las empre- de los ciberataques cuencias de las posibles inciden-
sas, sin presencia y conocimiento tienen a una pyme cias que la empresa pueda sufrir
del mundo digital. como objetivo va a exigir un esfuerzo de todos,
agentes públicos y privados, de
La incorporación de nuevas y avan- empresas, de organizaciones y de
zadas tecnologías, de herramien- Aproximadamente el 50 por ciento administraciones, para identificar
tas más sofisticadas a ámbitos de los ciberataques tienen a una las amenazas, definir y desarrollar
cada vez más amplios trae, con pyme como objetivo. Y cada ataque las herramientas y capacidades
sus innegables ventajas, un núme- informático tiene un coste mone- necesarias para combatirlas y ha-
ro creciente de amenazas. tario y de pérdida de información cer una correcta utilización de los
muy elevado para las empresas. recursos disponibles.
La incorporaciónde Por ello, invertir en ciberseguridad En esta tarea vamos a estar desde
nuevas y avanzadas y reducir los riesgos y las incerti- CEPYME como organización repre-
tecnologías, de dumbres en este terreno es uno de sentativa de las pymes españo-
herramientas más los grandes retos para la actividad las, informando, concienciando y
sofisticadas a de las pequeñas y medianas em- ayudando a nuestras empresas a
ámbitos cada vez más presas. implementar estos recursos y va-
amplios trae, con sus mos a trabajar conjuntamente con
innegables ventajas, Porque la inseguridad y la incer- los agentes implicados para tener
un número creciente tidumbre en todos los ámbitos, cada vez unas empresas más se-
de amenazas. también en este, representan el guras y protegidas, también ante
mayor obstáculo para los nuevos los riesgos cibernéticos.
3
SUMARIO Nº 15
16
46
Ciberseguridad Lowcost
para una PYME
MANUEL MASCARAQUE
CIBERSEGURIDAD
“El primer reto que tiene
SUMARIO
el seguro en materia de
ciberseguridad es ayudar
a incorporar la cultura
de la prevención en las
PYMES y particulares”
Nº15
2020 20 ELISA VIVANCOS
“Las empresas han de
incluir una gestión de
52
riesgos en sus protocolos
de ciberseguridad”
4
ENERO 2020
112
2 Carta del presidente
4 Sumario
6 Staff
144
La IA está cambiando 8 Predicciones ciberamenazas 2020
la ciberseguridad, pero
cuando está sesgada es 28 Glosario. Términos Ciberseguridad
peligrosa
42 Principales datos de la ciberseguridad en 2019
132
88 El cryptojacking sigue siendo la principal
amenaza
190
Cibersecurity
106 Seguridad en situaciones críticas,
for the modern era
la evacuación adaptativa como solución
5
STAFF
ENERO 2020
PORQUE TODAS LAS EMPRESAS NECESITAN UN PLAN
Edita CM
Rafael Castillo
Director Desarrollo Negocio
[email protected]
Sandra García
Eric Thompson
Antonio González
Redactores
@Plan_Magazine
#tengoPLAN
6
ASISA SALUD PYMES PLUS
VOCACIÓN PYMES
45,90€
persona/mes *
Sin copagos
Con periodos de carencia
Mínimo dos asegurados en la póliza
(empleados, sus familias y familiares del
tomador-empresario)
* Prima válida para 2020 y para hombre o mujer de hasta 64 años. Las primas tendrán un incremento del 5% en Barcelona, Gerona y Baleares.
Empresa Colaboradora:
asisa.es/pymes
CIBERSEGURIDAD
8
CIBERSEGURIDAD
PREDICCIONES
CIBERAMENAZAS
2020
Proofpoint, Inc.
9
CIBERSEGURIDAD
RANSOMWARE
A pesar de su casi total ausencia como contenido principal
en correos maliciosos, el ransomware siguió acaparando
titulares en 2019, especialmente por los grandes ataques
registrados. Se espera que este tipo de ataques, en los
que los ciberdelincuentes centran el tiro en servidores y
dispositivos de entornos de misión crítica, por los que pue-
den pedir rescates más altos ya que están más dispuestos
a pagar por desencriptar sus archivos para recuperar rápi-
damente los sistemas, continúen en 2020.
10
CIBERSEGURIDAD
11
CIBERSEGURIDAD
usuarios como para muchos sistemas de seguridad. Y pre- Del mismo modo, continuará el abuso generalizado de
vemos que esta técnica sea más frecuente en el año 2020 otros servicios legítimos de alojamiento en cloud para
debido a su eficacia. distribuir malware, aprovechando nuestra predisposición
a hacer clic en enlaces a archivos compartidos y la inca-
pacidad de la mayoría de las organizaciones para incluir
UNA CUENTA DE OFFICE 365 servicios como Dropbox o Box en sus listas negras.
COMPROMETIDA SE PUEDE USAR PARA Por último, también se han observado altos niveles de ac-
ENVIAR UN CORREO ELECTRÓNICO tividad de malware asociados al sistema de distribución
INTERNO CON UN VÍNCULO A UN de tráfico (TDS) Keitaro. Se trata de un servicio legítimo
con una gama de aplicaciones utilizadas fundamental-
KIT DE PHISHING ALOJADO EN mente en publicidad web, pero es cada vez más utilizado
SHAREPOINT UTILIZANDO OTRA CUENTA por los atacantes para dirigir a víctimas hacia amenazas
COMPROMETIDA específicas, según su localización geográfica o su siste-
ma operativo. Se espera la expansión de esta táctica en
12
CIBERSEGURIDAD
2020, de nuevo debido, en gran parte, a la dificultad de zan tanto protocolos heredados como otras técnicas
las organizaciones de incluir en su lista negra las IPs aso- de infiltración para obtener acceso no autorizado.
ciadas a este tipo de servicios.
Y a pesar de que la adopción de la autenticación multifac-
tor está ayudando a mitigar los riesgos asociados con los
ATAQUES DE FUERZA BRUTA MÁS ataques en la cloud, tanto proveedores como organizacio-
nes están descubriendo que una implementación robusta
INTELIGENTES conlleva también muchos desafíos, lo que lleva a las orga-
nizaciones a considerar la biometría y otras soluciones po-
A medida que las organizaciones han ido adoptando sof- tenciales para asegurar su infraestructura, ya sea propia o
tware en cloud para mejorar la colaboración y la produc- adquirida como servicio.
tividad, este tipo de plataformas se han convertido en ob-
jetivos cada vez más atractivos para los atacantes. Dada
la prevalencia de campañas de phishing para el robo de
credenciales de Microsoft Office 365, la atención seguirá
CADENAS DE SUMINISTRO
centrada en ser capaces de comprometer estas cuentas COMPROMETIDAS HORIZONTAL
para su uso en futuros ataques, poder realizar movimien-
tos laterales dentro de las organizaciones y explotar servi-
Y VERTICALMENTE
cios relacionados, como Microsoft SharePoint.
Las vulnerabilidades de la cadena de suministro han sido
el centro de las mayores brechas de seguridad de los gran-
AUMENTARÁ LA AUTOMATIZACIÓN des retailers los últimos años. Y a pesar de que los atacan-
tes han seguido explotando la cadena de suministro para
DE LOS ATAQUES DE FUERZA BRUTA todo, desde el robo de tarjetas de crédito hasta el compro-
MEDIANTE HERRAMIENTAS miso del correo electrónico empresarial (BEC), esperamos
COMO PYTHON Y POWERSHELL que esta táctica se haga más sofisticada en 2020.
13
CIBERSEGURIDAD
14
CIBERSEGURIDAD
16
CIBERSEGURIDAD
CIBERSEGURIDAD
LOWCOST
PARA UNA PYME
ALL4SEC
17
CIBERSEGURIDAD
18
CIBERSEGURIDAD
ALL4SEC
all4sec.es
19
ELISA
ELISA VIVANCOS
VIVANCOS
INCIBE
“Las empresas han de incluir una gestión de riesgos en sus protocolos de ciberse-
guridad”
20
ELISA VIVANCOS
21
ELISA VIVANCOS
Todos estos términos han englobado diferentes sucesos mas móviles, y ciberataques contra dispositivos IoT con la
a lo largo de 2019, los cuales pueden consultarse en la llegada del 5G. También seguirán en aumento los casos
sección de avisos de seguridad de la Oficina de Seguridad de manipulación de la opinión pública (desinformación).
del Internauta (OSI) y Protege tu Empresa, los canales es- Las tendencias tecnológicas son las que van a marcar
pecializados en ciudadanos y empresas de INCIBE. también la forma de abordar la ciberseguridad.
22
ELISA VIVANCOS
Por tanto, el sector de la ciberseguridad tiene, además las más precavidas y que las menos dependientes son las
de los desafíos propios de integrar los mecanismos po- más despreocupadas ante su ciberseguridad.
tenciadores de la ciberseguridad, como el blockchain, un
reto esencial de inyectar la cultura de ciberseguridad a
las empresas y ciudadanos y otro adicional de favorecer, NO HAY UNA RESPUESTA HOMOGÉNEA
propiciar y aplicar los cambios normativos y legales, tanto
en los gobiernos, como en las empresas que colaboren SOBRE ESTOS RIESGOS CIBERNÉTICOS
a aclarar estos escenarios, estableciendo esas reglas del QUE SEA VÁLIDA PARA TODO TIPO
juego que favorecen la protección de ciudadanos, empre- DE EMPRESAS, DEPENDERÁ DE LA
sas y Estados.
DEPENDENCIA TECNOLÓGICA DE CADA UNA
23
ELISA VIVANCOS
Como norma general a considerar se podría decir también hacen un uso más seguro de la tecnología otras por per-
que existen riesgos siempre en el uso de tecnologías ob- tenecer a sectores estratégicos sujetos a normativas es-
soletas o que no tienen soporte, en el uso de las tecnolo- pecíficas.
gías más utilizadas (pues es más rentable para los delin-
cuentes) y en la carencia de mecanismos de contingencia Por otra parte, aumenta el número de empresas y orga-
y continuidad, como backup o centros de respaldo, pues nizaciones de cierta dependencia tecnológica que tiene
estos serán la única opción de recuperación en muchos una actitud de precaución ante estos riesgos. Muchas han
casos. Por último, recordar que los riesgos de incumpli- llegado a sensibilizarse tras sufrir un incidente y sus terri-
miento normativo, en particular en cuanto a protección de bles consecuencias, no sólo económicas, sino también en
datos personales, pueden acarrear multas importantes en su reputación. Las empresas con menor dependencia, o
un entorno en el que los usuarios están cada vez más pre- las que inician su transformación digital son las que tienen
ocupados por su privacidad. una percepción menor de los riesgos. No obstante, las py-
mes son muy numerosas y los sectores muy diversos, por
lo que intentaremos llegar a ellas de una forma específica
LOS RIESGOS DE INCUMPLIMIENTO a través de sus organizaciones sectoriales.
24
ELISA VIVANCOS
sensibilización, con la que se consigue que los empleados ciales en distintos foros. Las secciones en la web tratan
de todos los niveles hagan un uso adecuado de la tecnolo- todo tipo de situaciones de seguridad en las que pueda
gía, protegiendo el negocio y garantizando los derechos de verse involucrada la empresa, desde distintos puntos de
los clientes o usuarios. vista que van, desde lo tecnológico y organizativo (dosie-
res, políticas, guías, kit de concienciación…) hasta enfo-
ques sectoriales como los itinerarios, didácticos como el
¿Qué medidas debe adoptar una empresa para proteger- Juego de rol, o lúdicos como el serious game hackend.
se frente a estos riesgos?
Además de la concienciación y sensibilización, ya mencio-
nada, las empresas, sin importar su tamaño o su sector, LA PROTECCIÓN DE LAS EMPRESAS,
han de aprender a gobernar su seguridad de forma efi-
ciente. Para ello, como comentábamos, han de adoptar un JUNTO A LA DE LOS CIUDADANOS,
enfoque de gestión de riesgos y elaborar un Plan Director MENORES, EDUCADORES Y PADRES,
de Seguridad. Este Plan contendrá las medidas técnicas ES NUESTRA RAZÓN DE SER
y organizativas necesarias para abordar la seguridad de
forma consistente con los riesgos detectados y en línea
con la estrategia de la empresa.
Otras secciones contienen herramientas específicas como
Este entorno actual de las empresas en los mercados el Catálogo de empresas y soluciones de ciberseguridad,
digitales es, como dirían los estrategas, volátil, incierto, los servicios Antiransomware y Antibotnet o la herramien-
complejo y ambiguo (VUCA de sus siglas en inglés). Por ta de autodiagnóstico. Todas estas se complementan con
ello, pueden ocurrir sucesos inesperados que superarán la Línea de Ayuda y un canal de reporte del fraude.
nuestra comprensión de lo ocurrido, pero con consecuen-
cias negativas para el negocio. Ante esto, la opción más
efectiva es adoptar un plan para progresivamente y de Desde la perspectiva del INCIBE ¿Qué papel tienen los
forma continua enfocarnos en comprender mejor nuestro empleados en materia de ciberseguridad? ¿Se debe for-
entorno particular y apoyarnos en otros agentes (de nues- mar a todos los empleados? ¿Existe algún manual de
tro sector o institucionales), de manera que tengamos la buenas prácticas?
agilidad necesaria para dar una respuesta adecuada a lo Efectivamente, los empleados, a todos los niveles, si es-
que pueda suceder. tán concienciados se convierten en verdaderos firewalls
humanos. Por ello, van a ser claves para detectar y dete-
ner posibles ciberataques y evitar incidentes que puedan
¿Qué actuaciones se llevan a cabo desde INCIBE para hacer estragos en nuestra organización. Además, si en-
mejorar la protección de las empresas frente a ataques focamos nuestros esfuerzos en entrenar a los empleados
informáticos? a todos los niveles en la respuesta a incidentes, en caso
La protección de las empresas, junto a la de los ciudada- de que ocurra seremos capaces de recuperarnos antes,
nos, menores, educadores y padres, es nuestra razón de minimizando las posibles consecuencias.
ser. Desde los comienzos, y a través de distintos medios,
llevamos la concienciación y sensibilización a las empre- En particular, todos tenemos que entrenarnos ante los
sas y ponemos nuestro esfuerzo como entidad de referen- ciberataques que utilizan la ingeniería social, pues este
cia en la detección, análisis y respuesta a ciberataques. tipo de engaños, cada vez más sofisticado y elaborado,
En concreto, para la protección de empresas disponemos es muy utilizado para extender ransomware y en ataques
de servicios de información y educativos, además de he- de phishing y en general para todo tipo de fraudes. Una
rramientas específicas y una línea de ayuda. vía muy común para esto es el correo electrónico y otros
servicios de mensajería, por lo que estar adiestrado para
Los servicios informativos y educativos se basan en la detectarlos es útil para todos los empleados que hagan
información publicada en el portal www.incibe.es, en el uso de estas herramientas, es decir, para todos. Como
apartado “Protege tu empresa”, tales como formación on- manual de buenas prácticas a modo divulgativo pode-
line a través de plataformas MOOC y actuaciones presen- mos utilizar los itinerarios sectoriales, que son videos
25
ELISA VIVANCOS
DESDE LA DIRECCIÓN SE HA DE
Ciberemprende es una iniciativa que está dirigida a em-
ESTABLECER UN PROTOCOLO MEDITADO prendedores y tiene como finalidad atraer el talento inno-
QUE INDIQUE AL EMPLEADO QUÉ ESTÁ vador en materia de ciberseguridad. Para ello, se celebra
PERMITIDO Y CUÁLES SON LOS LÍMITES un certamen de ideas y proyectos emprendedores que
sirven de ayuda para desarrollar ideas de negocio y pro-
ACEPTABLES EN SU UTILIZACIÓN yectos.
26
Jorge Rubio
Director General CECOP
Cliente de Orange
TÉRMINOS
CIBERSEGURIDAD
28
CIBERSEGURIDAD
GLOSARIO
Photo by INCIBE Gustavo Serrano | Cybersecurity Summer Bootcamp 2019
29
CIBERSEGURIDAD
ADWARE
ANÁLISIS DE RIESGOS
Es cualquier programa que automáticamente va mos-
trando publicidad al usuario durante su instalación o du- Es un proceso que comprende la identificación de activos
rante su uso y con ello genera beneficios a sus creadores. de información, sus vulnerabilidades y las amenazas a
los que se encuentran expuestos, así como la probabilidad
Aunque se asocia al malware, no tiene que serlo forzo- de ocurrencia y el impacto de las mismas, a fin de determi-
samente, ya que puede ser un medio legítimo usado por nar los controles adecuados para tratar el riesgo.
desarrolladores de software que lo implementan en sus
programas, generalmente en las versiones shareware, ha-
ciéndolo desaparecer en el momento en que adquirimos la
versión completa del programa. Se convierte en malware ATAQUE DE FUERZA BRUTA
en el momento en que empieza a recopilar información
sobre el ordenador donde se encuentra instalado. Un ataque de fuerza bruta es un procedimiento para ave-
riguar una contraseña que consiste en probar todas las
combinaciones posibles hasta encontrar la combinación
correcta.
ALGORITMOS DE CIFRADO
Los ataques por fuerza bruta, dado que utilizan el método
Operación o función matemática utilizada en combina- de prueba y error, tardan mucho tiempo en encontrar la
ción con una clave que se aplica a un texto en claro y combinación correcta (hablamos en ocasiones de miles
permite obtener un texto cifrado (o descifrarlo) garanti- años), por esta razón, la fuerza bruta suele combinarse
zando la confidencialidad e integridad de la información con un ataque de diccionario.
contenida. Existen dos tipos de cifrado atendiendo a las
características de las claves de cifrado, estos son el cifra-
do simétrico y cifrado asimétrico.
ATAQUE COMBINADO
Es uno de los ataques más agresivos ya que se vale de
ANTIVIRUS métodos y técnicas muy sofisticadas que combinan distin-
tos virus informáticos, gusanos, troyanos y códigos mali-
Es un programa informático específicamente diseñado ciosos, entre otros.
para detectar, bloquear y eliminar código malicioso (vi-
rus, troyanos, gusanos, etc.), así como proteger los equi- Esta amenaza se caracteriza por utilizar el servidor y vulne-
pos de otros programas peligrosos conocidos genérica- rabilidades de Internet para iniciar, transmitir y difundir el
mente como malware. ataque extendiéndose rápidamente y ocasionando graves
30
CIBERSEGURIDAD
daños, en su mayor parte, sin re querir intervención huma- ques, el sistema ejecutará el comando, como si fuera le-
na para su propagación. gítimo, enviando la respuesta al atacante que puede así
obtener acceso al sistema.
Las principales características que presenta este ataque
son: Para protegerse de este tipo de ataques el sistema informá-
• Los daños producidos van desde ataques de dene- tico puede tomar medidas como usar un control de identi-
gación de servicio (DoS), pasando por ataques en la ficación de comandos, de sellado de tiempos (timestamp),
dirección IP o daños en un sistema local; entre otros. etc. junto con el cifrado y la firma de los comandos con el
• Tiene múltiples métodos de propagación. fin de evitar que sean reutilizados.
• El ataque puede ser múltiple, es decir, puede modifi-
car varios archivos y causar daños en varias áreas a
la vez, dentro de la misma red.
• Toma ventaja de vulnerabilidades ya conocidas en AUDITORÍA DE SEGURIDAD
ordenadores, redes y otros equipos.
• Obtiene las contraseñas por defecto para tener acce- Es el estudio que comprende el análisis y gestión de sis-
sos no autorizados. temas llevado a cabo por profesionales en tecnologías de
• Se propaga sin intervención humana. la información (TI) con el objetivo de identificar, enumerar
y describir las diversas vulnerabilidades que pudieran pre-
sentarse en una revisión exhaustiva de las estaciones de tra-
bajo, redes de comunicaciones, servidores o aplicaciones.
ATAQUE DE REPETICIÓN
Es un tipo de ataque en el cual el atacante captura la in-
formación que viaja por la red, por ejemplo un comando AUTENTICACIÓN
de autenticación que se envía a un sistema informático, Procedimiento para comprobar que alguien es quién dice
para, posteriormente, enviarla de nuevo a su destinatario, ser cuando accede a un ordenador o a un servicio online.
sin que este note que ha sido capturada. Si el sistema Este proceso constituye una funcionalidad característica
infor mático o aplicación es vulnerable a este tipo de ata- para una comunicación segura.
31
CIBERSEGURIDAD
BACKUP
Copia de seguridad que se realiza sobre ficheros o apli-
caciones contenidas en un ordenador con la finalidad de
recuperar los datos en el caso de que el sistema de infor-
mación sufra daños o pérdidas accidentales de los datos
almacenados.
BIA
Abreviatura de «Business Impact Analysis». Se trata de un
informe que nos muestra el coste ocasionado por la inte-
rrupción de los procesos críticos de negocio. Este informe
nos permitirá asignar una criticidad a los procesos de ne-
gocio, definir los objetivos de recuperación y determinar un BOTNET
tiempo de recuperación a cada uno de ellos.
Una botnet es un conjunto de ordenadores (denominados
bots) controlados remotamente por un atacante que pue-
den ser utilizados en conjunto para realizar actividades
BOMBA LÓGICA maliciosas como envío de spam, ataques de DDoS, etc.
Trozo de código insertado intencionalmente en un progra- Las botnets se caracterizan por tener un servidor central
ma informático que permanece oculto hasta cumplirse (C&C, de sus siglas en inglés Command & Control) al que
una o más condiciones preprogramadas, momento en el se conectan los bots para enviar información y recibir co-
que se ejecuta una acción maliciosa. mandos. Existen también las llamadas botnets P2P que
se caracterizan por carecer de un servidor C&C único.
La característica general de una bomba lógica y que lo
diferencia de un virus es que este código insertado se eje-
cuta cuando una determinada condición se produce, por
ejemplo, tras encender el ordenador una serie de veces, BUG
o pasados una serie de días desde el momento en que la
bomba lógica se instaló en nuestro ordenador. Es un error o fallo en un programa de dispositivo o sistema
de software que desencadena un resultado indeseado.
32
CIBERSEGURIDAD
33
CIBERSEGURIDAD
Sistema de seguridad compuesto o bien de programas Las listas de revocación de certificados incluyen los núme-
(software) o de dispositivos hardware situados en los pun- ros de serie de todos los certificados que han sido revoca-
tos limítrofes de una red que tienen el objetivo de permi- dos. Estas listas se actualizan cada 24 horas y pueden ser
tir y limitar, el flujo de tráfico entre los diferentes ámbitos consulta das a través de Internet.
34
CIBERSEGURIDAD
35
CIBERSEGURIDAD
FIRMA ELECTRÓNICA
La firma electrónica (o digital) se define como el conjunto FUGA DE DATOS
de datos electrónicos que acompañan o que están aso-
ciados a un documento electrónico. Esta firma se basa en La fuga de datos o fuga de información es la pérdida de
la Ley 59/2003, de 19 de Diciembre, donde se indica que la confidencialidad de la información privada de una per-
la «firma electrónica» reconocida debe cumplir las siguien- sona o empresa. Información que, a priori, no debería ser
tes propiedades o requisitos: conocida más que por un grupo de personas, en el ámbito
• Identificar al firmante. de una organización, área o actividad, y que termina sien-
• Verificar la integridad del documento firmado. do visible o accesible para otros.
36
CIBERSEGURIDAD
GUSANO MALWARE
Es un programa malicioso (o malware) que tiene como Es un tipo de software que tiene como objetivo dañar o
característica principal su alto grado de «dispersabilidad», infiltrarse sin el consentimiento de su propietario en un
es decir, lo rápidamente que se propaga. sistema de información. Palabra que nace de la unión de
los términos en inglés de software malintencionado: mali-
Mientras que los troyanos dependen de que un usuario cious software. Dentro de esta definición tiene cabida un
acceda a una web maliciosa o ejecute un fichero infecta- amplio elenco de programas maliciosos: virus, gusanos,
do, los gusanos realizan copias de sí mismos, infectan troyanos, backdoors, spyware, etc. La nota común a todos
a otros ordenadores y se propagan automáticamente en estos programas es su carácter dañino o lesivo.
una red independientemente de la acción humana.
Un sistema de detección de intrusos (o IDS de sus siglas Este estándar ha sido desarrollado por un comité confor-
en inglés Intrusion Detection System) es una aplicación mado por las compañías de tarjetas (débito y crédito) más
usada para detectar accesos no autorizados a un ordena- importantes, comité denominado PCI SSC (Payment Card
dor o a una red. Estos accesos pueden ser ataques reali- Industry Security Standards Council) como una guía que
zados por usuarios malintencionados con conocimientos ayude a las organizaciones que procesan, almacenan o
de seguridad o usando herramientas automáticas. A dife- transmiten datos de tarjetas (o titulares de tarjeta), a ase-
rencia de los IPS, estos sistemas sólo detectan intentos gurar dichos datos, con el fin de prevenir los fraudes que
de acceso y no tratan de prevenir su ocurrencia. involucran tarjetas de pago débito y crédito.
37
CIBERSEGURIDAD
PHARMING
Ataque informático que aprovecha una vulnerabilidad del
software de los servidores DNS y que consiste en modifi-
car o sustituir el archivo del servidor de nombres de do-
minio cambiando la dirección IP legítima de una entidad
(comúnmente una entidad bancaria) de manera que en el
momento en el que el usuario escribe el nombre de domi-
nio de la entidad en la barra de direcciones, el navegador
redirigirá automáticamente al usuario a una dirección IP
donde se aloja una web falsa que suplantará la identidad
legítima de la entidad, obteniéndose de forma ilícita las
claves de acceso de los clientes la entidad.
PHISHING
Phishing es la denominación que recibe la estafa come-
tida a través de medios telemáticos mediante la cual el
estafador intenta conseguir, de usuarios legítimos, infor-
mación confidencial (contraseñas, datos bancarios, etc.)
de forma fraudulenta. El estafador o phisher suplanta la
personalidad de una persona o empresa de confianza
para que el receptor de una comunicación electrónica
aparentemente oficial (vía e-mail, fax, SMS o telefónica-
mente) crea en su veracidad y facilite, de este modo, los
datos privados que resultan de interés para el estafador.
PLAN DE CONTINGENCIA
Un Plan de Contingencia de las Tecnologías de la Infor-
mación y las Comunicaciones (TIC) consiste en una es-
trategia planificada en fases, constituida por un conjunto
de recursos de respaldo, una organización de emergencia
y unos procedimientos de actuación, encaminados a con-
seguir una restauración ordenada, progresiva y ágil de los
38
CIBERSEGURIDAD
PLAN DE CONTINUIDAD
Un Plan de Continuidad de Negocio es un conjunto for-
mado por planes de actuación, planes de emergencia,
planes financieros, planes de comunicación y planes de
contingencias destinados a mitigar el impacto provocado
por la concreción de determinados riesgos sobre la infor-
mación y los procesos de negocio de una compañía.
RANSOMWARE
El ciberdelincuente, toma control del equipo infectado
y «secuestra» la información del usuario cifrándola, de
tal forma que permanece ilegible si no se cuenta con la
contraseña de descifrado. De esta manera extorsiona al
usuario pidiendo un rescate económico a cambio de esta
contraseña para que, supuestamente, pueda recuperar
sus datos. La seguridad del sistema está basada en la
dificultad de factorización de grandes números. Su fun-
cionamiento se basa en el envío de un mensaje cifrado
mediante la clave pública del destinatario, y una vez que
el mensaje cifrado llega, éste se encarga de descifrarlo
con su clave privada.
SPOOFIN
Es una técnica de suplantación de identidad en la Red, lle-
vada a cabo por un ciberdelincuente generalmente gracias
a un proceso de investigación o con el uso de malware.
Los ataques de seguridad en las redes usando técnicas de
spoofing ponen en riesgo la privacidad de los usuarios, así
como la integridad de sus datos.
39
CIBERSEGURIDAD
falsificación de tabla ARP. ARP (Address Resolution sin autenticar; la autenticación mutua requiere un desplie-
Protocol) es un protocolo de nivel de red que relacio- gue de infraestructura de claves públicas (PKI) para los
na una dirección MAC con la dirección IP del ordena- clientes. SSL ha evolucionado hacia TLS, siglas en ingles
dor. Por lo tanto, al falsear la tabla ARP de la víctima, de «seguridad de la capa de transporte» (Transport Layer
todo lo que se envíe a un usuario, será direccionado Security) protocolo ampliamente utilizado en la actualidad.
al atacante.
• DNS spoofing: es una suplantación de identidad por
nombre de dominio, la cual consiste en una relación
falsa entre IP y nombre de dominio. SUPLANTACIÓN DE IDENTIDAD
• Web spoofing: con esta técnica el atacante crea una
falsa página web, muy similar a la que suele utilizar el Es la actividad maliciosa en la que un atacante se hace
afectado con el objetivo de obtener información de di- pasar por otra persona para cometer algún tipo de fraude,
cha víctima como contraseñas, información personal, acoso (cyberbulling). Un ejemplo es, en las redes socia-
datos facilitados, páginas que visita con frecuencia, les, crear un perfil de otra persona e interactuar con otros
perfil del usuario, etc. Los ataques de phishing son un usuarios haciéndose pasar por ella.
tipo de Web spoofing.
• Mail spoofing: suplantación de correo electrónico
bien sea de personas o de entidades con el objetivo
de llevar a cabo envío masivo de spam. TROYANO
Se trata de un tipo de malware o software malicioso que
se caracteriza por carecer de capacidad de autoreplica-
SPYWARE ción. Generalmente, este tipo de malware requiere del
uso de la ingeniería social para su propagación.
Es un malware que recopila información de un ordena-
dor y después la envía a una entidad remota sin el conoci- Una de las características de los troyanos es que al ejecu-
miento o el consentimiento del propietario del ordenador. tarse no se evidencian señales de un mal funcionamien-
to; sin embargo, mientras el usuario realiza tareas habi-
El término spyware también se utiliza más ampliamente tuales en su ordenador, el programa puede abrir diversos
para referirse a otros productos como adware, falsos anti- canales de comunicación con un equipo malicioso remoto
virus o troyanos. que permitirán al atacante controlar nuestro sistema de
una forma absoluta.
SSL
VIRUS
Es un protocolo criptográfico seguro que proporciona co-
municaciones seguras a través de una red (por ejemplo Programa diseñado para que al ejecutarse, se copie a sí
Internet). Generalmente comunicaciones cliente-servidor. mismo adjuntándose en aplicaciones existentes en el equi-
El uso de SSL (Secure Sockets Layer) proporciona auten- po. De esta manera, cuando se ejecuta una aplicación infec-
ticación y privacidad de la información entre extremos so- tada, puede infectar otros archivos. A diferencia de otro tipo
bre una red mediante el uso de criptografía. SSL garantiza de malware, como los gusanos, se necesita acción humana
la confidencialidad de la información utilizando una clave para que un virus se propague entre máquinas y sistemas.
de cifrado simétrica y para garantizar la autenticación y
seguridad de la clave simétrica, se utilizan algoritmos de Los efectos que pueden provocar varían dependiendo de
cifrado asimétrico y certificados X.509. cada tipo de virus: mostrar un mensaje, sobrescribir ar-
chivos, borrar archivos, enviar información confidencial
En comunicaciones SSL de forma general solo se autenti- mediante correos electrónicos a terceros, etc. Los más
ca el lado del servidor mientras que el cliente se mantiene comunes son los que infectan a ficheros ejecutables.
40
CIBERSEGURIDAD
ZOMBIE
Es el nombre que se da a los ordenadores controlados INCIBE
de manera remota por un ciberdelincuente al haber sido incibe.es
41
CIBERSEGURIDAD
42
CIBERSEGURIDAD
PRINCIPALES
DATOS DE LA
CIBERSEGURIDAD
EN 2019
CHECK POINT
43
CIBERSEGURIDAD
44
CIBERSEGURIDAD
45
MANUEL MASCAR AQUE MONTAGUT
MASCARAQUE
UNESPA
¿Cuáles son los grandes retos del sector del Seguro en materia de cibersegu-
ridad?
El primer reto que tiene el seguro en materia de ciberseguridad es ayudar a in-
corporar la cultura de la prevención en esta materia en la pequeña y mediana
empresa, así como entre los particulares. Las grandes empresas hace tiempo que
incorporan el riesgo cibernético en su gestión de riesgos, pero la pyme, en líneas
generales, tiene todavía que desarrollar esa cultura específica. Entre otros aspec-
tos, el seguro debe superar las dificultades para obtener información sobre la tipo-
logía y casuísticas ante amenazas y ataques cibernéticos que se van produciendo,
de forma que pueda trasladar esos conocimientos a los productos de seguros. Es
decir, a las normas de suscripción y las coberturas que ofrecemos a nuestros clien-
tes, a fin de mejorarlas u orientarlas hacia sus demandas y necesidades.
A todo ello habría que añadirle la velocidad de vértigo a la que avanza la digitali-
zación y los avances técnicos y/o tecnológicos que produce la continua aparición
de nuevos riesgos.
46
MANUEL MASCAR AQUE MONTAGUT
47
MANUEL MASCAR AQUE MONTAGUT
¿Cuáles son los principales riesgos cibernéticos a los independientemente de su tamaño y de la actividad que
que están expuestas las empresas? realice, puede tomar medidas para protegerse de proble-
Partiendo de que no se puede generalizar, dado que los mas cibernéticos y, así, preservar su competitividad y su-
riesgos a los que están expuestas las pymes son distintas pervivencia.
en función de sus características y de su actividad, los in-
cidentes cibernéticos que amenazan a las pymes con ma-
yor frecuencia son, entre otros: ¿Cómo valora el nivel de protección, especialmente en-
• Las suplantaciones de dirección de correo electrónico tre las pymes, frente a los riesgos cibernéticos?
(phishing) Se ha producido un ligero crecimiento en la oferta asegu-
• Programas maliciosos (malware) radora en cuanto a productos y coberturas que protegen
• Programas de secuestro de datos (ransomware) ante posibles ciberataques debido a que las pymes están
• Ataques de denegación de servicios (“DDoS”, por sus cada vez más sensibilizadas con los ciberriesgos y tien-
siglas en inglés, “Denial of Service”), que causan que den a anticiparse a éstos, demandando cada vez más pro-
un servicio o recurso sea inaccesible a los usuarios. tección ante la nueva necesidad de reforzar sus negocios
• Programas de encriptación (cryptolockers) frente a los riesgos cibernéticos.
48
MANUEL MASCAR AQUE MONTAGUT
se a los riesgos y protegerse ante incidentes cibernéticos, Además, deben ser conscientes de que la digitalización va
minimizar su impacto, garantizar la recuperación de aque- abarcando cada vez más áreas de la empresa y, conse-
llo que haya podido resultar dañado y, principalmente, cuentemente, las va exponiendo a los riesgos cibernéticos.
asegurar la continuidad del negocio tras un ataque. Asi- Por ello, es conveniente que las empresas trasladen e in-
mismo, como complemento a la guía, tal y como se ha se- formen a todo el personal sobre la política de gestión de
ñalado anteriormente, UNESPA elaboró un decálogo con riesgos cibernéticos y las medidas de seguridad elegidas
consejos sencillos de ciberseguridad para pymes. Estas para protegerse ante los ciberataques. Por su puesto, ade-
medidas permiten proteger cualquier negocio de ataques más de informar, las organizaciones deben cerciorarse de
e incidentes cibernéticos, sin tener que realizar grandes que sus empleados cumplen con lo dispuesto en materia
inversiones. de ciberseguridad.
Por todo esto, el seguro trabaja de cerca y en paralelo a ¿Puede la tendencia del BYOD (Bring Your Own Device),
ese desarrollo tecnológico para conocer las tendencias cada vez más instaurada en las empresas, influir negati-
en riesgos informáticos. Ello permite no sólo adquirir cada vamente en este aspecto?
vez una mayor resiliencia cibernética, sino que, además, El BYOD, en tanto que constituye una práctica en la que se
ayuda a las aseguradoras a diseñar productos de seguro les permite a los empleados utilizar sus propios equipos
cyber cada vez más sofisticados, en los que el espectro de personales para uso profesional, crea una mezcla de la es-
coberturas abarca la protección ante nuevos ciberriesgos. fera personal —que se presume mucho menos protegida y
El seguro es necesario para mitigar el riesgo y las pérdi- que, en todo caso, se encuentra fuera del control de la em-
das que un ciberataque puede ocasionar a una empresa, presa— con la esfera profesional. Por lo tanto, el BYOD au-
y ayudarla a volver a echar a andar. Pero es crucial tener menta la exposición de las empresas a los ciberataques.
presente que la prevención y la gestión de riesgos empre-
sariales son muy relevantes en el ámbito tecnológico.
¿Cómo puede ayudar el sector del seguro a las empre-
sas a la hora de elaborar una estrategia frente a los ries-
¿Qué papel tienen los empleados en materia de ciberse- gos cibernéticos?
guridad? ¿Se debe formar a todos los empleados? ¿Exis- Existen muchas alternativas de productos de seguro y co-
te algún manual de buenas prácticas? berturas con las que el seguro puede ayudar a los empre-
Resulta imprescindible que todos los empleados de una sarios a proteger su organización, citamos algunas como
organización estén concienciados de que el riesgo inhe- ejemplo:
rente de sufrir un ciberataque es cada vez mayor debido • Los seguros de daños ofrecen coberturas que pro-
a la proliferación de nuevas tipologías de ciberataques. tegen el patrimonio y activos de la empresa. Por
49
MANUEL MASCAR AQUE MONTAGUT
50
CIBERSEGURIDAD
52
CIBERSEGURIDAD
EL 5G
UNA REVOLUCIÓN
Y UN RETO PARA
LA SEGURIDAD
Manuel Sánchez Gómez-Merelo
Consultor Internacional de Seguridad
El 5G ha sido diseñado para ser más seguro que las redes móviles an-
teriores, por tanto, hablaremos también de seguridad, porque el riesgo
y las vulnerabilidades, también parece que son reales. El 5G es ya
un comienzo de realidad imparable, al menos en ciudades españolas
como Barcelona, Málaga, Madrid y Sevilla.
53
CIBERSEGURIDAD
54
CIBERSEGURIDAD
OPORTUNIDADES PARA
NUEVOS SERVICIOS DE SEGURIDAD
GRACIAS AL 5G
55
CIBERSEGURIDAD
La utilización de la tecnología 5G será clave en la pres- ria que sea esta nueva tecnología, nunca debemos dejar
tación de servicios de comunicaciones críticas de banda de extremar las precauciones.
ancha a operativos de emergencias y seguridad, así como
en su aplicación a otros ámbitos como el sanitario, aten- Sus conexiones serán más seguras que la infraestructura
ción a la dependencia o gestión medioambiental presenta 4G actual, aun así, son muchos los desafíos a los que se
igualmente importantes ventajas. enfrentan las empresas por cumplir los estándares reco-
nocidos para garantizar la seguridad de esta tecnología.
Esta nueva forma de navegación facilitará el camino a tec-
nologías emergentes como la realidad virtual o los coches Los operadores están trabajando para fortalecer su ca-
sin conductor. Asimismo, permitirá ver vídeos 3D, trabajar pacidad de prevenir, detectar y mitigar la inevitable activi-
desde la nube, descargar archivos en total tiempo real o dad cibernética maliciosa dentro de los múltiples nuevos
hacer videollamadas sin interferencias, entre otras de las servicios que también transformarán la industria donde la
acciones rutinarias en las que notaremos las mejoras. protección de datos y los mecanismos de control y seguri-
dad son imprescindibles.
ESTA NUEVA FORMA DE NAVEGACIÓN Las redes de alta velocidad presentan también importan-
tes riesgos, amenazas y vulnerabilidades de ciberseguri-
FACILITARÁ EL CAMINO A TECNOLOGÍAS dad. La agencia de Ciberseguridad de la UE ya ha adverti-
EMERGENTES COMO LA REALIDAD VIRTUAL do que no existen suficientes garantías de que las nuevas
O LOS COCHES SIN CONDUCTOR redes sean seguras. Al ser mayor la cantidad de usuarios
conectados también existirá un mayor riesgo de ataques
informáticos. Por ello, las empresas de telecomunicacio-
nes deben aplicar soluciones de seguridad más fuertes
Esto, favorecerá al IoT o Internet de las cosas, que hace sobre esta nueva tecnología a fin de evitar ciberataques
referencia a objetos cotidianos que además de tener co- más complejos.
nexión a Internet tienen algún tipo de inteligencia y, por lo
tanto, se utilizarán para optimización del tiempo y mejorar También existe el debate, al igual que en otras tecnolo-
nuestra eficacia y calidad de vida. Además, de que tam- gías actuales como la Inteligencia artificial o el Big Data,
bién se producirá un incremento de los dispositivos que sobre la protección de los datos personales y la intimidad
tenemos conectados en nuestro hogar como las ilumina- de los individuos. Sobre todo, tras la aprobación del RGPD
ción, la seguridad, los electrodomésticos o la organiza- europeo.
ción de las tareas domésticas.
56
CIBERSEGURIDAD
En España, el director del Centro Nacional de Inteligencia Para Sanz Roldán se está produciendo una revolución
(CNI), Félix Sanz Roldán, ha advertido recientemente que, tecnológica radical y enormemente rápida y que el CNI
con la llegada de la tecnología 5G, la seguridad «va a sufrir debe estar y estará en el centro de esa revolución «Esta-
aún más» por lo que es preciso permanecer alerta ante los mos bien situados, tenemos la infraestructura adecuada
riesgos y oportunidades que brinda la revolución tecnoló- y un sistema de gobernanza (de la ciberseguridad) humil-
gica para saber beneficiarse de ella., ya que los cambios de, pero que está funcionando», ha animado Sanz Roldán,
tecnológicos provocan una gran inseguridad y «ruptura de confiado en que militares, civiles, expertos y empresarios
la confianza, especialmente en lo que vemos, percibimos sepan aprovechar la oportunidad de «sentarse a pensar y
y nos dicen es cierto». a trabajar juntos».
57
ALFONSO FRANCO
ALFONSO
FRANCO
CEO
ALL4SEC
All4Sec lleva ya cinco años en activo. ¿Cómo han evolucionado las ciber amena-
zas y la ciberseguridad durante ese tiempo?
Es evidente que se han producido muchos cambios en los últimos cinco años. En
el mundo actual nos movemos a velocidades de vértigo, y esto se aplica particular-
mente al entorno de la ciberseguridad. Por ejemplo, en 2014, cuando tras más de
15 años en el sector, decidí fundar All4Sec, comenzábamos a oír hablar del ranso-
mware. Apenas un año antes Snowden había divulgado los documentos de la NSA
que ponían a los ciudadanos en el centro de la cultura del espionaje tecnológico. Los
servicios en cloud estaban lejos de ser lo que hoy significan para muchos negocios.
¿Y qué decir del blockchain, el IoT, el Bigdata o los sistemas de Inteligencia Artificial?
Eran algo así como “lo que vendrá, pero que llevaría tiempo encajar en la cultura
empresarial”.
58
ALFONSO FRANCO
59
ALFONSO FRANCO
¿Cómo ven el panorama de la ciberseguridad en las Por esto mismo desde All4Sec abogamos por la concien-
compañías españolas? ¿Se lo toman lo suficientemente ciación como paso fundamental en la adopción de me-
en serio? didas de ciberseguridad. Una de las muchas cuestiones
Yo diría que comienzan a tomárselo. Bien es cierto que que nos plantean esos mismos clientes es su propio des-
hay diferentes formas de percibirlo. Las grandes compa- conocimiento en materia de ciberseguridad y su temor a
ñías y las Administraciones Públicas disponen de un gra- no saber tomar decisiones adaptadas a sus necesidades.
do de profesionalización mucho mayor, por la trayectoria Nuestra estrategia es hacerles entender los riesgos a los
de trabajo que llevan a sus espaldas. Sus modelos de que se exponen y plantearles cuestiones que afectan a la
organización han ido adaptándose a fin de incorporar la ciberseguridad de su operativa para posteriormente mos-
ciberseguridad como un elemento más de su estructu- trarles como atenuar los riesgos sin tener por qué hipote-
ra, dotándola de mayores recursos. Sin embargo, es en car su negocio. Poco a poco lo vamos consiguiendo, pero
el mercado de las PYMEs donde aún queda mucho por se trata claramente de una tarea de fondo que requiere un
hacer. La concienciación en ciberseguridad está llegando esfuerzo importante.
a ellos con cuentagotas y no siempre de la mejor manera
posible. Las noticias que aparecen en los medios de co-
municación despiertan la inquietud de un segmento del ¿Qué elementos conforman la ciberseguridad en una
mercado, el de las PYMEs, que en España representa más pyme?
del 99% del sector productivo y que emplea a más del 65% Cuando una PYME decide implantar medidas básicas de
60
ALFONSO FRANCO
ciberseguridad a menudo las relaciona con sus comunica- personales localizados en las oficinas; y los datos y aplica-
ciones a través de Internet. Quizás no sea un mal punto ciones externas cuya privacidad, integridad y confidenciali-
de partida, pero no debe llevarle a una falsa sensación dad deben estar garantizadas. Asimismo, los procedimien-
de seguridad. La ciberseguridad es mucho más que una tos y normas de actuación dentro de la compañía juegan
frontera física que combina elementos tecnológicos. un papel preponderante.
61
ALFONSO FRANCO
¿Qué consejos darías a una pequeña empresa en mate- Si una empresa es capaz de hacer partícipe a los em-
ria de ciberseguridad? pleados del impacto que tienen en la ciberseguridad de
Uno y fundamental, que integre la ciberseguridad como la organización habrá dado un paso de gigante para su
un elemento más dentro de su organización. No quiero protección frente a las posibles amenazas. Y para eso,
decir que incorpore a un experto en ciberseguridad en cada organización debe desarrollar su propio manual de
la plantilla —cosa por otra parte harto difícil en los tiem- trabajo guiado por normativas estándares como la ISO
pos actuales donde escasean los profesionales especia- 27001, recogiendo aspectos como la gestión de los dispo-
lizados— sino que se plantee cómo de preparada se en- sitivos físicos que utilizan, la notificación de incidentes, los
cuentra frente a una fuga de información, un ataque de controles de acceso, la monitorización, el conocimiento y
ransomware o una pérdida de operatividad informática. cumplimiento de normativas legales y otros conceptos que
Preguntas tan básicas como ¿dónde guardan la informa- resultan básicos conocer.
ción que consideran clave?, ¿tienen implementados me-
canismos para detectar y detener posibles ataques exter- Se habla mucho de las auditorías de ciberseguridad.
nos?, ¿revisan y actualizan periódicamente la seguridad ¿Cómo se desarrolla este proceso dentro de una empresa?
de sus infraestructuras informática?, ¿sabrían identificar Las auditorias de ciberseguridad son una forma de eva-
los usuarios que están conectados en cada momento y los luar el nivel de riesgo asumido por una organización. Lo
privilegios que tienen?, ¿cuánto les costaría recuperarse primero que hay que decir es que el riesgo cero no exis-
de un hipotético ataque?... Se trata de preguntas sencillas te, por eso es importante que toda empresa entienda qué
de responder si de verdad se han preocupado de ello. Si riesgos está dispuesta a asumir.
no es así, les recomendamos que se dejen asesorar por
compañías como All4Sec. A menudo resulta complicado hacer entender al CEO de
una compañía, sobre todo si es una PYME, que cualquier
medida de ciberseguridad que implante no le protegerá
LAS PYMES DEBERÍAN INTEGRAR ante cualquier eventualidad. Al final se trata realizar un
balance de riesgos que se convierte en su “particular pó-
LA CIBERSEGURIDAD COMO UN ELEMENTO liza de seguros”, un compromiso en el que se sitúe a un
MÁS DENTRO DE SU ORGANIZACIÓN lado de la balanza, el tiempo, el dinero y los recursos hu-
manos necesarios para afrontar los riegos, mientras, en el
otro lado, se ponderen las contraprestaciones que debe
¿Qué importancia tienen los empleados en la seguri- asumir en forma del nivel de riesgos que considere acep-
dad digital de una compañía? ¿Se debe formar a todos table. Y la auditoría es una forma de evidenciarlo.
los empleados? ¿Existe algún manual de buenas prác-
ticas? El modelo de trabajo que se sigue en una auditoría puede
El rol de los empleados en materia de ciberseguridad es ser interno o externo. En una auditoría interna o de caja
fundamental. Siempre se ha dicho que el usuario es el es- blanca se evalúa la seguridad de la empresa conociendo
labón más débil de la cadena de seguridad. Una compañía de antemano los procedimientos y medidas implantadas
puede implantar medidas de protección de sus comunica- por la organización. Con ello se determina si la compañía
ciones con firewalls o IPS, puede desplegar medidas de está siguiendo los preceptos que tiene definidos en cuan-
protección de los puestos de trabajo con sistemas anti- to al tratamiento de sus sistemas de información y en qué
malware o puede controlar quién se conecta a sus siste- medida pueden ser mejorados. En la auditoría externa
mas, estén estos en sus oficinas o localizados en servicios o de caja negra —que es la que más a menudo solicitan
en la nube, pero si al final un simple email de phishing las compañías— el auditor actúa como “elemento hostil”
puede llevar a que un empleado, sea el que sea, entre- frente a la organización intentando subvertir los sistemas
gue su contraseña a un tercero o abra un fichero con un con cualquier método que esté a su alcance. El objetivo es
malware, de poco habrá servido todo lo realizado. Algu- actuar como lo haría cualquier ciberdelincuente, pero con
nas consultoras lo definen como People Centric Security el único objetivo de evidenciar las debilidades de la organi-
(PCS), donde la concienciación del empleado se convierte zación en cuanto a la aplicación de medidas de protección
en herramienta clave en la estrategia de ciberseguridad o incluso respecto a los riesgos que ha decidido asumir.
de una compañía.
62
ALFONSO FRANCO
Existen numerosas metodologías de trabajo para realizar rreo electrónico han evolucionado a métodos avanzados
una auditoría. La más conocida es OSSTMM que estable- de phishing en los que se utiliza la información de contex-
ce que la intrusión en un sistema debe validarse desde el to, como la ausencia del CEO de la compañía o su relación
punto de vista de los datos, los procesos, la confiabilidad con otras personas, para convencer a las víctimas. Las vul-
de los servicios de Internet, las personas, los elementos nerabilidades que presentan los sistemas y aplicaciones
de comunicaciones fijos y móviles y el control del entorno son mantenidas en secreto durante largos periodos de
físico donde se localizan. Todos son eslabones de una ca- tiempo en los que son explotadas por los ciberdelincuen-
dena que puede ser rota en cualquier momento a partir tes. Se comercializa con los datos para obtener beneficios
del elemento más débil. económicos de su explotación. Se utilizan las capacidades
computacionales de las víctimas para conseguir nuevos
recursos. Y así un largo etcétera.
TODOS SON ESLABONES
En el otro lado de la ecuación se encuentran los fabrican-
DE UNA CADENA QUE PUEDE SER ROTA tes y consultores de tecnologías de ciberseguridad, con
EN CUALQUIER MOMENTO A PARTIR DEL propuestas que analizan el comportamiento de los usua-
ELEMENTO MÁS DÉBIL rios, los privilegios que tienen, los lugares desde donde
se conectan o incluso plantean infraestructuras informá-
ticas-cebo para engañar a los propios ciberatacantes. Se
trata de una lucha sin cuartel en la que cada vez más in-
Por eso el auditor se deberá mover a través de etapas, en tervienen intereses comerciales o políticos y que hacen de
ocasiones cíclicas, que partan de la vigilancia para con- las ciberamenazas una cuestión de estabilidad mundial.
seguir romper la cadena por uno de sus eslabones, com-
prometiendo su seguridad y permitiendo establecer bases
para continuar con el proceso de ataque. Un proceso que ¿Qué tendencias veremos en el 2020, hacia dónde se
habitualmente tiene como premio la escalada de privile- dirigen los ciberdelincuentes y cómo evoluciona la ci-
gios en el sistema, habilitándole para realizar movimientos berseguridad frente a ellos? (ataques a móviles, filtra-
laterales dirigidos a analizar caminos a recursos desprote- ciones de datos, secuestros y chantajes virtuales, etc.)
gidos, y así continuar con el proceso que ha de llevarle a Como decía anteriormente, la ciberdelincuencia continúa
mostrar a su cliente la posibilidad fehaciente de una fuga su camino hacia el beneficio económico, político o social.
de información o la pérdida de control de los recursos cor- El ransomware se ha convertido en el ataque más habi-
porativos. tual, o al menos, el más reconocido. De alguna forma, los
ciberdelincuentes han entendido que la información de los
usuarios, aunque no tenga valor para terceros, puede tener-
¿Cómo definirías el panorama de ciberamenazas ac- lo para ellos mismos lo que les convierte en víctimas propi-
tual? ciatorias. No hace falta rebuscar demasiado en los medios
No sé si decir que resulta apasionante o inquietante. Qui- de comunicación para ver compañías, Administraciones
zás los dos calificativos sean adecuados, en función de a Públicas o incluso particulares que se han visto afectados
quién se pregunte. La ciberdelincuencia ha evolucionado por el secuestro de su información. Las criptomonedas
desde objetivos meramente obstructivos, hasta fijar sus han contribuido a su consolidación al constituir un medio
metas en el beneficio económico, político o social. Ya no anónimo de obtener el beneficio económico buscado. A
se trata de hacer daño por el simple hecho de hacerlo, día de hoy, el ransomware genera pérdidas multimillona-
sino por sacar algún beneficio de ello. Se ha convertido rias en las empresas que a menudo se encuentran ante la
en un negocio tan lucrativo que supera con creces la ma- tesitura de pagar un rescate o perder toda su información.
yor parte de los negocios ilícitos que existen. Las técni-
cas de ataque han ido evolucionando desde despliegues
indiscriminados de malwares estándares a métodos per- LOS DISPOSITIVOS IOT Y LOS SERVICIOS
fectamente estudiados y dirigidos por organizaciones de
ciberdelincuentes que prolongan sus amenazas durante EN LA NUBE SON OTROS DE LOS OBJETIVOS
varios años. Así, los tradicionales ataques a través del co- DE LOS CIBERDELINCUENTES
63
ALFONSO FRANCO
Los dispositivos IoT y los servicios en la nube son otros Frente a ellos tenemos estrategias que se basan en la pre-
de los objetivos de los ciberdelincuentes. La interconexión vención y la respuesta ante incidentes que las compañías
que proporcionan a millones de elementos abre un aba- como All4Sec que nos dedicamos a ciberseguridad debe-
nico infinito de posibilidades. Entre los dispositivos IoT se mos desarrollar para nuestros clientes. Los sistemas de
encuentra la domótica y en particular los asistentes de monitorización inteligentes, la “orquestación” de servicios
voz que aportan un interfaz de acceso hasta ahora poco en la nube o incluso los modelos basados en Zero Trust
desarrollado y que se presta a múltiples posibilidades de que parten de la identidad digital como elemento de segu-
ataque aún por explorar. ridad central de los usuarios son algunas de las líneas que
comienzan a desarrollarse.
Ni que decir tiene que las infraestructuras críticas son otro
de los frentes de batalla de los ciberdelincuentes —solo
en el último año, por ejemplo, el CNPIC español clasificó ¿Cuáles son los mayores retos de 2020 en materia de
más del 30% de los ataques recibidos como graves— y que Ciberseguridad? (tanto para las empresas de cibersegu-
junto con la manipulación de las emociones a través de ridad como para las pymes)
fake news pueden ser herramientas de enorme impacto. La ciberseguridad se enfrenta a un torrente continuo de
retos que hacen de esta disciplina un entorno tremenda-
mente dinámico. Con el advenimiento de una innovación
EN 2019 EL CNPIC ESPAÑOL tecnológica siempre llega un reto al que hacer frente. Pri-
mero fueron los ordenadores personales y los virus, luego
CLASIFICÓ MÁS DEL 30% DE LOS ATAQUES vino Internet y su capacidad para tomar el control de equi-
RECIBIDOS COMO GRAVES pos remotos, las redes sociales y el comercio electróni-
64
ALFONSO FRANCO
co puso en liza la ingeniería social como herramienta de xión a redes wifi en verano, las compras online navide-
ciberataque, los dispositivos móviles y los servicios en la ñas, etc. ¿Qué consejos darías como experto?
nube han hecho de la identidad digital el foco de interés. Se trata de recomendaciones de sentido común que he-
Ahora con la aparición de los dispositivos IoT, los sistemas mos visto hacer a multitud de organismos públicos y priva-
robotizados o de conducción autónoma, el Big data y la dos. Al final, como decía en una de las anteriores pregun-
Inteligencia Artificial nos enfrentamos a nuevos desafíos tas, el usuario se convierte en el eslabón más débil de la
que se verán acentuados con la consolidación de las nue- cadena de ciberseguridad, de ahí que su comportamiento
vas tecnologías 5G o la computación cuántica, por poner sea de especial relevancia. No insistiré en lo que parece
algún ejemplo. obvio como es no conectarse a redes wifis desconocidas,
ni proporcionar datos de identificación a través de ellas o
comprobar la veracidad de los dominios a los que nos co-
AHORA NOS ENFRENTAMOS nectamos o validar las ofertas de productos que recibimos
o consultamos, o proteger nuestros dispositivos móviles
A NUEVOS DESAFÍOS QUE SE VERÁN con elementos de doble autenticación o cifrado, etcétera,
ACENTUADOS CON LA CONSOLIDACIÓN etcétera. Podríamos alargarnos demasiado. Quizás al final
DE LAS NUEVAS TECNOLOGÍAS 5G todo se reduzca a una única recomendación que puede
sonar excesiva: frente a Internet, y en términos de ciberse-
O LA COMPUTACIÓN CUÁNTICA guridad, no nos hará daño actuar como paranoicos.
En 2020 es de esperar que aún falte tiempo para conso- FRENTE A INTERNET, Y EN TÉRMINOS DE
lidar algunas de estas innovaciones, por eso es más que
posible que el próximo año veamos avanzar los sistemas CIBERSEGURIDAD, NO NOS HARÁ DAÑO
inteligentes aplicados a la ciberseguridad a través de la ACTUAR COMO PARANOICOS
integración de múltiples elementos de protección. En par-
ticular, en las PYMEs es más que probable que se impulse
la adopción de servicios integrados prestados desde la Háblanos de algunos de los términos relacionados con
nube para facilitarles la operatividad. la ciberseguridad que cada vez aparecen más en los
medios de comunicación: ransonware, malware, botnet,
exploit, IDS, pharming, phishing, spoofing, y spyware.
¿Cuáles son las novedades e innovaciones de última ge- Es curioso, y a la vez interesante, ver como día a día va-
neración en materia de ciberseguridad? mos haciendo nuestros muchos de los conceptos que en
Los campos de actuación en los que actualmente la in- terminología anglosajona forman parte del vocabulario ha-
dustria de ciberseguridad está trabajando incluyen he- bitual utilizado en ciberseguridad. El ransomware es una
rramientas y productos para la gestión de cuentas con palabra que combina dos términos, ransom y software. La
privilegios (PAM), los sistemas anti-phishing activos, los primera quiere decir “rescate”, con lo cual es fácil deducir
sistemas avanzados de detección y respuesta ante inci- que ransomware es una aplicación que pide un rescate
dentes (MDR), los sistemas CASB para la protección de por el secuestro de algo, normalmente información; un
servicios en la nube, los modelos adaptados de actuali- secuestro que viene dado por la inutilización de los datos
zaciones de vulnerabilidades, como por ejemplo sugiere a través del cifrado de los mismos y que solo se pueden
Gartner en su iniciativa CARTA, los sistemas inteligentes recuperar si se conoce la clave de descifrado. Así de sen-
de contramedidas (Threat Intelligence) o la gestión avan- cillo. Apliquemos el mismo razonamiento a palabras como
zada de identidad (IdM). Cada una de estas líneas de tra- malware o spyware —maldad o malo y espía, respectiva-
bajo representa un área de innovación que el mercado mente— y llegaremos a sus correspondientes significados.
está afrontando o afrontará en los próximos años.
Respecto a los botnets podemos decir que se trata de
redes de ordenadores en las que se ha conseguido ins-
Hay momentos en los que aumenta nuestra vulnerabili- talar aplicaciones que se ejecutan de forma automáti-
dad como usuarios, por ejemplo: Black Friday, la cone- ca y que actúan de forma coordinada en manos de un
65
ALFONSO FRANCO
CM
MY
ciberdelincuente, por ejemplo, para enviar correos o blo- NOS INVITA A CONECTARNOS A UN BANCO, CY
quear servicios haciéndoles peticiones que acaban satu-
rándolos. Algunos los asociarían con un “ejército de orde- PORTAL DE COMERCIO ELECTRÓNICO O CMY
nadores zombis” a disposición de un tercero. En cuanto a RED SOCIAL, PERO QUE EN REALIDAD SON K
66
CIBERSEGURIDAD
68
CIBERSEGURIDAD
69
CIBERSEGURIDAD
LO PODEMOS HACER MEJOR Por lo tanto, eliminar esta cultura de las artes oscuras es
un imperativo para todos los que buscan mejorar la se-
guridad digital a nivel mundial. Afortunadamente, no es
El gran problema en seguridad no son las personas, los un sueño imposible. Unos cuantos cambios concertados,
procesos o la tecnología. Si bien es imperfecta, la indus- simples, aunque no fáciles, nos llevarían lejos.
tria está llena de personas trabajadoras y con talento, y la
conciencia de seguridad y los procesos están mejorando
rápidamente en la mayoría de las empresas, y, además, ELIMINAR ESTA CULTURA DE LAS ARTES
no hay escasez de buena tecnología.
OSCURAS ES UN IMPERATIVO PARA
TODOS LOS QUE BUSCAN MEJORAR LA
EL GRAN PROBLEMA ES CULTURAL, SEGURIDAD DIGITAL A NIVEL MUNDIAL
Y ESTÁ EN LA RAÍZ DE TODAS ESTAS
OTRAS DEFICIENCIAS
AMPLIAR EL GRUPO DE TALENTOS
Con demasiada frecuencia, la seguridad se rodea de una Primero, la cultura de seguridad necesita adoptar la ver-
cultura inmadura y oscura que perjudica a las personas, dadera diversidad cognitiva, necesita dar la bienvenida a
los procesos y la tecnología. Esta cultura permite una fal- las personas con un conjunto más diverso de habilidades,
ta de diversidad en su base de talentos y disuade a los puntos de vista y experiencias. La industria de la ciber-
nuevos participantes, fomenta sus debilidades en la co- seguridad tiene más de 30 años, y algunas de sus tec-
municación efectiva con los líderes corporativos y guber- nologías más frecuentes han existido desde el principio.
namentales de quienes los ciudadanos dependen para la Dado el ritmo de los principales incidentes de seguridad
seguridad en su vida digital diaria, y alienta la tolerancia que hemos visto en los últimos años, podemos afirmar
a lo arcano, con herramientas demasiado complejas y di- que los enfoques actuales no están funcionando. Parte
fíciles de usar. del problema radica en que las personas que construye-
ron la industria entonces, siguen siendo las que trabajan
en esos problemas ahora, sin suficientes aportes nuevos.
LA SEGURIDAD SE RODEA DE UNA
La cultura de seguridad contribuye a alterar el equilibrio
CULTURA INMADURA Y OSCURA QUE natural de la oferta y la demanda. Esta desalineación es
PERJUDICA A LAS PERSONAS, LOS especialmente preocupante dada la escasez endémica de
PROCESOS Y LA TECNOLOGÍA talento de seguridad. Es probable que haya 20 millones
de empleos de seguridad cibernética sin cubrir para este
2020. Sin embargo, solo el 11% de la fuerza laboral de se-
guridad es femenina. ¿Por qué? Tal vez por razones como
Que esta cultura exista no debería sorprendernos. Hay el hecho de que la feria comercial más grande de la indus-
una mística que rodea el mundo cibernético. Muchos in- tria de la seguridad, RSA, tardó 16 años en prohibir a los
vestigadores e ingenieros de seguridad se enorgullecen vendedores el empleo de azafatas de stand.
de haber adquirido sus habilidades después de innumera-
bles horas de trabajo nocturno, muchas veces en asuntos La diversidad, en todos los sentidos (educación, experien-
clasificados o en roles sujetos a confidencialidad. Por lo cia de vida, perspectiva, conjunto de habilidades), es la
tanto, los equipos, los enfoques y las herramientas que fuente de la innovación. Necesitamos nuevos puntos de
nacen de esta mentalidad y la favorecen en la industria, vista sobre los problemas de ciberseguridad para tener
hoy en día son principalmente autorreferenciales, dirigi- una oportunidad realista de desarrollar enfoques verdade-
dos a expertos e indescifrables para los extraños. Pero ramente nuevos, buscar talento en una gama más amplia
no hay suficientes expertos para todas las empresas que de lugares y reclutar con procesos más estructurados que
se enfrentan a ataques cada vez más sofisticados. promuevan la diversidad. Corresponde a los líderes de la
70
CIBERSEGURIDAD
industria de la seguridad promover culturas corporativas, la cima de la escala corporativa. Pero la falta de fluidez no
organizativas y medidas que aporten diversas perspecti- necesita comprometer la buena gobernanza.
vas para desarrollar los nuevos enfoques de los proble-
mas de seguridad que son necesarios para ganar.
LA INDUSTRIA NECESITA EVOLUCIONAR
MÁS ALLÁ DE UNA HISTORIA DE AMOR
EN EL MISMO IDIOMA CON LA TECNOLOGÍA WHIZ-BANG
La segunda forma en que la cultura de seguridad obsta-
culiza su efectividad es en cómo los líderes de seguridad
tienden a interactuar con los encargados de tomar las de- Corresponde a los propios profesionales de la seguridad tra-
cisiones empresariales que apoyan. En general, la indus- ducir los arcanos de su trabajo al lenguaje comercial, igual
tria necesita evolucionar más allá de una historia de amor que a los buenos equipos y juntas directivas cumplirlos. La
con la tecnología whiz-bang, madurar más allá del alar- ciberseguridad no es un riesgo extraño y exógeno que re-
quiere un vocabulario y una visión del mundo completa-
mismo y aprender a hablar de manera que los equipos de
mente nuevos; es un riesgo empresarial central para ser
gestión puedan entender. Por ejemplo, la mayoría de los
administrado dentro de los marcos existentes. Eso puede
consejeros y ejecutivos son más fluidos en el lenguaje de hacer que sea menos elitista a los ojos de algunos expertos
la contabilidad que en el de Ruby o Java. Esto es por una en seguridad, menos exclusivo, menos genial, pero hará que
función de su educación, y porque las generaciones “naci- la seguridad sea más efectiva, que es el objetivo principal.
das digitales” en muchos lugares aún no han ascendido a
71
CIBERSEGURIDAD
HACER HERRAMIENTAS MÁS FÁCILES Pero esas banderas rojas relevantes se ahogaron en un
mar con otras banderas. En lugar de analizar la señal de
DE UTILIZAR peligro, la propia señal se convirtió en peligro porque los
sistemas de seguridad eran demasiado difíciles de usar,
En tercer lugar, la cultura de seguridad debe dejar de to- abrumando a sus operadores humanos en lugar de em-
lerar herramientas y estándares diseñados para ser utili- poderarlos.
zados por los expertos en lugar de hacer que la seguridad
sea más accesible para una gama más amplia de per- Este no es un problema imposible de resolver. Considere-
sonas. Debemos esperar apertura y facilidad de uso en mos, como ejemplo, el tema simple de la sintaxis de con-
productos de seguridad empresarial, de la misma manera sulta. Una tarea rutinaria de ciberseguridad es “pregun-
que los productos de consumo atienden a sus usuarios. tar” en toda la infraestructura si es posible y dónde puede
ser vulnerable a algún nuevo ataque. Por lo general, esto
requiere un amplio y concreto conocimiento para elaborar
LA FACILIDAD DE USO una pregunta, en apariencia muy sencilla, pero muy com-
pleja de plantear. Entonces ¿por qué no reunir los avances
NO SE TRATA SOLO DE CONVENIENCIA; en la ciencia de datos y la experiencia del usuario para
SE TRATA DE SEGURIDAD traducir esa sintaxis compleja en un comando simple?
72
CIBERSEGURIDAD
74
CIBERSEGURIDAD
LA CIBERSEGURIDAD
COMO COMPONENTE
CLAVE
DE LA SEGURIDAD
INTEGRAL
EN EMPRESAS
Carlos Navarro Sánchez
Ingeniero preventa Ciberseguridad de Empresas IMAN
75
CIBERSEGURIDAD
76
CIBERSEGURIDAD
la seguridad informática. Como estamos en la era donde segura y trazable, en la que los productos pasarán por
todo está conectado, el acceso a todas estas aplicaciones unos procesos de seguridad que identificarán en todo
y datos, debe de ser protegido mediante la ciberseguridad. momento donde están.
Una vez que el trabajador entre en las instalaciones se
sentará en su silla, encenderá el ordenador y se conecta-
rá al programa de registros de entrada. Como trabaja en LAS SOLUCIONES DE CONTROL POR NFC,
el departamento de recursos humanos, al momento y de
manera inmediata visualiza los trabajadores que hay en O CÓDIGOS QR, NOS ASEGURARÁ QUE
cada departamento y la hora de entrada de cada uno de UNA CARGA O DESCARGA SE REALIZA
ellos. Decide realizar un control identificando su acceso. DE UNA FORMA SEGURA Y TRAZABLE
Esta industria tiene diferentes procesos de producción,
controlados por PLC y sistemas Scada, que normalmente
no están diseñados para evitar un sabotaje. Ni siquiera Damos por sentado que en el acceso a las instalaciones
los procesos productivos están pensados para ejecutarse debe de haber una seguridad física, combinada con segu-
de una forma segura, desde un punto de vista técnico. Si- ridad tecnológica y todo ello con la escolta de la ciberse-
guiendo con el proceso de esta industria, analicemos aho- guridad. Pero no nos preocupamos si las máquinas que
ra la logística de los productos que tenemos que vender, participan en el proceso industrial son utilizadas indebida-
donde suele haber una alto número de incidencias. Las mente, se han cambiado sus parámetros accidentalmen-
soluciones de control por NFC, o códigos QR, nos asegu- te, han sido saboteadas o cambiadas al uso. ¿Se imagina
rará que una carga o descarga se realiza de una forma una característica clave del producto cambiada durante 8
77
CIBERSEGURIDAD
horas en una cadena de producción realizada a 20.000 diferentes procedimientos operativos y técnicos como el
km de distancia? ¿Y realizada a 1 metro de distancia? ¿Po- de copias de seguridad, control de acceso al CPD, con-
dría verificar en 5 minutos que ha pasado? Podemos pen- trol del flujo de la información, aplicación de normativa
sar que sí, con un sistema de procesos seguro, comple- como la RGPD, cifrado de las conexiones, eliminar el uso
mentado con analítica de vídeo y una política adecuada del papel por una cuestión medioambiental pero también
de ciberseguridad, a partir del cual se atajaría el proble- por un criterio de confidencialidad. Además, esta estrate-
ma de raíz, asegurando productos de mayor calidad, en- gia estará asentada en principios y buenas prácticas de
tregándolos en perfecto estado y a su debido tiempo. En normas y metodologías que garanticen que la actividad
este escenario, también deberíamos de contar con otra empresarial no sea afectada por un riesgo que no haya
variable que son los sabotajes intencionados realizados sido previamente analizado.
desde dentro de la empresa.
78
ANTONIO CIMORRA
ANTONIO
CIMORRA
Director de Tecnologías de la Información y Agenda Digital
AMETIC
¿Cuáles son los principales riesgos a los que están expuestas las empresas en
materia de ciberseguridad?
Cada día las empresas trabajan en un entorno más digital, con más información
y medios electrónicos, pero habitualmente no se dotan de presupuesto suficiente
para afrontar los nuevos riesgos a los que se exponen. Un buen ejemplo de esta
situación podemos encontrarlo en las empresas que dedican presupuestos para
desplegar un canal de venta online, pero no se preocupan del fraude que le puede
llegar a través de éste o de cuidar que ese canal no sea vulnerable a ser utilizado
de maneras imprevistas.
80
ANTONIO CIMORRA
81
ANTONIO CIMORRA
¿Son conscientes las empresas de estos riesgos? ¿Qué actuaciones se llevan a cabo desde su organiza-
Cada vez son más conscientes. En el caso de grandes ción para mejorar la protección de las empresas en este
empresas, que son más proclives a recibir ciberataques ámbito?
a nivel mundial, son muy consecuentes con las amenazas Siendo muy conocedores de los riesgos en el contexto di-
tecnológicas. En el otro extremo, la mayor parte de las py- gital que nos ocupa, en AMETIC existe una Comisión de
mes, incluso siendo más vulnerables, no tienen esta per- Ciberseguridad en la que se dan cita los principales pro-
cepción y asumen más riesgos, en muchos casos sin ser veedores de servicios y soluciones de esta tecnología.
conscientes de ello.
En este contexto, venimos desarrollando acciones para
concienciar a la sociedad y a las organizaciones a nivel
LA MAYOR PARTE DE LAS PYMES, SIENDO de dirección sobre la importancia de gestionar los riesgos
informáticos y conformamos un canal colaborativo con los
MÁS VULNERABLES, NO TIENEN ESTA principales agentes en materia de ciberseguridad del pa-
PERCEPCIÓN Y ASUMEN MÁS RIESGOS norama nacional e internacional.
POCO PREDECIBLES,
M
guridad, aunque todavía hay mucho trabajo que abordar,
y es necesario concienciar a la sociedad y a las organiza- Y DIFÍCILES DE ELIMINAR
Y
inmediato?
ESPAÑA ESTÁ ENTRE LOS PAÍSES CON La amenaza tecnológica más extendida actualmente es el
Ransomware. Este tipo de ciberataque fue mundialmente
MEJOR ÍNDICE DE CIBERSEGURIDAD, conocido por recientes casos de amplia afectación. Son
AUNQUE TODAVÍA HAY MUCHO TRABAJO ataques poco predecibles, y difíciles de eliminar, por eso
QUE ABORDAR es importante tener un protocolo interno de actuación en
ciberseguridad que permita prevenir estos desastres tec-
nológicos en las empresas.
82
DONDE LAS
BUENAS EMPRESAS
ENCUENTRAN
A LOS INVERSORES
ADECUADOS
powered by
capitalizer.eu
CIBERSEGURIDAD
84
CIBERSEGURIDAD
85
CIBERSEGURIDAD
La banca informa regularmente a sus clientes sobre cómo ASÍ PUEDES EVITAR UN ATAQUE
evitarlos. Algunas entidades, incluso, añaden un pie de
página en sus correos electrónicos en el que recuerdan DE ‘PHISHING’
que el banco nunca solicitará por e-mail contraseñas o
números secretos, recuerdan los expertos en finanzas La mayoría de los ataques de phishing, especialmente
personales de HelpMyCash.com. Sin embargo, seguimos los que están relacionados con los bancos, funcionan
cayendo en la trampa. ¿Por qué? igual. La víctima recibe una comunicación, por ejemplo un
e-mail o un SMS, de un remitente supuestamente oficial
Al parecer, sobrevaloramos nuestras capacidades para que le invita a pinchar sobre un enlace. Dicho link apunta,
distinguir los ataques de phishing. De acuerdo con un aparentemente, a la página web de la compañía, aunque
estudio realizado por la compañía Webroot, “casi cuatro en realidad se trata de una copia. Una vez en la web, el ob-
de cada cinco trabajadores de oficina (79%) piensan que jetivo es que la víctima introduzca sus datos, normalmente
pueden distinguir un mensaje de phishing de uno real”; datos financieros, o realice algún pago. Si caemos en la
sin embargo, parece que realmente desconocen todas las trampa, lo más probable es que perdamos dinero o nos
fuentes de las que pueden proceder este tipo de ataques. suplanten la identidad.
86
CIBERSEGURIDAD
Si llegamos a pinchar, antes de dar ningún dato personal, destino al que supuestamente deben dirigir, únicamente
debemos comprobar que la web está totalmente operati- el 43% de los encuestados para elaborar el estudio de We-
va y que realmente es la original, además de verificar que broot verifica que los links coincidan con su destino antes
cuenta con los estándares de seguridad esperados (certi- de pinchar sobre ellos, “a pesar de que hacer clic en en-
ficado válido, protocolo seguro de transferencia de datos, laces maliciosos es una de las principales formas en que
etc.). Y no olvidemos que nuestro banco nunca nos pedirá un simple intento de phishing puede convertirse en una
todos nuestros datos de golpe, como, por ejemplo, todas infección importante”, afirma el estudio.
las posiciones de una tarjeta de coordenadas.
Asimismo, solo el 52% de los encuestados verifica la gramá-
tica del mensaje, únicamente el 38% comprueba su tono
SEGUIMOS SIN ESTAR ALERTAS y tan solo el 44% verifica la firma original del remitente.
87
CIBERSEGURIDAD
88
CIBERSEGURIDAD
EL CRYPTOJACKING
SIGUE SIENDO
LA PRINCIPAL
AMENAZA
Check Point Software Technologies Ltd.
Este estudio pone de manifiesto las principales tácticas que los ciber-
criminales están empleando para atacar a las empresas de cualquier
sector en todo el mundo. Asimismo, también ofrece a los ejecutivos
y profesionales de seguridad la información que necesitan para pro-
teger sus compañías de las amenazas y ciberataques de Gen 5 de la
actualidad.
89
CIBERSEGURIDAD
90
CIBERSEGURIDAD
Los criminales están eligiendo cuidadosamente sus ob- indica Lotem Finkelsteen, Major Intelligence Officer de
jetivos, con el objetivo de obtener los máximos ingresos Check Point Software Technologies. “Incluso si una orga-
posibles. nización está equipada con los productos de protección
más completos y de última generación, el riesgo de sufrir
alguna brecha de seguridad no desaparece por completo.
DISMINUCIÓN DE LOS ATAQUES A Más allá de la detección y la reparación, las organizacio-
nes necesitan adoptar una estrategia de ciberseguridad
DISPOSITIVOS MÓVILES basada en la proactividad para adelantarse así a los ciber-
delincuentes y evitar los ataques. Además, una detección
A lo largo de 2019, el 27% de las compañías de todo el y bloqueo automático del ataque en una etapa temprana
mundo sufrieron ciberataques en los que se comprome- pueden prevenir el daño. Nuestro Informe de Seguridad
tía la seguridad de los dispositivos móviles, mientras que 2020 explica todo aquello que las organizaciones deben
en 2018 ese porcentaje alcanzó el 33%. Aunque el pano- tener en cuenta y cómo pueden ganar la guerra contra los
rama de las ciberataques contra los dispositivos móviles ciberataques mediante las mejores prácticas clave”, aña-
está madurando, las organizaciones son cada vez más de Finkelsteen.
conscientes de este tipo de amenazas y están desplegan-
do más niveles de seguridad.
LAS ORGANIZACIONES NECESITAN
ADOPTAR UNA ESTRATEGIA
EL AÑO EN QUE LOS ATAQUES MAGECART DE CIBERSEGURIDAD BASADA
SE CONVIRTIERON EN UNA EPIDEMIA EN LA PROACTIVIDAD PARA ADELANTARSE
Estos ataques, que inyectan código malicioso en los sitios ASÍ A LOS CIBERDELINCUENTES
web de comercio electrónico para robar los datos de pago Y EVITAR LOS ATAQUES
de los clientes, afectaron a cientos de páginas web en to-
das las plataformas en 2019, desde cadenas hoteleras
hasta gigantes del comercio y PYMES.
Security Report 2020 de Check Point se basa en datos
de ThreatCloud Intelligence de Check Point, la mayor red
de colaboración para la lucha contra la ciberdelincuen-
AUMENTO DE LOS ATAQUES A LA NUBE cia que proporciona datos sobre amenazas y tendencias
de ataques de una red global de sensores de amenazas.
Actualmente, más del 90% de las empresas utilizan ser- También toma como referencia las investigaciones de
vicios en la nube y, sin embargo, el 67% de los equipos Check Point durante los últimos 12 meses y una nueva
de seguridad se quejan de la falta de visibilidad de su encuesta de profesionales de TI y directivos que evalúa su
infraestructura cloud, así como de la seguridad y cumpli- preparación para las amenazas actuales. El informe exa-
miento de las normas. La magnitud de los ataques e in- mina las últimas amenazas emergentes contra diversos
fracciones en la nube ha seguido creciendo en el 2019. sectores de la industria y ofrece una visión general de las
De hecho, la mala configuración de los recursos se man- tendencias observadas en el panorama del malware, en
tiene como la principal causa de los ataques a la nube, los nuevos vectores de violación de datos y en los ciberata-
pero ahora también se produce un aumento en el un nú- ques de los Estados nacionales. También incluye análisis
mero de ataques dirigidos directamente a los proveedo- de expertos de los líderes de opinión de Check Point, para
res de servicios en la nube. ayudar a las organizaciones a comprender y prepararse
para el complejo panorama de amenazas de la actualidad.
“El año 2019 dibujó un complejo panorama de amena-
zas en el que los países, las organizaciones de ciberdelin-
cuencia y los contratistas privados aceleraron la carrera
armamentística cibernética, elevando así su potencial a CHECK POINT
un ritmo alarmante, algo que continuará durante el 2020”, checkpoint.com
91
CIBERSEGURIDAD
92
CIBERSEGURIDAD
LAS 4 BRECHAS
DE SEGURIDAD
DEL LECTOR DE
HUELLAS Y EL
RECONOCIMIENTO
FACIAL
PLAN Magazine
Desde que en 2013 Apple anunció que su nuevo iPhone contaría con
un sensor para huellas digitales que permitiría desbloquear el teléfo-
no, los usos de la biometría para identificar a personas en entornos
digitales se han multiplicado.
93
CIBERSEGURIDAD
94
CIBERSEGURIDAD
1. LA BIOMETRÍA NO ES UN SISTEMA
INEQUÍVOCO
A diferencia de la identificación con contraseña, pueden
existir casos dudosos: «Una clave o la sabes o no la sa-
bes, no existe duda alguna. Sin embargo, al crear un pa-
trón de una huella digital o de los rasgos de un rostro,
puede que la imagen captada coincida en gran medida
con ellos, pero no sea del todo idéntica», explica Rifà. En
estos casos hay que poner un umbral y tanto si se es muy
estricto en el nivel de coincidencia como si no, se pueden
generar problemas. «Si se es muy estricto, el sistema pue-
de descartar a personas que deberían estar validadas y
ser poco efectivo, pero si se es poco estricto, se puede
validar a personas no autorizadas», explica la profesora.
Además, pueden existir personas con rasgos físicos muy
similares: «No está comprobado científicamente que las
huellas dactilares sean únicas, y en el caso del rostro hay
casos complicados, como el de los gemelos», considera el
profesor Serra.
95
CIBERSEGURIDAD
3. LOS RASGOS FÍSICOS IDENTIFICATIVOS que nos pudieran trazar los movimientos, sería necesario,
NO PUEDEN MODIFICARSE además del dato biométrico, que las otras bases de da-
tos fueran accesibles a todos y solo pidieran este factor
Nuestra huella dactilar o nuestro iris tienen unas caracte- de autenticación», concreta Serra, que considera que «las
rísticas permanentes, que no podemos cambiar. «Esto re- cámaras que registran imágenes en la vía pública o la co-
presenta un problema si alguien consigue nuestros datos nexión GPS de los móviles son una vía mucho más directa
biométricos para hacer un uso fraudulento de ellos, pues- de registro de nuestros movimientos».
to que, a diferencia de la contraseña, si un atacante pue-
de conseguirlos, después no podemos modificarlos», ex- Por lo tanto, a pesar del aumento exponencial del uso
plica Rifà. «Los sistemas deberían prever la opción de que de estas tecnologías para autenticar a los usuarios en
podamos revocar, por ejemplo, una huella, de forma que entornos digitales, «para garantizar la seguridad total y
si ha existido un problema de seguridad podamos activar preservar la privacidad del usuario, el uso de tecnologías
el sistema con la imagen de otro dedo», recomienda Serra. biométricas en la identificación y validación de las perso-
nas en entornos digitales debe investigarse más y mejor»,
considera Rifà.
96
javieririondo.es A la venta en:
CIBERSEGURIDAD
98
CIBERSEGURIDAD
CIBERPROTECCIÓN,
MÁS ALLÁ
DE LOS ATAQUES
AXA | Publireportaje
99
CIBERSEGURIDAD
en las personas; la tecnología es solo un medio, un faci- haber sufrido el ataque), así como frente a las reclamacio-
litador. Esto nos da perspectiva de la importancia de la nes de terceros que les lleguen.
formación en las empresas en materia de ciberseguridad.
Un seguro, que es mucho más que un seguro ofreciendo,
por ejemplo, un análisis personalizado para que cada
DESARROLLAR UNA CULTURA Pyme conozca su nivel de madurez en cuanto a la ciberse-
guridad se refiere, asistencia permanente de expertos (en
DE CIBERSEGURIDAD ES CLAVE DADO caso de una brecha de seguridad, el tiempo es oro) para
QUE EL USUARIO ES EL ESLABÓN MÁS saber cómo actuar en cada momento, servicio forense,
IMPORTANTE EN LA CADENA restauración de sistemas, etc; y sobre todo, formación y
asesoramiento continuo a los empleados y usuarios. Una
DE SEGURIDAD formación para proteger la información de la empresa, la
de sus clientes y proveedores.
El entorno actual, con ataques crecientes, normativa más Necesariamente el riesgo cibernético se ha de gestionar
exigente en materia de protección de datos, incremento de forma proactiva y de la mano de un asesor experto.
de la digitalización, etc…nos obliga a pensar en la protec- Es fundamental que las pymes, conscientes de lo que se
ción y en los seguros asociados a ello. Si no podemos evi- juegan (paralización de actividad, reclamaciones, caída de
tar ser atacados al menos sí podemos reducir el impacto reputación, etc…) inviertan adecuadamente fomentando
y estar preparados. En ese sentido, el seguro de ciber de una cultura de ciberseguridad y no confíen su cibersegu-
AXA sirve como primera barrera de prevención e instru- ridad a la contratación de un servicio de asistencia infor-
mento de protección en caso de estar impactado por una mática sin más.
brecha de seguridad.
100
Ciber Protección
Ciberseguridad
Protección
Tranquilidad
Solvencia
RUBÉN
MARTÍ
Lead of Cibersecurity Consultant
IZERTIS
102
RUBÉN MARTÍ
103
RUBÉN MARTÍ
El entorno de hiperconectividad en el que trabajamos, nización. Por eso es crítico contar con un proveedor que
supone un aumento del riesgo para todo tipo de orga- transforme esa complejidad en una estrategia adaptada
nizaciones. ¿A qué retos se enfrentan las pymes en el de cada negocio en objetivos y costes, un plan de implan-
contexto de la ciberseguridad? tación eficiente y, muy importante, la capacidad de asumir
Actualmente el principal desafío al que se enfrenta la parte de esa estrategia a partir de servicios gestionados.
pyme es que ya no es posible mantener su negocio sin tec-
nología. Es necesario aceptar esta realidad y, por tanto, no
se puede renunciar o eludir la gestión del riesgo inherente LA CIBERSEGURIDAD DEPENDE DE TRES
al propio negocio.
EJES BÁSICOS: TECNOLOGÍA, PROCESOS
Nos enfrentamos a entornos cambiantes, a flujos de datos Y PERSONAS, Y SON ÉSTAS, LAS
cada vez más deslocalizados, a la necesidad de presen- PERSONAS, EL ESLABÓN MÁS DÉBIL
tar y entregar información a cualquier parte del mundo y
a cualquier hora, al Internet de las cosas, etc. Todo esto
hace imposible imaginar “silos” de información blindados.
Las trincheras dejan de tener sentido y necesitamos defi- Desde Izertis afirman que el mayor vector de ataque es
nir entornos de ciberseguridad fluidos, donde el epicentro el usuario interno, por lo que es necesaria una concien-
pasa a ser el dato en cualquiera de sus estados. cia en materia de seguridad y buenas prácticas dentro
de las organizaciones (hacking social). ¿Cómo puede
mejorarse este aspecto? ¿Es el BYOD una buena prácti-
Sobre su experiencia, ¿qué elementos clave en materia ca para las empresas, más allá del ahorro de costes en
de ciberseguridad deben implementar las pymes? material tecnológico?
La ciberseguridad depende de tres ejes básicos: tecno- Tal y como mencionábamos antes, el usuario es el eslabón
logía, procesos y personas, y son éstas, las personas, el más débil de la cadena de ciberseguridad. Independien-
eslabón más débil. Siempre es así. Lo primero que deben temente del tipo de dispositivos utilizados, ya sean BYOD
afrontar las empresas es incrementar y cuidar la concien- o propiedad de la empresa, las acciones de conciencia-
ciación y, solo entonces, las políticas, normas y procedi- ción son básicas y estrictamente necesarias. El usuario
mientos serán eficaces y eficientes. Las pymes, todas, de- debe aprender a dudar sin perder la confianza en su
ben asumir que existen ciberriesgos que les afectan, que entorno, cuestionando cualquier uso que entienda como
interfieren en su negocio, y que es necesario implementar fuera de lo normal. Ahora bien, la empresa debe ofrecer
una estrategia de seguridad apropiada y proporcionada al todos aquellos controles lógicos necesarios para blindar
riesgo, en esos tres ejes. y cegar posibles vectores de ataque social. En definitiva,
concienciación, procesos y tecnología de defensa deben
solaparse siempre.
La ciberseguridad no sólo implica el despliegue tecnoló-
gico sino un enfoque que incluya prevención, análisis y En Izertis hablan de la seguridad preventiva, reactiva y
evaluación de la situación. ¿Hace falta más formación e evolutiva. ¿Qué significa? ¿Cómo se consigue?
información sobre el alcance de la ciberseguridad den- Lo comentábamos anteriormente, y se puede resumir en
tro de las empresas? ¿Se pueden implementar políticas un solo concepto: Seguridad adaptativa. Esta premisa
o metodologías que cubran y mejoren la prevención, el permite ejercer esfuerzos antes, durante y después de un
análisis y la evaluación? incidente de seguridad. En Izertis sabemos que para la im-
Totalmente, y nuestra propuesta es mediante marcos de plementación de esta estrategia son necesarios muchos
trabajo; estándares en ciberseguridad hay muchos y todos recursos. Por esa razón, hemos diseñado un modelo de
ellos son útiles. Lo ideal es adoptar uno o varios de ellos, servicios gestionados para la seguridad. Aprovechamos
pero es realmente complejo alinearlos con el negocio y capacidad, experiencia y tecnología y, gracias al principio
con el cumplimiento legal necesario, que cada vez es más de economía de escala, podemos hacerla llegar a la pyme
exigente. Dependerá de la sensibilidad de los datos de que con un coste contenido y adaptado a cada cliente. Actual-
dispongamos, de su exposición, del marco regulatorio apli- mente, más de 250 empresas ya cuentan con este tipo
cable. En definitiva, del negocio particular de cada orga- de servicio.
104
RUBÉN MARTÍ
Hablemos de talento. En Izertis afirman que el principal ¿Cuáles son los retos a corto plazo a los que se enfrenta
éxito de la compañía se centra en las personas que tra- una empresa como Izertis, que está permanentemente
bajan en ella, no solo por su calidad profesional, sino por a la vanguardia de la tecnología?
la motivación. ¿Dónde se busca el talento actualmente? El próximo, de hecho, el actual desafío que estamos afron-
¿Qué perfiles son los más demandados en materia de tando es la transición de conceptos antiguos como el de
ciberseguridad? ¿Tienen problemas para atraer talento? ‘transformación digital’ hacia nuevos horizontes como
No hay mejor compañía dónde desarrollar una carrera pueden ser, y así lo concebimos en Izertis, la ‘metamor-
profesional que en Izertis. Lo creemos firmemente y cada fosis digital’. Llegados a este punto, podemos afirmar que
día Izertis nos los demuestra. Ya somos más de 800 per- ya no transformamos para llegar a definir nuevos procesos
sonas, pero conservamos el espíritu de la start up que digitales de negocio. La visión y filosofía de Izertis se basa
fuimos y que, según nuestro presidente, Pablo Martín, en ayudar a nuestros clientes en la definición de nuevos
‘seguimos siendo’. Somos ágiles, dinámicos y cuidamos a paradigmas tecnológicos, disruptivos y que redefinan la
nuestra gente. De hecho, Izertis es la suma de los grandes entrega de servicios, el tratamiento de la información y
profesionales que la forman. Todo esto se percibe desde el su proceso para permitir que la tecnología pase a ser el
exterior y debemos decir que facilita muchísimo la busca y centro de la visión empresarial. Y para ello la ciberseguri-
retención del talento. dad es esencial.
105
CIBERSEGURIDAD
106
CIBERSEGURIDAD
SEGURIDAD
EN SITUACIONES
CRÍTICAS,
LA EVACUACIÓN
ADAPTATIVA
COMO SOLUCIÓN
Jorge Roy
Responsable de línea de negocio Safety en Stonex
107
CIBERSEGURIDAD
EL CONCEPTO DE EVACUACIÓN
ADAPTATIVA PERMITE REDIRIGIR,
DESPEJAR ZONAS O RESTRINGIR
EL PASO GARANTIZANDO
LA SEGURIDAD DE LOS USUARIOS
108
CIBERSEGURIDAD
109
CIBERSEGURIDAD
110
CIBERSEGURIDAD
112
CIBERSEGURIDAD
LA IA ESTÁ
CAMBIANDO LA
CIBERSEGURIDAD,
PERO CUANDO
ESTÁ SESGADA,
ES PELIGROSA
PLAN Magazine
113
CIBERSEGURIDAD
Pero existen áreas en las que ni siquiera nos damos cuen- También puede bloquear el tráfico de red, excluyendo lo
ta de que el sesgo de la IA está presente. En un campo que podrían ser comunicaciones críticas para el negocio.
complejo como la ciberseguridad, ¿cómo reconocemos
los resultados sesgados?
SI LOS CIENTÍFICOS INFORMÁTICOS
La IA se ha convertido en una herramienta de seguridad
de primer orden, con investigaciones que indican que el DISEÑAN ALGORITMOS DE IA
69% de los ejecutivos de TI dicen que no pueden respon- SIN INFLUENCIA NI APORTES DE EXPERTOS
der a las amenazas sin inteligencia artificial. Sin embar- EN SEGURIDAD, LOS RESULTADOS
go, ya sea usándola para mejorar las defensas o descar-
gar las tareas de seguridad, es esencial que confiemos en SERÁN DEFECTUOSOS
que el resultado que la IA nos está dando no es parcial.
En seguridad, el sesgo de IA es una forma de riesgo: cuan-
ta más información, contexto y experiencia alimente a la Como ejemplo, imaginemos que un desarrollador de IA
IA, más se podrán administrar los riesgos de seguridad y considera que una región del mundo es segura, porque es
los puntos ciegos. De lo contrario, varios tipos de sesgo, una nación aliada, y otra región es insegura porque tiene
desde prejuicios raciales y culturales, hasta formas con- un régimen autoritario. Por lo tanto, el desarrollador permi-
textuales de sesgo relacionadas con la industria, pueden te que ingrese todo el tráfico de red de la primera región,
afectar la IA. Para ser efectivos, los modelos de IA deben mientras bloquea todo el tráfico de la segunda. Este tipo
ser diversos. Entonces, ¿cómo aseguramos esta amplitud, de sesgo agregado puede hacer que la IA pase por alto
y qué puede salir mal si no lo hacemos? otros contextos de seguridad que podrían ser más impor-
tantes.
CUANTA MÁS INFORMACIÓN, CONTEXTO Si los científicos informáticos diseñan algoritmos de IA sin
influencia ni aportes de expertos en seguridad, los resul-
Y EXPERIENCIA ALIMENTE A LA IA, MÁS tados serán defectuosos. Además, sin el trabajo conjunto
SE PODRÁN ADMINISTRAR LOS RIESGOS de científicos y expertos para seleccionar datos, inteligen-
DE SEGURIDAD Y LOS PUNTOS CIEGOS cia de amenazas y contexto, y luego codificar estas ideas,
pueden ajustar las herramientas de IA con cierto nivel de
sesgo. Como resultado, los sistemas de seguridad impul-
sados por inteligencia artificial mal entrenados pueden
Estas son las tres áreas integrales para ayudar a evitar que no identificar algo que debería identificarse como un ele-
el sesgo de la IA perjudique los esfuerzos de seguridad. mento malicioso, una vulnerabilidad o una violación. Las
reglas sesgadas dentro de los algoritmos inevitablemente
generan resultados sesgados.
EL ALGORITMO DE RESOLUCIÓN
DE PROBLEMAS LOS DATOS DE ORIGEN
Cuando los modelos de IA se basan en suposiciones de
seguridad falsas o sesgos inconscientes, hacen más que Los datos en sí pueden crear sesgos cuando los datos de
amenazar la postura de seguridad de una empresa. Tam- origen no son diversos. La IA que se alimenta de datos
bién pueden causar un impacto comercial significativo. sesgados recogerá solo una visión parcial del mundo y to-
mará decisiones basadas en esa comprensión limitada.
La IA que está sintonizada para calificar el tráfico de red En ciberseguridad, eso significa que se pasarán por alto
benigno o malicioso basada en factores que no son de las amenazas. Por ejemplo, si un clasificador de spam no
seguridad, puede pasar por alto algunas amenazas. Esto fue entrenado en un grupo representativo de correos elec-
permite a los ciberdelincuentes entrar en la red de una trónicos benignos, como correos electrónicos en varios
empresa. idiomas o con idiosincrasias lingüísticas como la jerga,
114
CIBERSEGURIDAD
inevitablemente producirá falsos positivos. Incluso el mal turas y geografías, con experiencia variada, puede ayudar
uso común e intencionado de la gramática, la ortografía a los desarrolladores de IA a introducir una perspectiva
o la sintaxis puede provocar que un clasificador de spam de 360 grados en muchos patrones de comportamiento
bloquee el texto benigno. de amenazas de seguridad para procesar. Debemos capa-
citar a los sistemas contra una diversidad de problemas y
permitir que se represente una variedad de escenarios en
LOS INFLUYENTES DE SEGURIDAD el modelo de IA y, posteriormente, ayudar a prevenir lagu-
nas en su proceso de detección de amenazas.
Los modelos de IA también pueden sufrir visión de túnel. Si las empresas van a hacer de la IA un activo integral
Como el patrón de comportamiento de una amenaza ci- en su arsenal de seguridad, es esencial que comprendan
bernética varía en función de factores como la geografía o que la IA que no es justa y precisa no puede ser efectiva.
el tamaño de la empresa, es importante capacitar a la IA Una forma de ayudar a prevenir el sesgo dentro de la IA es
en los diversos entornos en los que opera una amenaza y hacerlo cognitivamente: los científicos informáticos que
en las diversas formas que toma. Por ejemplo, en un en- la desarrollan, los datos que la alimentan y los equipos
torno de servicios financieros, si se crea IA para detectar de seguridad que influyen en ella deben tener múltiples y
solo problemas basados en la identidad, no reconocerá diversas perspectivas.
elementos maliciosos fuera de esa configuración. Al care-
cer de una amplia cobertura, este modelo de IA sería inca- A través de la diversidad cognitiva, el punto ciego de un ex-
paz de identificar amenazas fuera del patrón de amenaza perto, un punto de datos o un enfoque puede ser maneja-
que se le enseñó. Pero cuando un equipo de seguridad do por el punto ciego de otro, acercándose lo más posible
está formado por profesionales de diversos orígenes, cul- a los puntos ciegos en su totalidad y sin sesgo.
115
MARIBEL VIOQUE & CRISTÓBAL MALET
MARIBEL
VIOQUE
Socia y Business Director
ADQUALIS EXECUTIVE SEARCH BARCELONA
116
MARIBEL VIOQUE & CRISTÓBAL MALET
CRISTÓBAL
MALET
Director General
INTEGRHO
117
MARIBEL VIOQUE & CRISTÓBAL MALET
El auge de la ciberseguridad y de la transformación di- búsqueda de perfiles digitales y que puedan acompañar
gital en general exige hoy a empresas de cualquier ta- tanto la selección de cargos intermedios como de direc-
maño y sector incorporar perfiles profesionales inéditos tivos, o en asociarse o colaborar con centros educativos
hasta ahora en sus organizaciones; en su experiencia, que formen a este tipo de profesionales.
¿cree que nuestras pymes están preparadas para este
reto? En el caso específico de la ciberseguridad, en España se im-
Preparadas o no, lo cierto es que transformarse digital- parte en 119 centros a través de 66 grados y 4 másters, de
mente ya no es una opción sino una obligación para las modo que existe una amplísima variedad de entidades edu-
empresas de cualquier tamaño o sector de actividad, cativas a las que acercarse y con las que buscar sinergias.
porque les permite optimizar sus operaciones y a la vez
ofrecer una mejor experiencia de usuario a sus clientes:
dos factores imprescindibles para su supervivencia y cre- ¿Y sobre cómo han de diseñar esas ofertas para que
cimiento. resulten atractivas desde el punto de vista profesional,
retributivo y de la conciliación?
Las empresas, sin embargo, son a veces poco conscientes De nuevo por ser segmentos profesionales con una alta
de que esa transformación no solo trae ventajas, sino que demanda y principalmente de gente joven, las ofertas han
plantea también nuevos retos. El de la ciberseguridad es de ser atractivas no solo económicamente, sino también
uno de los principales, y, contra la creencia generalizada en la parte de la retribución emocional, la flexibilidad, et-
de que solo afecta a las grandes empresas, en 2019 el cétera. En este sentido, es una ventaja que muchas de
25% de las pymes europeas sufrió algún tipo de ciberata- estas nuevas profesiones puedan desarrollarse de forma
que según datos de la encuesta Kaspersky. remota, de modo que los encargados de personas no tie-
nen que tener miedo a ofrecer fórmulas ambiciosas de te-
letrabajo o marcos más flexibles de jornada laboral a los
EL 25% DE LAS PYMES EUROPEAS SUFRIÓ de otro tipo de perfiles.
118
MARIBEL VIOQUE & CRISTÓBAL MALET
va su oferta a un profesional de este tipo para que no Para tomar esa decisión debe tenerse en cuenta qué re-
opte por integrarse en una compañía más grande? levancia tiene la transformación digital y la ciberseguridad
Como comentábamos antes, mediante una oferta compe- para cada empresa, porque, para empezar, no se trata de
titiva no solo en lo económico, sino también en términos perfiles económicos... De media, un profesional de la ci-
de flexibilidad. Además, muchos de estos profesionales berseguridad cobra en España entre 36.000 y 66.000 eu-
pertenecen a las generaciones millennial y Z, que se ca- ros brutos, según datos del Informe Anual sobre el Estado
racterizan por un mayor idealismo en torno a la empresa del Mercado Laboral a cargo de ESADE.
y proyecto para el que trabajan. En este sentido, si una
pyme sabe presentar sus retos digitales de una forma que
constituyan un desafío profesional y que tengan un efec- DE MEDIA, UN PROFESIONAL DE LA
to transformador en la sociedad, logrará una motivación
extra para presentar una oferta más atractiva a la de una CIBERSEGURIDAD COBRA EN ESPAÑA
gran multinacional. ENTRE 36.000 Y 66.000 €/BRUTOS
Ante esa oferta limitada, ¿qué ventajas e inconvenien- La externalización puede plantear un abaratamiento de
tes plantea externalizar esa función de ciberseguridad costes para aquellas empresas que todavía no se han
o acompañamiento en la transformación digital? ¿tiene visto tan impactadas por la nueva economía digital, y en
más sentido hacerlo mediante una empresa de servicios esos tienen a su alcance tanto a empresas de servicios
o bien a través de un profesional freelance? con modelos probados como a profesionales freelance
119
MARIBEL VIOQUE & CRISTÓBAL MALET
120
Desde CEPYME difundimos oportunidades de autoempleo, carreras profesionales
y la creación de nuevas empresas · #emprendedores #emprendimiento #startups
cepymeemprende.es
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS
CIBERSEGURIDAD
Y GRANDES
AMENAZAS PARA
2020
El “Informe de Ciberamenazas 2020” llevado a cabo por so y agresivo, el “Informe de Ciberamenazas 2020” pone
los SophosLabs profundiza en distintas áreas en las que el foco sobre cómo estas y otras aplicaciones potencial-
los investigadores han observado cambios relevantes que mente no deseadas (PUA, por sus siglas en inglés), , se
tuvieron lugar durante el año pasado. Algunos de los as- están convirtiendo en puertas de entrada y ejecución de
pectos que se espera que más impacten dentro del pano- malware y ataques sin archivos (fileless).
rama de las ciberamenazas para 2020 son:
La mayor vulnerabilidad para el cloud computing son los
Los ciberatacantes de ransomware siguen aumentando errores de configuración. A medida que los sistemas cloud
su apuesta por los ataques automatizados activos, ha- se vuelven más complejos y flexibles, los errores de los
ciendo que las herramientas de gestión en las que confían operadores se convierten en un riesgo en aumento. Si a
las empresas se vuelvan en su contra. Esquivando los con- esto le sumamos la falta general de visibilidad, los entor-
troles y copias de seguridad para lograr el mayor impacto nos cloud se convierten en un objetivo claro de los ciber-
en el menor tiempo posible. delincuentes.
Muchas aplicaciones están cada vez más cerca de pare- El Machine Learning diseñado para derrotar al malware
cerse al malware. En un año en el que han aumentado se ha convertido en objetivo de ataque. 2019 ha sido el
las aplicaciones Fleeceware en Android (aplicaciones con año en el que se ha puesto el foco sobre el potencial de
suscripciones abusivas), y un adware cada ver más sigilo- los ataques contra los sistemas de seguridad basados en
122
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS
machine learning. La investigación ha mostrado como los “El escenario de la ciberseguridad continúa evolucionan-
modelos de detección de amenazas que utilizan machine do, y tanto la velocidad como el alcance de esta evolución
learning pueden ser engañados, y cómo el machine lear- son cada vez más rápidos e impredecibles. La única certe-
ning puede ser utilizado para acciones ofensivas que ge- za que tenemos es lo que está sucediendo en este mismo
neran contenido falso, resultando muy convincente para momento y,en nuestro “Informe de Ciberamenazas 2020”
la ingeniería social. Al mismo tiempo, el Machine Learning desvelamos cómo las tendencias actuales pueden afectar
también se está aplicando ya al lenguaje como una for- al mundo durante el próximo año. Destacamos cómo los
ma de detectar suplantaciones en correos electrónicos y adversarios son cada vez más sigilosos, son mejores sa-
URLs maliciosas. Se espera que este juego aumente en cando partido a los errores, ocultando sus movimientos y
el futuro. esquivando las tecnologías de detección, sobre todo, en
la nube, a través de aplicaciones móviles y a través de las
Otros aspectos destacados en el “Informe de Ciberame- redes.
nazas 2020” son la importancia y peligro que conlleva la
no detección de los cibercriminales dentro del gran tráfico El “Informe de Ciberamenazas 2020” no es tanto un mapa
que supone el escaneado de internet, el ataque continua- como una serie de indicaciones para ayudar a entender
do al Protocolo de Escritorio Remoto (RDP, por sus siglas mejor las amenazas a las que podrían enfrentarse en los
en inglés), así como el incremento de los ataques activos próximos meses y cómo estar preparados frente a ellas”
automatizados (AAA). afirmó John Shier, asesor senior de seguridad de Sophos.
123
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS
ALERTA
SMARTPHONE:
4 MOTIVOS QUE
CONVIERTEN TU
SMARTPHONE
EN EL PRINCIPAL
OBJETIVO DE LOS
CIBERCRIMINALES
Check Point® Software Technologies Ltd. (NASDAQ: ofrecen una mayor cantidad de funcionalidades que, uni-
CHKP) alerta de que los dispositivos móviles se han con- do a su conectividad a internet, hace que los utilicemos
vertido en el principal objetivo de los cibercriminales. para llevar a cabo cualquier acción: acceder al correo elec-
Conscientes de este hecho, desde la compañía identifican trónico, realizar compras online, etc.
los principales motivos que han hecho que el smartphone
cada vez sea más víctima de ciberataques y señalan las
claves para garantizar la seguridad de estos dispositivos.
2. ALMACENAN INFORMACIÓN
IMPORTANTE
1. EL MÁS UTILIZADO El smartphone ha evolucionado hasta convertirse en un
dispositivo de uso personal y corporativo. Es imprescindi-
Uno de los principales motivos por los que los cibercrimi- ble destacar que el desarrollo tecnológico hace que los
nales atacan a los smartphones reside en el hecho de que teléfonos móviles sean realmente potentes y permitan a
es uno de los dispositivos más utilizados. sus usuarios desarrollar infinidad de procesos.
Según el informe “Digital en 2018” de Hootsuite, el 96% Como consecuencia, los smartphones cada vez almace-
de la población española tiene un teléfono móvil, de los nan una mayor cantidad de información importante como
cuales un 87% son smartphones. contactos, imágenes, ubicación, credenciales bancarias,
datos corporativos, contraseñas, etc. Todos estos datos
Estos datos ponen de manifiesto el alto grado de penetra- son especialmente atractivos para los cibercriminales, ya
ción de este dispositivo en la sociedad española. Además, que muchos de ellos les permiten suplantar la identidad
cabe destacar el hecho de que estos dispositivos cada vez del usuario para obtener beneficios económicos, etc.
124
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS
125
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS
SEGURIDAD REDES SOCIALES nen, todo lo que representan para los usuarios y las conse-
cuencias que un ataque puede tener. Por este motivo, es
Check Point® Software Technologies Ltd.(NASDAQ: CHKP) imprescindibleponer en prácticas estrategias básicas de
señala que las redes sociales son un componente esen- seguridad para evitar ser víctimas de ciberataques y, por
cial en nuestro día a día, no sólo a nivel usuario, sino que tanto, proteger nuestra privacidad”, señala Eusebio Nieva,
las empresas también entienden la necesidad de estar director técnico de Check Point para España y Portugal.
presentes en internet para llegar al consumidor.
Conscientes de este hecho, la compañía señala los puntos
No obstante, según un estudio de IAB Spain, un 85,5% clave para estar protegidos en la red y evitar ataques con-
de los internautas de 16 a 65 años utiliza redes sociales. tra los perfiles en redes sociales:
Este dato, unido a la cantidad masiva de datos e informa-
ción que los usuarios vuelcan en sus perfiles, hace que se
hayan convertido en uno de los principales objetivos de los
cibercriminales en los últimos tiempos.
1. ESTABLECER CONTRASEÑAS FUERTES
De hecho, en los últimos meses hemos visto cómo se han Uno de los primeros niveles de seguridad consiste en crear
producido el hackeo de las cuentas de WhatsApp de per- una contraseña robusta que dificulte al cibercriminal la po-
sonajes conocidos como Albert Rivera y Belén Esteban, así sibilidad de descifrarla. Para ello, es necesario dejar de
como el hackeo de la cuenta de Twitter de varios ayunta- lado nombres, fechas o palabras comunes.
mientos de España.
En su lugar, lo más recomendable es crear una contraseña
“Es innegable que las redes sociales juegan un rol funda- única de ocho caracteres que combine letras (tanto ma-
mental en nuestra vida por toda la información que contie- yúsculas como minúsculas), números y símbolos.
126
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS
127
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS
7 CONSEJOS
PARA PROTEGER
MIS DATOS
EN LAS REDES
SOCIALES
Hoy casi la mitad de la población mundial utiliza las re-
des sociales según los últimos datos del informe ‘Digital
2019’. Facebook ocupa la primera posición con más de
2.400 millones de usuarios activos al mes, seguido de
WhatsApp (1.600). En España, la opción preferida por
los usuarios es YouTube (89%), por delante de WhatsApp
(87%) y Facebook (82%).
A pesar de su popularización, las redes sociales suponen Presta atención a la letra pequeña como términos
una amenaza para la seguridad del usuario, no sólo porque y condiciones de políticas de privacidad y cookies
toda la información relacionada con el mismo se ha con- Por regla general, los usuarios las aceptan sin tener en
vertido en un valor al alza, cada vez más codiciado por las cuenta las consecuencias. Según los datos de Privacy-
empresas, sino también porque le hace vulnerable frente Cloud, el 83% de las páginas web más visitadas cuentan
a terceros que quieran aprovechar esta información con con políticas de privacidad abusivas para el usuario, por
fines maliciosos. PrivacyCloud aconseja ser precavido con lo que es recomendable leer éstas con detenimiento. Ade-
la información que se publica (incluidos fotos y vídeos), más, según los mismos datos de la compañía, la mayoría
ya que ésta nunca se elimina, y seguir las siguientes re- de las webs analizadas (el 99%) incumplen la obligación
comendaciones con el objetivo de mantenerse protegido. de permitir al usuario rechazar directamente las cookies
con la misma facilidad con la que se aceptan, mientras
En palabras de Sergio Maldonado, CEO de PrivacyCloud, que un 9% equiparan la cesión de datos (a través de su
“a pesar de que existe la creencia generalizada de que aceptación) a un peaje de acceso, dado que no permiten
sólo aprovechan el nombre, datos de perfil o las fotos, la al usuario visitar el sitio web si no acepta las cookies.
realidad es que esto es solo la punta del iceberg, pues se
registra desde el tiempo que el usuario está conectado Evita desvelar información privada en las redes
hasta el número de publicaciones y su contenido, pasan- La sobreexposición en redes sociales es un problema
do por los ‘me gusta’ y los contenidos ante los que reaccio- real y los usuarios no siempre son conscientes del ries-
na. No rebasar ciertos límites y establecer unas medidas go que implica compartir tanta información de su vida
de seguridad básicas son suficientes para reducir la visi- privada. Cuando suben cientos de fotos cada día de sus
bilidad y la exposición de tus datos a terceras personas”. vacaciones en Instagram, o comparten información en
Facebook no solo muestran al mundo lo bien que se lo
Por ello, PrivacyCloud recomienda al usuario tener en están pasando, sino que también están dando una valiosa
cuenta los siguientes consejos: información.
128
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS
Revisa la configuración de privacidad Vigila las aplicaciones que se conectan con los
Además de no difundir más datos de los estrictamente ne- perfiles en redes sociales
cesarios, es importante que se aprendan a configurar las Existen multitud de juegos y aplicaciones en las redes
opciones de privacidad del perfil en las redes y activar los sociales, desarrollados por terceras empresas, que para
límites en cada una de ellas, por que suelen venir desacti- utilizarlas, el usuario debe aceptar ciertas condiciones y
vadas por defecto. Así, sólo tendrán acceso a los datos las permisos de acceso a su perfil.
personas que establezca el usuario, reduciendo el riesgo
de que pudiera ser utilizados con fines malintencionados. Suele suceder que muy pocos leen en detalle lo que im-
plica la descarga sin tener en cuenta que podría estar
Sé cauteloso con la gestión de los contactos brindando acceso a sus datos personales a través de la
Es importante decidir y controlar qué usuarios van a ver aplicación como acceso al correo electrónico, fotografías,
las publicaciones y pueden enviar solicitudes de amistad. información de nuestros contactos, etc.
¿Compartirías en el mundo offline una foto tuya con al-
guien que no conoces? Parece sensato aplicar este sen-
tido común también a las redes: si alguien solicita ser tu Utiliza un gestor de datos personales
amigo, deberías conocerlo en la vida real antes de agre- Una de las herramientas para proteger los datos persona-
garlo a tu cuenta o, al menos, revisar su perfil antes de les de los usuarios son los gestores de datos personales.
permitirle tener acceso a tus datos personales. Este tipo de soluciones le permite al usuario tener una
visión clara y detallada sobre qué riesgos corre su priva-
Asegúrate de cerrar siempre la sesión cidad al usar cada una de las aplicaciones que descarga,
Dejarse abierta la sesión en las redes sociales es uno de con el fin de entender a qué riesgos se expone si acepta
los riesgos más comunes de la actualidad. Esto es espe- las condiciones de descarga y uso.
cialmente importante si se utilizan ordenadores comparti-
dos o redes wifi-abiertas.
129
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS
3 FORMAS
DE SABER
SI TU MÓVIL
HA SIDO
HACKEADO
Si sientes que tu teléfono ha estado funcionando de forma
extraña últimamente, podría ser un indicio de que has sido
víctima de un hacker. Algunas de las señales más comu-
nes son el consumo excesivamente rápido de la batería,
que el terminal se caliente más de lo habitual, que no apa-
rezca el teclado o tarde mucho en hacerlo y que tus datos
se acaben inexplicablemente.
Diego Barrientos, experto en seguridad informática e ins- pequeño vidrio color rojo, y en algunos modelos está cerca
tructor de Udemy revela 3 sencillas formas para determi- del conector de los auriculares). Si al hacer esto la cámara
nar si tu móvil ha sido hackeado: logra captar un destello de luz, es recomendable que acu-
das a un técnico para que evalúe el estado de tu equipo.
Cierra todas las aplicaciones y activa el modo avión. Acto
seguido, introdúcelo a un microondas(sin encenderlo) que Por último, asegúrate de que el móvil esté conectado a
se encuentre conectado. Esto creará una Jaula de Faraday Internet, cierra todas las aplicaciones en uso y ve al ico-
evitando que salga cualquier tipo de señal de tu móvil. Si no de configuración. Saca de tu dispositivo la tarjeta SD
el smartphone ha sido intervenido, intentará emitir alguna (memoria), si aparece algún tipo de advertencia indicando
señal elevando la potencia, de modo que el equipo se ca- que no se puede realizar la operación porque está corrien-
lentará más de lo normal. Si esto sucede, es probable que do un proceso, existe la posibilidad de que tu móvil haya
alguien más esté manipulando tu teléfono. sido hackeado.
Junta dos móviles, el que supuestamente ha sido hackea- Ahora solo queda mantenerte alerta a posibles operacio-
do y uno en condiciones normales. Abre la cámara de este nes anormales en tu teléfono, si logras identificar alguna,
último y apunta hacia el sensor infrarrojo del primero (está ya cuentas con algunas herramientas para averiguar si se
en la parte de arriba del dispositivo, por lo general tiene un debe a un hacker.
130
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS
EL 67% DE LOS
EMPLEADOS NUNCA
COMPRUEBA SI SUS
DISPOSITIVOS DE
ALMACENAMIENTO
TIENEN ALGÚN VIRUS
La tendencia de utilizar dispositivos BYOD (BringYourOwn-
Device) en entornos corporativos ofrece muchas ventajas,
pero también supone un importante riesgo en caso de pér-
dida o robo de información.
Un estudio realizado por Kingston señala que un 60% de Smartphones: se estima que, en la actualidad, alrede-
los empleados en España han perdido algún dispositivo de dor del 87% de los teléfonos móviles en España son smar-
almacenamiento con datos corporativos en los últimos 12 tphones. Acceder al correo electrónico, descargar archivos
meses. Conscientes de este hecho, la compañía aconseja y consultar información son sólo algunas de las acciones
proteger los dispositivos más utilizados. que se llevan a cabo con mayor asiduidad, por lo que los
smartphones cada vez almacenan más información. Des-
Ordenadores portátiles: según un estudio llevado a de Kingston señalan importancia de realizar copias de se-
cabo por la consultora Frost & Sullivan, 7 de cada 10 per- guridad de todos los datos almacenados en el dispositivo
sonas ve el portátil como una herramienta estrictamente con el objetivo de no perder información.
de trabajo. Por tanto, proteger la información que este tipo
de dispositivos contiene es fundamental, por lo que Kings- “La movilidad de los datos, así como la necesidad de po-
ton destaca como solución óptima el cifrado de datos, tan- der trabajar en cualquier entorno y lugar más allá de la
to por hardware como por software. oficina ha derivado en un auge en el uso de dispositivos
portables como ordenadores portátiles, USBs y smartpho-
USB: el 73% de los empleados utiliza 2 o más memorias nes”, indica Pedro González, desarrollador de negocio de
USB para trabajar. Sin embargo, uno de cada cuatro em- Kingston en España.
pleados no toma ninguna medida de seguridad para pro-
teger los datos de su memoria USB. Kingston recomienda “Estas estrategias BYOD ofrecen muchas ventajas a los
no sólo implementar el cifrado de datos, sino que también empleados, pero al mismo tiempo también suponen un
contar con un software de gestión que permita llevar a gran riesgo para la seguridad de los datos corporativos,
cabo funcionalidades en remoto. De esta forma, en caso por lo que es imprescindible que estos productos cuenten
de robo o pérdida, se puede bloquear el dispositivo deján- con los niveles de seguridad necesarios para garantizar
dolo inutilizable, e incluso formatear el USB en remoto al que la información que almacenan esté protegida,inclu-
conectarse a cualquier ordenador portátil o de sobremesa so en caso de robo o pérdida del dispositivo”, concluye
conectado a Internet. González.
131
CIBERSEGURIDAD | VERSIÓN ORIGINAL
CIBERSECURITY
FOR THE
MODERN ERA
If you’re like most IT leaders, you’re invested heavily in the latest
security tools. Yet you’re still inundated with ransomware and other
advanced malware, credential phishing, email fraud and more.
You’re spending more time dealing with a growing volume of threats.
And you’re seeing a shrinking return from your security investments.
That’s because most of today’s attacks play off human weaknesses:
PROOFPOINT, INC.
132
CIBERSEGURIDAD | VERSIÓN ORIGINAL
133
CIBERSEGURIDAD | VERSIÓN ORIGINAL
Email-borne malware
Malicious attachments and links to credential-stealing
web pages get most of the media attention. But lately
ransomware has stolen the spotlight. And its scope is ex-
panding. No longer content to encrypt files and demand
a ransom for decryption, newer variants render the entire
device unusable. In any type of email malware attack, peo-
134
CIBERSEGURIDAD | VERSIÓN ORIGINAL
ple are the trigger: they must open the email for the attack
to succeed.
Payload-free threats
Emails without attachments or links can be just as dange-
rous: they can fool the recipient into disclosing sensitive
information or carrying out fraudulent activities like bank
transfers. Email fraud or BEC cost businesses more than
$5.3 billion from October 2013 to December 2016.1 And
these threats are hard for most security products to de-
tect. The best defense against non-malware threats is to
use a tool that:
• Analyzes a wide variety of email attributes, such as
sender/recipient.
• relationship and sender reputation.
• Conducts the analysis in multiple languages.
• Quarantines incoming email by type.
135
CIBERSEGURIDAD | VERSIÓN ORIGINAL
AND URL INFORMATION WITH SECURITY Look for a tool that scans continually, alerting you when it
TOOLS TO BLOCK ATTACKERS finds an account using elements of your brand.
136
CIBERSEGURIDAD | VERSIÓN ORIGINAL
137
CIBERSEGURIDAD | VERSIÓN ORIGINAL
Cloud App
Security Broker
tio
eat
nP
Thr
rote
Email Social
ction
Security Media
ection
Com
rot
pli
rP anc
Use e
Digital Risk Training
Phishing
Simulation
138
CIBERSEGURIDAD | VERSIÓN ORIGINAL
Web and personal email isolation ment. They can convince users to wire money or part with
Let’s face it: most people use their work PC and the corpo- sensitive data. And they can access your critical data, such
rate network for some personal business. Web email and as intellectual property or customer data.
personal browsing can expose your organization to risks
that are harder to control. Fortunately, you can keep your Modern people-centered security means protecting these
environment safe without placing stringent constraints on accounts from compromise.
personal browsing.
139
CIBERSEGURIDAD
140
CIBERSEGURIDAD
LAS AMENAZAS
PARA LA
SEGURIDAD,
¿DENTRO O FUERA?
Daniel Puente
CISO Wolters Kluwer Tax & Accounting España
141
CIBERSEGURIDAD
142
CIBERSEGURIDAD | INFORME
INCIDENTES DE
CIBERSEGURIDAD
INDUSTRIAL
EN SERVICIOS
ESENCIALES
DE ESPAÑA
Durante 2018, se han registrado mas de 33.000 incidentes de ci-
berseguridad en entidades del sector público y empresas de interés
estratégico para España, una cuarta parte más que el año anterior,
según el Centro Criptológico Nacional, dependiente del Centro Na-
cional de Inteligencia (CNI). De dichos ataques, alrededor de 1.600
han sido calificados de peligrosidad muy alta.
144
CIBERSEGURIDAD | INFORME
145
CIBERSEGURIDAD | INFORME
Este estudio analiza los incidentes de ciberseguridad en res, reputación pública) son objetivos a los que debe dar
operadores de servicios esenciales en base a los resul- respuesta el Centro de operaciones de seguridad (SOC)
tados de 18 entrevistas realizadas en 2019 a represen- gracias a las tareas ejecutadas por los diferentes equipos
tantes de operadores de cinco sectores estratégicos. Las que lo conforman.
preguntas de las entrevistas han sido diseñadas para ob-
tener una visión precisa de cuál es el estado de situación
en la gestión de incidentes en las empresas que operan MÁS DEL 50% DE LOS ENTREVISTADOS
servicios esenciales.
CONOCEN INCIDENTES OCASIONADOS POR
MALWARE O ATAQUES DIRIGIDOS
17% 22%
22%
TIPOLOGÍA DE INCIDENTES CONOCIDOS EN SERVICIOS
Eléctrico Agua ESENCIALES
Gas y petróleo Salud
Transporte 6
9
2
Gráfico 1 – Porcentaje de Sectores Participantes.
TIPOLOGÍA DE INCIDENTES 6
¿Qué tipo de incidentes tecnológicos conoce en la 14
operación de servicios esenciales con alto impacto?
5
Los incidentes pueden ser intencionados o no. La mayoría
son provocados por fallos del software o un error humano Ataques dirigidos Compromiso de Información
por falta de concienciación o formación. Malware Fraude
Dos o DDoS Violación de normas
En los incidentes intencionados es muy importante enten- Intrusión
146
CIBERSEGURIDAD | INFORME
1 3
1
1 3
1
Gráfico 3 – Operadores del sector Eléctrico: Tipo de incidentes conocidos. Gráfico 4 – Operadores del sector Gas y Petróleo: Tipo de incidentes conocidos.
2 2 2
1
2 3
Gráfico 5 – Operadores del sector Agua: Tipo de incidentes conocidos. Gráfico 6 – Operadores del sector Salud: Tipo de incidentes conocidos.
SECTOR TRANSPORTE
Separada la información de las encuestas por sectores
2 2 podemos observar que los responsables de sectores don-
de más tipos distintos de incidentes se conocen son del
sector Eléctrico, Gas & Petróleo, y los responsables que
menos incidentes conocen son del sector agua y salud.
1
Ataques dirigidos Compromiso de Información
2 Malware Fraude
Dos o DDoS Violación de normas
Intrusión
Gráfico 7 – Operadores del sector Transporte: Tipo de incidentes conocidos.
147
CIBERSEGURIDAD | INFORME
DE CIBERSEGURIDAD 6%
12%
¿Qué incidentes en la operación de servicios esencia-
les espera que se produzcan en los próximos años?
21%
148
CIBERSEGURIDAD | INFORME
22%
34%
33%
50%
22%
17%
22%
Gráfico 9 – Operadores del sector Eléctrico: Incidentes futuros. Gráfico 10 – Operadores del sector Gas y Petróleo: Incidentes futuros.
17% 20%
33%
17%
20%
60%
33%
Gráfico 11 – Operadores del sector Agua: Incidentes futuros. Gráfico 12 – Operadores del sector Salud: Incidentes futuros.
SECTOR TRANSPORTE
13% De todos los sectores analizados, podemos destacar que
25% los representantes de todos los sectores consideran que
el compromiso de dispositivos IoT será la principal causa
de incidentes en un futuro, también se puede destacar
que todos consideran en menor porcentaje los ataques
25% multivector y el ramsomware de operación será tipos de
incidentes futuros.
37%
Ataques mediante IA Ataques multivector
Compromiso disp. IoT Desinformación
Gráfico 13 – Operadores del sector Transporte: Incidentes futuros. Ramsomware operación
149
CIBERSEGURIDAD | INFORME
150
CIBERSEGURIDAD | INFORME
43%
13%
28% 37%
Gráfico 21 – Operadores del sector Eléctrico: Incidentes del propio sector. Gráfico 22 – Operadores del sector Gas y Petróleo: Incidentes del propio sector
14%
33%
43%
50%
43%
17%
Gráfico 23 – Operadores del sector Agua: Incidentes del propio sector. Gráfico 24 – Operadores del sector Salud: Incidentes del propio sector.
SECTOR TRANSPORTE
25%
50%
25%
Ataques dirigidos Compromiso de Información
Malware Fraude
Dos o DDoS Violación de normas
Intrusión
Gráfico 25 – Operadores del sector Transporte: Incidentes del propio sector.
151
CIBERSEGURIDAD | INFORME
15
15
14
12
2
0
0
Control Básico Control Avanzado Supervisión Gestión de proceso Cloud industrial Infraestructura de
(SCADA,…) comunicaciones
152
CIBERSEGURIDAD | INFORME
3 3 3 3
3 3
2 2
2 2
1 1
1 1
0 0 0 0
0 0
Control Control Supervisión Gestión de Cloud Infraestructura de Control Control Supervisión Gestión de Cloud Infraestructura de
Básico Avanzado (SCADA,…) proceso industrial comunicaciones Básico Avanzado (SCADA,…) proceso industrial comunicaciones
Gráfico 27 – Operadores del sector Eléctrico: Sistemas afectados del sector. Gráfico 28 – Operadores del sector Gas y Petróleo: Sistemas afectados
del sector
4 4 3 3
4 3
3
2
1 1
1
0 0 0 0 0 0 0
0 0
Control Control Supervisión Gestión de Cloud Infraestructura de Control Control Supervisión Gestión de Cloud Infraestructura de
Básico Avanzado (SCADA,…) proceso industrial comunicaciones Básico Avanzado (SCADA,…) proceso industrial comunicaciones
Gráfico 29 – Operadores del sector Agua: Sistemas afectados del sector. Gráfico 30 – Operadores del sector Salud: Sistemas afectados del sector.
SECTOR TRANSPORTE
4
4
LOS SECTORES ELÉCTRICO, OIL & GAS
3 Y TRANSPORTE, TAMBIÉN LOS SISTEMAS
2
2 2 2 DE CONTROL SUELEN VERSE AFECTADOS
POR INCIDENTES DE CIBERSEGURIDAD
1
0 0
0
Control Control Supervisión Gestión de Cloud Infraestructura de
Básico Avanzado (SCADA,…) proceso industrial comunicaciones
153
CIBERSEGURIDAD | INFORME
SECTOR 13%
¿Cuáles considera que son las consecuencias de
los incidentes en su sector? 27%
4%
13%
LA PERDIDA DE UN SERVICIO ESENCIAL ES Pérdida de servicio Consecuencias ambientales
UNA DE LAS PRINCIPALES CONSECUENCIAS Acceso ilicito a equipos Consecuencias físicas
154
CIBERSEGURIDAD | INFORME
10%
Gráfico 46 – Operadores del sector Eléctrico: Consecuencias de Gráfico 47 – Operadores del sector Gas y Petróleo: Consecuencias de
incidentes en el sector. incidentes en el sector.
13% 12%
20% 20%
25% 10%
20%
50%
30%
Gráfico 48 – Operadores del sector Agua: Consecuencias de incidentes Gráfico 49 – Operadores del sector Salud: Consecuencias de incidentes
en el sector. en el sector.
SECTOR TRANSPORTE
10%
10%
40%
10%
10%
155
CIBERSEGURIDAD | INFORME
ESTRUCTURA PARA GESTIONAR ción. La estructura y tamaño del SOC debe corresponder-
se con su alcance equilibrando tres necesidades:
INCIDENTES
¿Cuál es la estructura de su organización para ges- • Tener un equipo cohesionado de especialistas en se-
tionar los incidentes de ciberseguridad OT? guridad o equipos adecuadamente coordinados.
El elemento más importante de un SOC son las personas. • Mantener la proximidad lógica, física y organizacional
Un SOC es un equipo compuesto principalmente por espe- a los activos que se monitorizan.
cialistas tecnológicos, analistas, ingenieros de seguridad
y profesionales de inteligencia que estarán organizados • Disponer de un presupuesto previamente aprobado
para detectar, analizar, responder, informar y prevenir in- por la Alta Dirección; acorde al tipo de negocio, servi-
cidentes de ciberseguridad. cio o infraestructura crítica soportada.
8
8
7
7 7
6
6
3
7
1
1 1
Gestión propia Gestión externa Gestión interna Gestión interna (N1) Gestión interna (N1 Gestión independiente Gestión integrada
(Dirección) y externa y externa (N2 y N3) y N2) y externa ( N3) Inciden IT y OT Inciden IT y OT
156
CIBERSEGURIDAD | INFORME
3 3
2 2 2
2 2
1 1 1 1 1
1 1
0 0
1 2 3 4 5 6 7 1 2 3 4 5 6 7
Gráfico 52 – Operadores del sector Eléctrico: Estructura para gestionar incidentes. Gráfico 53 – Operadores del sector Gas y Petróleo: Estructura para
gestionar incidentes.
3 3 3 3
3 3
2 2
1 1
1 1
0 0
1 2 3 4 5 6 7 1 2 3 4 5 6 7
Gráfico 54 – Operadores del sector Agua: Estructura para gestionar incidentes. Gráfico 55 – Operadores del sector Salud: Estructura para gestionar incidentes.
SECTOR TRANSPORTE
3
3
Analizando los datos de forma sectorizada podemos com-
probar que los sectores gas y petróleo, agua y transpor-
2 2
2 te tienen claramente una gestión propia, mientras que el
sector eléctrico y salud tienen gestión externa.
1
1
157
CIBERSEGURIDAD | INFORME
CAPACIDADES DE RESPUESTA
10
9
9
8
8
6
6
5
5
3
3
2
2
1
1
0
Bien preparado en IT Bien preparado en Bien preparado en OT Preparación media Bien preparado en Poco preparado en Preparación media en
IT y OT (Todos los niveles) nivel 2 y poco nivel 1 algunos servicios servicios esenciales servicios esenciales
esenciales
158
CIBERSEGURIDAD | INFORME
3
3 3
2 2 2
2 2
1 1 1 1 1
1 1
0 0
1 2 3 4 5 6 7 1 2 3 4 5 6 7
Gráfico 64 – Operadores del sector Eléctrico: Capacidades de respuesta Gráfico 65 – Operadores del sector Gas y Petróleo: Capacidades de
a incidentes. respuesta a incidentes.
3 3 3
3 3
2 2
1 1 1 1
1 1
0 0
1 2 3 4 5 6 7 1 2 3 4 5 6 7
Gráfico 66 – Operadores del sector Agua: Capacidades de respuesta a Gráfico 67 – Operadores del sector Salud: Capacidades de respuesta a
incidentes. incidentes.
SECTOR TRANSPORTE
4
4
2
2
1 Bien preparado en IT
1 2 Bien preparado en IT y OT
1
3 Bien preparado en OT (Todos los niveles)
0 4 Preparación media nivel 2 y poco nivel 1
1 2 3 4 5 6 7
5 Bien preparado en algunos servicios esenciales
6 Poco preparado en servicios esenciales
Gráfico 68 – Operadores del sector Transporte: Capacidades de
7 Preparación media en servicios esenciales
respuesta a incidentes.
159
CIBERSEGURIDAD | INFORME
160
CIBERSEGURIDAD | INFORME
20% 20%
25% 25%
20% 20%
25% 25%
20%
Gráfico 70 – Operadores del sector eléctrico: Participación de áreas de Gráfico 71 – Operadores del sector Gas y Petróleo: Participación de
la organización. áreas de la organización.
38% 40%
50%
40%
12%
Gráfico 72 – Operadores del sector Agua: Participación de áreas de la Gráfico 73 – Operadores del sector Salud: Participación de áreas de la
organización. organización.
SECTOR TRANSPORTE
20% 20%
20% 20%
Activamente No participan
20% Puntualmente Integración en proceso de compras
Solo en proyectos estratégicos Hay un comité
Gráfico 74 – Operadores del sector Transporte: Participación de áreas Solo en proyectos nuevos
de la organización.
161
CIBERSEGURIDAD | INFORME
11
11
10
10
2
2
1 1 1
1
0
Petición muy general Basado en estándares Basado en Basado en Mediante plataforma Acuerdo entre
procedimiento propio metodología fabricante y operador
162
CIBERSEGURIDAD | INFORME
3 3
2 2 2
2 2
1 1 1 1
1 1
0 0
1 2 3 4 5 6 1 2 3 4 5 6
Gráfico 76 – Operadores del sector Eléctrico: Petición requisitos Gráfico 77 – Operadores del sector Gas y Petróleo: Petición requisitos
ciberseguridad. ciberseguridad.
1 1 1 1
2 1
0 0
1 2 3 4 5 6 1 2 3 4 5 6
Gráfico 78 – Operadores del sector Agua: Petición requisitos Gráfico 79 – Operadores del sector Salud: Petición requisitos
ciberseguridad. ciberseguridad.
163
CIBERSEGURIDAD | INFORME
164
CIBERSEGURIDAD
166
CIBERSEGURIDAD
EL NUEVO
PARADIGMA
EMPRESARIAL
EMPRENDEDORES
Y EL ECOSISTEMA
DE LAS START-UPS
Mapfre
167
CIBERSEGURIDAD
La crisis económica de 2008 y el alto nivel de desempleo 2017 y que prueba que cada vez son más los emprende-
ha hecho que muchas personas hayan decidido poner en dores que apuestan por crear empresas con estas carac-
marcha nuevos proyectos en todos los ámbitos. Es por terísticas, debido entre otras cosas a sus posibilidades de
ello, que el ecosistema emprendedor esté adquiriendo crecimiento en el medio y largo plazo.
más importancia y suscitando un enorme interés desde
el ámbito empresarial, administrativo y académico.
ACTUALMENTE EN ESPAÑA HAY 4.115
STAR-UPS, SEGÚN EL INFORME START-UP
DESAFÍOS PARA EMPRENDER UN ECOSYSTEM OVERVIEW 2019,
PROYECTO UN 20% SUPERIOR AL DEL 2017
El proceso de puesta en marcha de cualquier empresa,
es complicado. Y esta dificultad se puede reducir a dos
factores, el tiempo y el coste. En España se puede tardar Las start-ups españolas están revolucionando a su paso
hasta un año en crear una empresa, entre las gestiones todos los sectores en los que operan, resolviendo proble-
de constitución, el alta de actividad, el registro mercantil, mas y creando nuevas vías de negocio. Según datos de
la obtención de la licencia y la aprobación de la actividad, 2018, España es el sexto país europeo con mayor número
entre otros. de perfiles digitales disponibles en el mercado laboral y
ha sido considerada como el tercer país que capta más
Un elemento esencial para decidir emprender es que el talento europeo, tan solo por detrás de Reino Unido y
individuo sienta que tiene las capacidades y habilidades Alemania, en el último ranking Atomico’s State of Euro-
necesarias para hacerlo realidad. En España, aunque se pean Tech.
perciba una oportunidad puede que decida no emprender
porque no se ve ni capacitado ni apoyado para llevarlo a En 2018, la cifra de volumen de inversión del sector ha
cabo. A pesar de haber adquirido un gran capital humano crecido un 63,7% respecto al año anterior y ha superado
a lo largo de su vida ya sea a través de la educación o por primera vez los mil millones de euros.
por experiencia propia a la hora de tomar la decisión de
emprender lo relevante no es solo que tenga esos conoci- En un contexto donde los activos tradicionales están dan-
mientos, sino que realmente lo perciba como tal. do rentabilidades mínimas, los inversores buscan nuevos
activos en los que invertir con mayor potencial de rentabi-
Además, hay que tener en cuenta que asumen un riesgo lidad a la vez que asumen más riesgo.
muy grande, ya que sus ingresos están sometidos a im-
portantes fluctuaciones a lo largo del año. Por lo tanto, se Entre las más destacadas se encuentran la Inteligencia
deduce que los emprendedores son personas tolerantes artificial + machine learning, el big data y la innovación
al riesgo y sin miedo al fracaso. disruptiva. Sin duda una gran oportunidad para que los
emprendedores se lancen a investigar estos terrenos
168
CIBERSEGURIDAD
cho que MAPFRE sitúe la innovación en el centro de sus dura y necesitan apoyo para consolidar su empresa. Así,
prioridades, tratando de liderar la revolución digital que se busca atraer empresas interesadas en realizar un piloto
está viviendo el sector de los seguros. En este contexto real con productos o servicios comerciales en colabora-
aparece insur_space, una plataforma de innovación que ción con las unidades de negocio de MAPFRE y tendrán
busca potenciar la colaboración entre MAPFRE y el ecosis- la oportunidad de acceder a distintos recursos como una
tema de insurtech a escala global. asesoría con la red de expertos de la compañía y el mundo
de los seguros.
Las estrategias disruptivas permiten desarrollar negocios
que conectan ideas que no se han conectado antes para Un aspecto que puede resultar crucial para los candidatos
acceder a un mercado completamente nuevo. En este en- es el acceso a datos reales de negocio proporcionados por
torno, insur_space actúa como una aceleradora de star- la compañía para realizar los pilotos, en todos los países
tups cuyo objetivo principal es el de impulsar nuevas solu- donde MAPFRE está presente.
ciones para atender las necesidades de los distintos tipos
de clientes, que puedan incorporarse en el medio plazo al Del mismo modo, los pilotos lanzados por las compañías
negocio estratégico de la compañía. serán asesorados por parte del equipo de alta dirección
de la aseguradora. Una vez finalizado el programa, los pilo-
“Aspiramos a convertirnos en uno de los referentes mun- tos podrán contar con inversión a través de los diferentes
diales en innovación en insurtech y avanzar hacia los nue- instrumentos financieros de MAPFRE.
vos modelos de negocio y soluciones que surgen de los
cambios digitales y tecnológicos que estamos viviendo”. En la Industria 4.0, las empresas tienen que moverse a
Antonio Huertas, Presidente de MAPFRE. gran velocidad para adaptarse a los nuevos tiempos, un
gran reto no solo para el sector asegurador, sino para to-
Actualmente, son 19 startups las que están trabajando dos los negocios.
en insur_space dentro de dos programas de desarrollo:
aceleración y adopción. El primero se centra en ayudar a “Una de las metas de insur_space es crear nuevas siner-
emprendedores con una idea innovadora a iniciar el desa- gias de colaboración entre el ecosistema emprendedor.”
rrollo de su modelo de negocio, mientras que el segundo Josep Celaya, director global de Transformación y respon-
está dirigido a startups que ya tienen una propuesta ma- sable de insur_space.
169
CIBERSEGURIDAD
MAPFRE ACOMPAÑA A SUS CLIENTES EN Por otra parte, el seguro multirriesgo empresarial es para
negocios más complejos, que pueden conllevar procesos
LAS DISTINTAS FASES DE SU PROYECTO de transformación y requerir mayores sumas aseguradas
y garantías.
Ofrecer protección a las principales necesidades de los
autónomos, es una prioridad para MAPFRE que trata de Asimismo, ofrece la cobertura de protección digital para
minimizar los riesgos a los que se exponen. los comercios y autónomos, que incluye las siguientes
prestaciones: la localización y bloqueo del dispositivo mó-
Con el objetivo de facilitar a la empresa su gerencia de vil en caso de robo o pérdida; la elaboración de un infor-
riesgos, la herramienta “Empresas 360º” proporciona al me con detalle de evidencias digitales como el fraude o
cliente un estudio gratuito y detallado de los riesgos a los la fuga de datos; o la protección de la imagen del negocio
que puede verse sometida su empresa, según sus circuns- mediante la búsqueda y borrado de datos que puedan per-
tancias y la actividad que desarrolla. judicar a éste.
De esta forma las compañías pueden conocer de forma En este seguro se encuentra incluido el servicio de “Bri-
específica los desafíos a los que se enfrentan y las cober- comercio” una cobertura que ofrece asistencia básica en
turas que pueden habilitarse para minimizar su impacto. averías y reparaciones de bricolaje, electricidad, fontane-
Así, en función de la tipología de empresa, se realiza un ría, cerrajería, e informática, entre otros.
mapa de riesgos que determinará las necesidades asegu-
radoras del cliente en función del tamaño y actividad, su
situación actual y deseable, teniendo un servicio de ase- ANTES DE LLEGAR A EXISTIR, LAS
soramiento de primer nivel en la materia. Este informe per-
sonalizado y confidencial, se elabora en base al análisis de EMPRESAS EMERGEN COMO PROYECTOS
cuatro dimensiones que impactan en el mapa de riesgos EMPRENDEDORES A TRAVÉS
de una empresa (Patrimonio, Responsabilidad frente a DE UN PROCESO DE IDENTIFICACIÓN,
terceros, Cuenta de resultados y Personal de la empresa).
EVALUACIÓN Y EXPLOTACIÓN
DE OPORTUNIDADES DE NEGOCIO
MINIMIZAR LOS RIESGOS
DE LOS AUTÓNOMOS Es por ello que MAPFRE quiere acompañar a sus clientes
en todas las fases del emprendimiento de una empresa,
El mercado asegurador actual está teniendo un incremen- así como ofrecerles protección y soporte durante el desa-
to gradual en la sensibilización de los trabajadores autó- rrollo de su actividad.
nomos en cuanto a las coberturas de sus riesgos. Debido
fundamentalmente a las especiales circunstancias de
este tipo de trabajadores, es esencial un profundo conoci-
miento de su perfil para poder diseñar las soluciones ase-
guradoras más adaptadas a sus necesidades.
170
JOSÉ MIGUEL TABARÉS CUADR ADO
TABARÉS
COLEGIO DE REGISTRADORES
“Nuestro objetivo es buscar un servicio cómodo que se ajuste a las nuevas necesi-
dades de las empresas”
172
JOSÉ MIGUEL TABARÉS CUADR ADO
173
JOSÉ MIGUEL TABARÉS CUADR ADO
¿En qué consiste la profesión de registrador? siempre es necesario mantener una adecuada actualiza-
El registrador de la propiedad asume la función de con- ción de las tecnologías utilizadas.
trolar la legalidad de los documentos presentados en el
Registro, ya sean notariales, judiciales, administrativos o Puede parecer que este objetivo se repite año tras año,
privados, comprobando que se ajustan a las formas legal- pero lo cierto es que siempre tenemos como objetivo tener
mente establecidas, que las partes tienen capacidad para el mejor sistema registral del mundo y, para ello, solo hay
suscribirlos, que son válidos y que no existen otros obstá- un camino mejorar día a día, pero sin perder nada en el
culos derivados del contenido del registro. Pero, además, camino.
garantiza la adecuada aplicación de las normas urbanís-
ticas, de medio ambiente, de protección de patrimonios
públicos… Hace tres meses se clausuró el V Congreso Nacional de
Registradores. Durante dos días, los expertos en nuevas
tecnologías y derecho europeo y los registradores deba-
EL REGISTRADOR DE LA PROPIEDAD tieron en diferentes mesas de trabajo. En el apartado
de innovación tecnológica se trataron diversos temas
ASUME LA FUNCIÓN DE CONTROLAR de actualidad, como los retos y posibilidades del bloc-
LA LEGALIDAD DE LOS DOCUMENTOS kchain así como la prueba e identidad en el blockchain
PRESENTADOS EN EL REGISTRO jurídico, las novedades tecnológicas en las administra-
ciones públicas y los retos de la innovación en el ámbito
inmobiliario, los medios de comunicación y las tecno-
logías, o la inteligencia artificial. ¿Qué conclusiones
En este sentido, la función del registrador se ha visto am- sobre tecnología e innovación podemos sacar de este
pliada para ir desde un limitado examen con arreglo a las Congreso?
normas civiles del documento, hasta un examen integral La conclusión principal es que las nuevas tecnologías de-
del conjunto de normativas que pudieran resultar de apli- ben aplicarse a la gestión de los registros pero respetando
cación. Gracias a todo ello es posible obtener información los principios hipotecarios (legalidad, prioridad, tracto su-
fiable y segura sobre la titularidad y cargas de un inmue- cesivo…), deben ser un auxilio para los registradores en la
ble que es emitida por los registradores bajo la forma de prestación de su servicio público, haciendo más sencillo
nota simple o certificación. no sólo el desempeño de su labor sino también la interac-
ción con los usuarios de los registros, sin que por ello se
Además, en virtud de convenios con las administracio- pierda un ápice de seguridad jurídica, en suma, las nuevas
nes públicas asume funciones en materias fiscales, de tecnologías son un medio pero no un fin en sí mismas, y
tal modo que se encarga de la gestión de determinados deben ser integradas para mejorar el sistema.
tributos autonómicos o municipales. En cuanto a los regis-
tradores mercantiles su función de control de legalidad
alcanza la totalidad de la vida de una sociedad, desde su LAS NUEVAS TECNOLOGÍAS DEBEN
constitución hasta su liquidación, permitiendo así obtener
una información mercantil actualizada on line. También APLICARSE A LA GESTIÓN DE LOS
asumen funciones relacionadas con el desenvolvimiento REGISTROS PERO RESPETANDO LOS
de la vida societaria, como la legalización de libros, de- PRINCIPIOS HIPOTECARIOS
pósito de cuentas anuales, nombramiento de auditores y
expertos, convocatorias de juntas generales…
174
JOSÉ MIGUEL TABARÉS CUADR ADO
La tecnología da la seguridad electrónica pero la seguri- Prueba de esta actividad internacional es nuestra parti-
dad jurídica es un aspecto mucho más complejo que viene cipación en la Asociación Europea de Registros de la Pro-
determinado por la capacitación, la profesionalidad y el piedad (ELRA), en la Asociación Europea de Mercantiles
criterio de los registradores. La alianza entre la tecnología (EBRA), en el Centro Internacional de Derecho Registral
y el registrador es la mejor garantía para una prestación (IPRA-CINDER) y en otras actividades internacionales en
de calidad del servicio público que ejerce el Registro a la los que se estudian los Registros como instrumento para
sociedad. la garantizar la seguridad jurídica y potenciar el desarrollo
económico.
175
JOSÉ MIGUEL TABARÉS CUADR ADO
176
CONOCE
A LAS 500 EMPRESAS
ESPAÑOLAS
QUE SON LÍDERES
EN CRECIMIENTO
EMPRESARIAL
DESCÁRGATE LA APP
VI PREMIOS CEPYME
178
VI PREMIOS CEPYME
INMUNOTEK
PREMIO PYME DEL AÑO
VI PREMIOS
CEPYME
La Confederación Española de la Pequeña y Mediana Empresa
(CEPYME) entregó sus Premios anuales en una ceremonia que contó
con la participación de la vicepresidenta tercera del Gobierno y mi-
nistra de Asuntos Económicos y Transformación Digital de España,
Nadia Calviño.
179
VI PREMIOS CEPYME
INMUNOTEK ALGAENERGY
Empresa madrileña especializada en el Empresa madrileña de biotecnología, fun-
desarrollo y producción de vacunas, que dada en 2007, dedicada al cultivo de mi-
tiene sus orígenes en un negocio familiar. croalgas para sectores como la agricultura,
Inmunotek presenta un fuerte componen- cosmética, acuicultura, nutrición, etc. Des-
te de innovación científica y el 50% de su taca por su innovación y desarrollo de nue-
producción se dirige al exterior, principal- vos productos y los medios destinados a la
mente a países de la Unión Europea, pero I+D+i, que la han convertido en un referente
también a otros de los cinco continentes. mundial en el cultivo y aprovechamiento de
Actualmente, la empresa cuenta con 250 las microalgas.
profesionales de alta cualificación.
inmunotek.com algaenergy.es
180
VI PREMIOS CEPYME
gpainnova.com queralto.com
181
VI PREMIOS CEPYME
ecapture3d.com restaurantepajarosenlacabeza.com
182
VI PREMIOS CEPYME
183
VI PREMIOS CEPYME
mixerpack.es normadat.es
184
VI PREMIOS CEPYME
ticandbot.com
185
QUÉ LEER
THE SECRET TO
CYBERSECURITY
FOREFRONT
BOOKS
SCOTT AUGENBAUM
Cybersecurity
192 páginas | Inglés
186
QUÉ LEER
MALWARE
DATA SCIENCE
RANDOM HOUSE
LCC US
JOSHUA SAXE
Seguridad informática
272 páginas | Inglés
187
LA PALABRA DE HACKER
PALABRA
de
HACKER
188
LA PALABRA DE HACKER
Los hackers están rompiendo los sistemas para La ingeniería social se ha convertido en aproxima-
obtener ganancias. Antes, se trataba de curiosidad damente el 75% del conjunto de herramientas de
intelectual y búsqueda de conocimiento y emoción, un hacker promedio, y para los hackers más exito-
y ahora piratear es un gran negocio. sos, alcanza el 90% o más.
Kevin Mitnick John McAfee
___________________________________________ ___________________________________________
Es un secreto bastante público que casi todos los Enfrentamos amenazas cibernéticas de piratas
sistemas pueden ser pirateados, de alguna mane- informáticos patrocinados por el estado, piratas
ra. Es un secreto menos público que tal piratería se informáticos contratados, sindicatos cibernéticos
ha vuelto bastante convencional. mundiales y terroristas. Buscan nuestros secretos
Dan Kaminsky de estado, nuestros secretos comerciales, nuestra
___________________________________________ tecnología y nuestras ideas, cosas de un valor in-
creíble para todos nosotros. Buscan golpear nuestra
Estupidez humana, por eso los hackers siempre ganan. infraestructura crítica y dañar nuestra economía.
Med Amine Khelifi James Comey
___________________________________________ ___________________________________________
“Durante décadas nos preocupamos por las armas Ser capaz de superar la seguridad no te convierte en
de destrucción masiva. Ahora es el momento de un hacker, de la misma forma que hacer un puente
preocuparse por un nuevo tipo de armas de destruc- a un coche no te convierte en ingeniero mecánico.
ción masiva: Armas de interrupción masiva. ” Eric S. Raymond
John Mariotti ___________________________________________
___________________________________________
Si crees que la tecnología puede solventar tus pro-
“De hecho, sí, eran infalibles. El problema es que no blemas de seguridad, entonces no entiendes los
tienes que protegerte contra los tontos. Tienes que problemas y no entiendes de tecnología.
protegerte contra personas como yo. ” Bruce Schneier
Jeffery Deaver ___________________________________________
___________________________________________
El único sistema completamente seguro es aquel
Somos anónimos. Somos legión. Nosotros no perdo- que está apagado, encerrado en un bloque de ce-
namos. No olvidamos. Espéranos. mento y sellado en una habitación rodeada de
@Anon Group 7 alambradas y guardias armados.
___________________________________________ Gene Spafford
___________________________________________
Las empresas invierten millones en firewalls, cifrado
y dispositivos para acceder de forma segura, y es di- Los hoaxes utilizan debilidades en el comporta-
nero malgastado, porque ninguna de estas medidas miento humano, para asegurarse de ser replicados
corrige el nexo más débil de la cadena. y distribuidos. En otras palabras, los hoax atacan el
Kevin Mitnick sistema operativo humano.
___________________________________________ Stewart Kirkpatrick
___________________________________________
Si bien la gran mayoría de los piratas informáticos
pueden no estar dispuestos a la violencia, solo se Las contraseñas son como la ropa interior: no dejes
necesitarían unos pocos para convertir el ciberterro- que otros las vean, cámbialas con frecuencia y no
rismo en realidad. las compartas con desconocidos.
Dorothy Denning Chris Pirillo
___________________________________________ ___________________________________________
189
THE NATIO
PL AYLIST | THE NATIONAL
190
ONAL
PL AYLIST | THE NATIONAL
191
plan
ORGANIZACIONES
EXPONENCIALES
Nº16|ABRIL2020