Plan 15 - Ciberseguridad

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 196

plan

CIBERSEGURIDAD
Nº15|ENERO2020
Portal de Noticias de Pymes, Autónomos y Emprendedores

cepymenews.es
Descárgate la app oficial de cepymenews.es y accede
a contenidos exclusivos, alertas, ofertas, y mucho más.
L A CARTA DEL PRESIDENTE

GERARDO LA
CIBERSEGURIDAD,
UN RETO
INELUDIBLE PARA

CUERVA
LAS EMPRESAS

Gerardo Cuerva
Presidente CEPYME
@cepyme_

2
CIBERSEGURIDAD

Todas las empresas, sean del ta- A esas amenazas están expues- proyectos y frenan las inversiones
maño que se sean y operen en el tas todas las empresas. Pero, sin y la actividad y, en definitiva, signi-
mercado que operen, solo pueden duda, las particulares característi- fican retrocesos en el progreso y el
competir sobre la base de ser más cas de las pymes, que cuentan con empleo.
productivas y más eficientes. una infraestructura de seguridad
menos sofisticada que las grandes
En la actualidad, esto exige incor- empresas, menor experiencia y Vamos a trabajar
porar más tecnología y mayor cua- mayor falta de recursos y de perso- conjuntamente
lificación de los profesionales, es nal cualificado para gestionar y res- con los agentes
decir un proceso de globalización, ponder a las amenazas, las hacen implicados para
digitalización, automatización y ro- más vulnerables a los ciberriesgos tener cada vez unas
botización, que es ya un camino y más sensibles a sufrir las conse- empresas más
irreversible. cuencias de esta delincuencia aso- seguras y protegidas
ciada a Internet.
En mercados cada vez más abier-
tos y globales no es posible ser Alcanzar mayores grados de segu-
innovador, flexible, versátil, produc- Aproximadamente ridad en un entorno cada vez más
tivo, competitivo…, todo lo que la el 50 por ciento complejo y minimizar las conse-
economía global exige a las empre- de los ciberataques cuencias de las posibles inciden-
sas, sin presencia y conocimiento tienen a una pyme cias que la empresa pueda sufrir
del mundo digital. como objetivo va a exigir un esfuerzo de todos,
agentes públicos y privados, de
La incorporación de nuevas y avan- empresas, de organizaciones y de
zadas tecnologías, de herramien- Aproximadamente el 50 por ciento administraciones, para identificar
tas más sofisticadas a ámbitos de los ciberataques tienen a una las amenazas, definir y desarrollar
cada vez más amplios trae, con pyme como objetivo. Y cada ataque las herramientas y capacidades
sus innegables ventajas, un núme- informático tiene un coste mone- necesarias para combatirlas y ha-
ro creciente de amenazas. tario y de pérdida de información cer una correcta utilización de los
muy elevado para las empresas. recursos disponibles.

La incorporaciónde Por ello, invertir en ciberseguridad En esta tarea vamos a estar desde
nuevas y avanzadas y reducir los riesgos y las incerti- CEPYME como organización repre-
tecnologías, de dumbres en este terreno es uno de sentativa de las pymes españo-
herramientas más los grandes retos para la actividad las, informando, concienciando y
sofisticadas a de las pequeñas y medianas em- ayudando a nuestras empresas a
ámbitos cada vez más presas. implementar estos recursos y va-
amplios trae, con sus mos a trabajar conjuntamente con
innegables ventajas, Porque la inseguridad y la incer- los agentes implicados para tener
un número creciente tidumbre en todos los ámbitos, cada vez unas empresas más se-
de amenazas. también en este, representan el guras y protegidas, también ante
mayor obstáculo para los nuevos los riesgos cibernéticos.

3
SUMARIO Nº 15

16
46
Ciberseguridad Lowcost
para una PYME

MANUEL MASCARAQUE

CIBERSEGURIDAD
“El primer reto que tiene

SUMARIO
el seguro en materia de
ciberseguridad es ayudar
a incorporar la cultura
de la prevención en las
PYMES y particulares”

Nº15
2020 20 ELISA VIVANCOS
“Las empresas han de
incluir una gestión de

52
riesgos en sus protocolos
de ciberseguridad”

El 5G. Una revolución y un


reto para la seguridad

4
ENERO 2020

112
2 Carta del presidente

4 Sumario

6 Staff

144
La IA está cambiando 8 Predicciones ciberamenazas 2020
la ciberseguridad, pero
cuando está sesgada es 28 Glosario. Términos Ciberseguridad
peligrosa
42 Principales datos de la ciberseguridad en 2019

58 Entrevista | Alfonso Franco

68 Por qué se rompe la cultura de ciberseguridad


INFORME y cómo solucionarlo
Incidentes de
74 La ciberseguridad como componente clave
ciberseguridad industrial
de la seguridad integral en empresas
en servicios esenciales
de España
80 Entrevista | Antonio Cimorra

84 ¿Por qué seguimos cayendo en la trampa del


phishing bancario?

132
88 El cryptojacking sigue siendo la principal
amenaza

92 Las 4 brechas de seguridad del lector


de huellas y el reconocimiento facial

98 Ciberprotección más allá de los ataques

VERSIÓN ORIGINAL 102 Entrevista |Rubén Martí

190
Cibersecurity
106 Seguridad en situaciones críticas,
for the modern era
la evacuación adaptativa como solución

116 Entrevista | Maribel Vioque & Cristóbal Malet

122 Cepymenews | Las noticias más leídas

140 Las amenazas para la seguridad,


PLAYLIST ¿Dentro o fuera?
The National
166 El nuevo paradigma empresarial.
Emprendedores y el ecosistema
de las start-ups

172 Entrevista | José Miguel Tabarés

178 Inmunotek. Premio PYME del año.


VI Premios CEPYME

186 Qué leer

188 Palabra de Hacker

5
STAFF

ENERO 2020
PORQUE TODAS LAS EMPRESAS NECESITAN UN PLAN

Gerardo Cuerva Mikel Egidazu Publicidad


Presidente CEPYME Editor Jefe & Director 681 605 340
[email protected]
Suscripciones C

Pedro Fernández Alén Natalia Eguidazu planmagazine.es


M
Secretario General Redactora Jefe
[email protected] Y

Edita CM

Carla Domínguez Cristóbal Terceiro UpTheMedia Smart Publishing MY

Directora Comunicación Director Técnico upthemedia.com


CY
[email protected] [email protected]
Producción Editorial CMY

Montse Leira J. de Haro Artes Gráficas K

PLAN es una publicación de la Arte y maquetación


Confederación Española de la Pequeña [email protected] DEPÓSITO LEGAL: B 10415-
y Mediana Empresa. 2016
Beatriz Belda
Directora Comercial
[email protected]

Rafael Castillo
Director Desarrollo Negocio
[email protected]

Sandra García
Eric Thompson
Antonio González
Redactores

@Plan_Magazine

#tengoPLAN
6
ASISA SALUD PYMES PLUS
VOCACIÓN PYMES

Cuidar de la salud de tu empresa


es cuidar de la salud de sus empleados
y sus familiares
En Asisa sabemos que cuidar de ti es cuidar de los tuyos. Por eso, si eres pyme o
autónomo, con Asisa Salud Pymes Plus disfrutarás de un seguro de salud con
el que tus empleados y sus familias tendrán acceso a una asistencia sanitaria
de calidad con una cobertura integral.

45,90€
persona/mes *
Sin copagos
Con periodos de carencia
Mínimo dos asegurados en la póliza
(empleados, sus familias y familiares del
tomador-empresario)

* Prima válida para 2020 y para hombre o mujer de hasta 64 años. Las primas tendrán un incremento del 5% en Barcelona, Gerona y Baleares.

Empresa Colaboradora:

asisa.es/pymes
CIBERSEGURIDAD

8
CIBERSEGURIDAD

PREDICCIONES
CIBERAMENAZAS
2020
Proofpoint, Inc.

DOWNLOADERS Y BOTNETS ABUNDARÁN


MIENTRAS QUE LAS CADENAS DE SUMINISTRO
Y EL COMPROMISO DE CREDENCIALES SERÁN
OBJETIVO DE PHISHING
Los investigadores de Proofpoint han analizado las principales cibe-
ramenazas de los últimos doce meses para predecir su evolución en
2020. Durante este periodo hemos comenzado a ver los resultados
de la distribución generalizada de herramientas de administración re-
mota (RATs) y downloaders, la significativa evolución de ataques de
suplantación de identidad y amenazas cada vez más sofisticadas con-
tra aplicaciones en cloud. Estas son, entre otras, las tendencias que
dibujarán lo que podemos esperar en 2020.

El correo electrónico seguirá siendo el vector de amenaza inicial ele-


gido por la mayoría de los atacantes, para ejecutar campañas de phi-
shing de robo de credenciales; ataques dirigidos de malware para es-

9
CIBERSEGURIDAD

tablecer un punto de ataque dentro de las organizaciones;


y para la distribución generalizada de troyanos bancarios,
downloaders, backdoors y demás. Además, sistemas de
correo cloud como Microsoft Office 365 y GSuite serán
objetivos en sí mismos, ya que suponen una buena plata-
forma para poder realizar ataques futuros y movimientos
laterales dentro de las organizaciones.

RANSOMWARE
A pesar de su casi total ausencia como contenido principal
en correos maliciosos, el ransomware siguió acaparando
titulares en 2019, especialmente por los grandes ataques
registrados. Se espera que este tipo de ataques, en los
que los ciberdelincuentes centran el tiro en servidores y
dispositivos de entornos de misión crítica, por los que pue-
den pedir rescates más altos ya que están más dispuestos
a pagar por desencriptar sus archivos para recuperar rápi-
damente los sistemas, continúen en 2020.

Sin embargo, este tipo de infecciones suelen ser la segun-


da parte de ataques primarios con RATs, downloaders
y troyanos bancarios, lo que hace que la prevención de
las infecciones iniciales sea clave. En 2020, las organi-
zaciones verán que, una vez que ya han sido víctimas de
ataques de ransomware, se encuentran comprometidas
con una versátil carga de malware que crea potenciales
vulnerabilidades futuras y expone sus datos y propiedad
intelectual.

UNA VEZ QUE YA HAN SIDO VÍCTIMAS


DE ATAQUES DE RANSOMWARE, SE
ENCUENTRAN COMPROMETIDAS CON UNA
VERSÁTIL CARGA DE MALWARE

CADENAS DE INFECCIÓN COMPLEJAS


En 2019, los mensajes que contenían URLs para dis-
tribución de malware superaron continuamente a los
que incluían archivos adjuntos maliciosos. Aunque la
mayoría de los usuarios evita en gran medida abrir ar-
chivos adjuntos de remitentes desconocidos, el uso

10
CIBERSEGURIDAD

actual de aplicaciones y sistemas de almacenamiento


en cloud provoca que seamos menos reacios a hacer
clic en enlaces para poder ver, compartir e interactuar con
gran variedad de contenidos. Los atacantes continuarán
sacando provecho de ello con mayor eficacia gracias a la
ingeniería social y también porque las URLs pueden uti-
lizarse para enmascarar cadenas de infección cada vez
más complejas, que hacen que la detección sea más difícil
que la de un link a una carga maliciosa. Mientras que en
el pasado las URLs se enlazaban con un ejecutable de un
documento malicioso, en 2020 aumentará el uso de acor-
tadores de URL, sistemas de distribución de tráfico y otros
medios para ocultar el contenido malicioso.

Al mismo tiempo, las campañas serán más complejas y


los cebos de ingeniería social para engañar a los usuarios
y conseguir que instalen malware se irán perfeccionando.
Seguiremos viendo cómo las tácticas para comprometer
los correos corporativos (BEC) se abrirán camino en las
campañas de malware y phishing, utilizando múltiples
puntos de contacto como LinkedIn, secuestro de cadenas
de email y el envío previo de numerosos correos electró-
nicos inofensivos para establecer relación con la víctima
antes de enviarle malware. De forma similar, el malware
modular diseñado para descargar funciones adicionales
o malware secundario tras la primera infección dará conti-
nuidad a la tendencia de infecciones “silenciosas” que los
atacantes podrán explotar en un momento posterior.

ATAQUES A TRAVÉS DE SERVICIOS


Y APLICACIONES LEGÍTIMAS
En esta misma línea, los atacantes aumentarán el abuso
de servicios legítimos para poder alojar y distribuir cam-
pañas maliciosas de correo electrónico, malware y kits de
phishing. Por ejemplo, aunque el uso de enlaces de Mi-
crosoft SharePoint para alojar malware se ha vuelto más
común desde hace algún tiempo, ya se comienza a ver
su uso para phishing interno. Así, una cuenta de Office
365 comprometida se puede usar para enviar un correo
electrónico interno con un vínculo a un kit de phishing alo-
jado en SharePoint utilizando otra cuenta comprometida.
De este modo, las víctimas nunca se ven redirigidas a un
sitio de phishing externo y los correos electrónicos pare-
cen proceder de usuarios legítimos. Este tipo de ataque
sólo requiere un par de cuentas comprometidas dentro
de la organización y es difícil de detectar, tanto para los

11
CIBERSEGURIDAD

Photo by microsoft | SharePoint-Summit-2019

usuarios como para muchos sistemas de seguridad. Y pre- Del mismo modo, continuará el abuso generalizado de
vemos que esta técnica sea más frecuente en el año 2020 otros servicios legítimos de alojamiento en cloud para
debido a su eficacia. distribuir malware, aprovechando nuestra predisposición
a hacer clic en enlaces a archivos compartidos y la inca-
pacidad de la mayoría de las organizaciones para incluir
UNA CUENTA DE OFFICE 365 servicios como Dropbox o Box en sus listas negras.

COMPROMETIDA SE PUEDE USAR PARA Por último, también se han observado altos niveles de ac-
ENVIAR UN CORREO ELECTRÓNICO tividad de malware asociados al sistema de distribución
INTERNO CON UN VÍNCULO A UN de tráfico (TDS) Keitaro. Se trata de un servicio legítimo
con una gama de aplicaciones utilizadas fundamental-
KIT DE PHISHING ALOJADO EN mente en publicidad web, pero es cada vez más utilizado
SHAREPOINT UTILIZANDO OTRA CUENTA por los atacantes para dirigir a víctimas hacia amenazas
COMPROMETIDA específicas, según su localización geográfica o su siste-
ma operativo. Se espera la expansión de esta táctica en

12
CIBERSEGURIDAD

2020, de nuevo debido, en gran parte, a la dificultad de zan tanto protocolos heredados como otras técnicas
las organizaciones de incluir en su lista negra las IPs aso- de infiltración para obtener acceso no autorizado.
ciadas a este tipo de servicios.
Y a pesar de que la adopción de la autenticación multifac-
tor está ayudando a mitigar los riesgos asociados con los
ATAQUES DE FUERZA BRUTA MÁS ataques en la cloud, tanto proveedores como organizacio-
nes están descubriendo que una implementación robusta
INTELIGENTES conlleva también muchos desafíos, lo que lleva a las orga-
nizaciones a considerar la biometría y otras soluciones po-
A medida que las organizaciones han ido adoptando sof- tenciales para asegurar su infraestructura, ya sea propia o
tware en cloud para mejorar la colaboración y la produc- adquirida como servicio.
tividad, este tipo de plataformas se han convertido en ob-
jetivos cada vez más atractivos para los atacantes. Dada
la prevalencia de campañas de phishing para el robo de
credenciales de Microsoft Office 365, la atención seguirá
CADENAS DE SUMINISTRO
centrada en ser capaces de comprometer estas cuentas COMPROMETIDAS HORIZONTAL
para su uso en futuros ataques, poder realizar movimien-
tos laterales dentro de las organizaciones y explotar servi-
Y VERTICALMENTE
cios relacionados, como Microsoft SharePoint.
Las vulnerabilidades de la cadena de suministro han sido
el centro de las mayores brechas de seguridad de los gran-
AUMENTARÁ LA AUTOMATIZACIÓN des retailers los últimos años. Y a pesar de que los atacan-
tes han seguido explotando la cadena de suministro para
DE LOS ATAQUES DE FUERZA BRUTA todo, desde el robo de tarjetas de crédito hasta el compro-
MEDIANTE HERRAMIENTAS miso del correo electrónico empresarial (BEC), esperamos
COMO PYTHON Y POWERSHELL que esta táctica se haga más sofisticada en 2020.

Por ejemplo, muchas organizaciones permiten a sus pro-


Aunque los ataques tradicionales de fuerza bruta a estos y veedores enviar correos electrónicos en su nombre para
otros servicios cloud continuarán en 2020, se espera que realizar acciones comerciales o de marketing. Pero ya
sean cada vez más sofisticados: hemos visto campañas generalizadas de phishing contra
las marcas debido a ello. Por eso cada vez más organiza-
• El número de ataques se incrementa habitualmente ciones exigen a los proveedores que utilicen sus propios
cuando lotes de credenciales robadas pasan a estar dominios de correo electrónico para realizar un mejor se-
disponibles; los atacantes confiarán en una mayor guimiento de las campañas y mitigar los posibles riesgos.
automatización para mejorar la introducción de con-
traseñas y algoritmos para introducir variaciones so-
bre contraseñas robadas o cruzadas sobre múltiples CADA VEZ MÁS ORGANIZACIONES EXIGEN
volcados.
A LOS PROVEEDORES QUE UTILICEN
• Los dispositivos de red secuestrados continuarán im- SUS PROPIOS DOMINIOS DE CORREO
pulsando ataques a gran escala y los atacantes se- ELECTRÓNICO PARA REALIZAR UN MEJOR
guirán aprovechándose de los protocolos de correo
electrónico heredados para evitar barreras de auten- SEGUIMIENTO DE LAS CAMPAÑAS
ticación (como el MFA). Y MITIGAR LOS POSIBLES RIESGOS
• Aumentará la automatización de los ataques de
fuerza bruta mediante herramientas como Python y También se espera que las organizaciones empiecen a
Powershell, así como los ataques híbridos que utili- examinar mejor la gran cantidad de proveedores con los

13
CIBERSEGURIDAD

LA FORMACIÓN ASUME UN PAPEL CLAVE


Aunque los sistemas automatizados pueden evitar que
muchas amenazas lleguen a las bandejas de entrada, los
usuarios siguen siendo la última línea de defensa, espe-
cialmente cuando los atacantes recurren al phishing de
voz y SMS y a los ataques multicanal. Por eso la formación
supone un componente crítico para preservar la seguridad,
aunque los pocos recursos en las organizaciones hacen
que suelan ser selectivas en cuanto a la formación que
proporcionan al usuario. De este modo, podemos esperar:

• Que las prioridades formación se enfoquen en los ti-


pos de amenazas que las organizaciones experimen-
tan en la actualidad.

• Que cada vez más organizaciones se centren en el


que se relacionan. Un reciente análisis realizado con una usuario final para identificar los ataques de phishing
muestra de organizaciones de atención sanitaria reveló que se cuelan a través de las defensas del perímetro;
como las redes de proveedores no aplican en numerosas que haya una mayor adopción de mecanismos de re-
ocasiones los mismos criterios de seguridad para el co- porte de correo electrónico en el cliente, incluida la
rreo electrónico que estas organizaciones, lo que implica automatización para evitar la saturación de los recur-
un gran riesgo. Conocer bien a los proveedores y exigir que sos de TI.
apliquen el mismo tipo de seguridad para el uso del correo
electrónico en los contratos puede ser clave para limitar • Que las organizaciones centren la formación en el phi-
el riesgo. shing interno y en el compromiso de las cuentas de
correo electrónico, ya que son difíciles de detectar por
los sistemas automatizados.
CONOCER BIEN A LOS PROVEEDORES
Y EXIGIR QUE APLIQUEN EL MISMO TIPO
DE SEGURIDAD PARA EL USO DEL CORREO
ELECTRÓNICO EN LOS CONTRATOS PUEDE
SER CLAVE PARA LIMITAR EL RIESGO

Más allá de los ataques para comprometer los correos


corporativos, asociados a menudo con las cadenas de su-
ministro, la capacidad de aumentar la credibilidad de los
ataques de phishing haciéndose pasar por un proveedor o
utilizando cuentas comprometidas en los proveedores se-
guirá impulsando los ataques a las cuentas en cloud. Este
tipo de riesgos también impulsará una mayor adopción de
protocolos como DMARC, ya que los equipos de seguridad
se reunirán con los departamentos de compras para exigir
enfoques basados en estándares para la seguridad de los
proveedores.

14
CIBERSEGURIDAD

16
CIBERSEGURIDAD

CIBERSEGURIDAD
LOWCOST
PARA UNA PYME
ALL4SEC

Si preguntáramos a los responsables de las PYMEs cuáles son sus


principales preocupaciones en términos de ciberseguridad, cierta-
mente responderían con palabras como el robo o pérdida de informa-
ción crítica, el ataque a su plataforma Web o ser víctimas de un phi-
shing o ransomware. Ahora bien, ¿qué deberían hacer esos mismos
responsables cuando sus recursos económicos para combatirlas son
muy limitados?

Algunas organizaciones como CISo INCIBE se han preocupado por re-


coger las medidas indispensables que toda PYME debe tomar para
tener una ciberseguridad robusta. Desde All4Sec, empresa española
de ciberseguridad, brindan unas recomendaciones para ayudar a las
PYMEs a estar protegidas.

Conocer en detalle nuestra red informática


Si se conocen todos los elementos que conforman una red resulta más
sencillo gestionarla y decidir sobre qué dispositivos se debe actuar
para protegerla. A continuación, proponemos algunas medidas:

17
CIBERSEGURIDAD

• Disponer de un inventario actualizado completo de


todos los elementos que están en la red, sean hard-
ware, software o datos críticos. Si la red es demasiado
grande o compleja se recomienda utilizar un escáner
de red que proporcione una lista completa de todos
los dispositivos conectados.

• Mantener habilitado el protocolo de red DHCP para


los dispositivos que se conectan a su red, que permite
trazar posteriormente cualquier elemento que haya
accedido a sus recursos internos. Si la empresa ofre-
ce conexión WIFI, es necesario comprobar que router
identifica todos los dispositivos conectados y que es-
tos utilizan WPA2 para sus conexiones.

• Conocer las aplicaciones instaladas en los equipos


y servicios web. Además, es necesario comprobar
ocasionalmente que no se han hecho alteraciones no
autorizadas, así como prestar atención a los servicios
online que se utilizan y disponer de un procedimiento
de habilitación de nuevas aplicaciones en su red para
evitar la descarga de aplicaciones maliciosas.

• Limitar el número de usuarios con privilegios de ad-


ministrador en sus equipos. En general, no active esos
permisos sin un criterio claro. Implante medidas para
disponer de passwords robustos en cualquier servicio
y muy en particular en los servicios de administración.

Proteger los elementos y sensibilizar a los emplea-


dos
Los ciberdelincuentes suelen actuar sobre las debilidades
que presentan las infraestructuras tecnológicas, por eso
es fundamental asegurar la correcta configuración de sis-
temas operativos y aplicaciones web; sin olvidar la necesi-
dad de que los empleados estén sensibilizados con estas
medidas y conozcan los procedimientos de actuación en
caso de amenaza. Algunas de las recomendaciones son:

• Utilizar navegadores que se actualicen periódica-


mente, verifiquen la integridad de los plugins e im-
planten doble factor de autenticación. Es importante
revisar los parches y actualizaciones del navegador.
Además de contar con un anti-malware en equipos
y servidores, así como cortafuegos para las conexio-
nes. Implante también un sistema cortafuegos para
sus conexiones.

18
CIBERSEGURIDAD

• Cifrar siempre la información crítica o confidencial y


utilizar conexiones cifradas al administrar dispositi-
vos o transferir información confidencial. Los usuarios
que pueden acceder a esta información sensible han
de estar definidos y conocer el riesgo que conlleva. Es
recomendable limitar el uso de dispositivos de alma-
cenamiento externos como USB, CD o DVD a ocasio-
nes puntuales.

• Invertir tiempo en sensibilizar a los empleados sobre


el phishing y los casos más habituales que se pueden
presentar. Solicitar que activen los bloqueos de pan-
talla de sus dispositivos móviles y, en la medida de lo
posible, hacer que cada usuario tenga una contrase-
ña propia para cada servicio.

Estar preparado frente a posibles incidentes


Es vital que las empresas estén preparadas frente a las
amenazas. Entre las medidas a destacar están:

• Realizar una copia de seguridad de forma semanal


de aquellos elementos críticos de la organización. In-
cluso aislar las copias para evitar posibles ataques,
sin olvidar verificar que las copias son recuperables.

• Definir la persona encargada de liderar las actuacio-


nes en caso de un posible incidente. Así como dispo-
ner de los puntos de contactos actualizados de los
proveedores de servicio sean legales o tecnológicos,
en caso de necesidad.

• Conocer la legislación vigente en materia de notifica-


ción de incidentes y el Reglamento General de Pro-
tección de Datos (RGPD) y sus requisitos que impone.

Los ataques y amenazas seguirán estando alrededor de


las pequeñas y medianas empresas, pero adoptar las re-
comendaciones básicas dificultará la actuación de los
ciberdelincuentes y ayudará a mejorar la capacidad de
reacción de las empresas.

ALL4SEC
all4sec.es

19
ELISA
ELISA VIVANCOS

Técnico de ciberseguridad del área de Empresas y Profesionales

VIVANCOS
INCIBE

“Las empresas han de incluir una gestión de riesgos en sus protocolos de ciberse-
guridad”

INCIBE, como entidad de referencia para el desarrollo de la ciberseguridad y la


confianza digital de ciudadanos y empresas, presentó a finales de 2019 el bo-
letín especial 10 hitos destacados en ciberseguridad en 2019. ¿Cuáles son sus
conclusiones?
Ransomware, phishing, botnet, brechas de datos, retos virales, videojuegos, sha-
renting, fake news son algunos de los conceptos englobados en el boletín especial
de hitos destacados durante 2019, elaborado por INCIBE.

20
ELISA VIVANCOS

21
ELISA VIVANCOS

Todos estos términos han englobado diferentes sucesos mas móviles, y ciberataques contra dispositivos IoT con la
a lo largo de 2019, los cuales pueden consultarse en la llegada del 5G. También seguirán en aumento los casos
sección de avisos de seguridad de la Oficina de Seguridad de manipulación de la opinión pública (desinformación).
del Internauta (OSI) y Protege tu Empresa, los canales es- Las tendencias tecnológicas son las que van a marcar
pecializados en ciudadanos y empresas de INCIBE. también la forma de abordar la ciberseguridad.

También a través de campañas, guías, herramientas, etc.,


con contenidos de actualidad con el único fin de prevenir ¿Cuál es la labor del Instituto Nacional de Ciberseguri-
y concienciar a menores, educadores, padres, ciudadanos dad?
y empresas. De esta forma, INCIBE ayuda a los usuarios El Instituto Nacional de Ciberseguridad (INCIBE) es un or-
a adoptar un cambio positivo de comportamiento en re- ganismo consolidado como entidad de referencia para el
lación con la adopción de buenos hábitos de seguridad, desarrollo de la ciberseguridad y de la confianza digital de
contribuyendo a minimizar el número y gravedad de inci- los ciudadanos. Además, es un motor de transformación
dencias de ciberseguridad experimentadas por el usuario. social y oportunidad para la innovación, fomentando la I+-
De igual forma, mitiga el impacto de estos incidentes, los D+i y el talento.
gestiona desde su CERT y resuelve todas las consultas
de sus públicos objetivo relacionadas con fraudes u otras
materias similares a través de su Línea de Ayuda en Ci- ¿Qué es el INCIBE-CERT?
berseguridad. INCIBE-CERT es el centro de respuesta a incidentes de se-
guridad de referencia para los ciudadanos y entidades de
derecho privado en España operado por el Instituto Nacio-
INCIBE AYUDA A LOS USUARIOS nal de Ciberseguridad (INCIBE).

A ADOPTAR UN CAMBIO POSITIVO En el caso de la gestión de incidentes que afecten a opera-


DE COMPORTAMIENTO EN RELACIÓN CON dores críticos del sector privado, INCIBE-CERT está opera-
LA ADOPCIÓN DE BUENOS HÁBITOS do conjuntamente por INCIBE y CNPIC, Centro Nacional de
Protección de Infraestructuras y Ciberseguridad del  mi-
DE SEGURIDAD nisterio del Interior.

INCIBE-CERT es uno de los equipos de respuesta de re-


¿Qué nos deparará el 2020 en materia de ciberseguri- ferencia ante incidentes que se coordina con el resto de
dad? ¿Qué tendencias veremos en el 2020, hacia dónde los equipos nacionales e internacionales para mejorar la
se dirigen los ciberdelincuentes y cómo evoluciona la eficacia en la lucha contra los delitos que involucran a las
ciberseguridad frente a ellos? (ataques a móviles, filtra- redes y sistemas de información, reduciendo sus efectos
ciones de datos, secuestros y chantajes virtuales, etc.) en la seguridad pública.
Lo único cierto en un entorno en continuo cambio como el
actual es que la ciberseguridad seguirá tanto en los inci-
dentes, como en los mecanismos de defensa a los desa-
rrollos tecnológicos y a sus usos y aplicaciones: IoT, weara- CULTURA DE CIBERSEGURIDAD
bles, criptomonedas, big data, vehículos autónomos, etc.
Así, es posible que veamos un aumento de incidentes di- ¿Cuáles son los grandes retos del sector de la ciberse-
rigidos, que serán cada vez más sofisticados aprovechán- guridad?
dose de técnicas de IA, y ciberataques a infraestructuras Las empresas y los particulares se ven ante el desafío de
críticas, incluso mediante drones. utilizar una tecnología cada vez más potenciadora de su
actividad de forma segura, en un mundo en el que aún se
El Ransomware, que seguirá siendo muy rentable para están estableciendo las reglas del juego. Tanto para los
la ciberdelincuencia organizada, evolucionará en busca ciudadanos como para las empresas crece de forma ex-
de nuevas formas de monetizarse. También se espera un ponencial la dependencia de una tecnología que cambia
mayor número de troyanos bancarios dirigidos a platafor- a un ritmo que la adaptabilidad humana no puede seguir.

22
ELISA VIVANCOS

Por tanto, el sector de la ciberseguridad tiene, además las más precavidas y que las menos dependientes son las
de los desafíos propios de integrar los mecanismos po- más despreocupadas ante su ciberseguridad.
tenciadores de la ciberseguridad, como el blockchain, un
reto esencial de inyectar la cultura de ciberseguridad a
las empresas y ciudadanos y otro adicional de favorecer, NO HAY UNA RESPUESTA HOMOGÉNEA
propiciar y aplicar los cambios normativos y legales, tanto
en los gobiernos, como en las empresas que colaboren SOBRE ESTOS RIESGOS CIBERNÉTICOS
a aclarar estos escenarios, estableciendo esas reglas del QUE SEA VÁLIDA PARA TODO TIPO
juego que favorecen la protección de ciudadanos, empre- DE EMPRESAS, DEPENDERÁ DE LA
sas y Estados.
DEPENDENCIA TECNOLÓGICA DE CADA UNA

¿Cuáles son los principales riesgos cibernéticos a los


que están expuestas las empresas? Lo que sí es un factor común es que las empresas han de
El uso de la tecnología y la dependencia del negocio de incluir una gestión de riesgos en sus protocolos de ciber-
la misma van a permitir identificar también los riesgos a seguridad. Esto no es más que decir que han de priorizar
los que están expuestas las empresas. No hay una res- lo que protegen y cómo lo protegen en base a los porcen-
puesta homogénea sobre estos riesgos cibernéticos que tajes de riesgo e impacto de cada posible suceso desafor-
sea válida para todo tipo de empresas, dependerá de la tunado que pueda poner en jaque su negocio. Para ello,
dependencia tecnológica de cada una. han de identificar y valorar los activos que intervienen en
sus procesos vertebradores y verificar las amenazas a las
Para unas serán los riesgos asociados a dispositivos móvi- que están expuestos, siguiendo alguna metodología para
les o el incumplimiento del RGPD, para otras los relativos evaluar los riesgos y para decidir cómo abordarlos. Algo
a la web para evitar phishing o los riesgos inherentes a la común a todas las empresas y que se obtiene resultado
contratación de terceros. No obstante, esto no quiere decir de esta gestión es que siempre existe un riesgo que no
que a mayor dependencia mayor riesgo, pues entra en jue- ha de descuidarse y es la falta de concienciación de los
go otro factor que es la actitud ante la ciberseguridad. Se empleados, que hace posible que se materialicen muchos
observa que las empresas más dependientes son también incidentes que utilizan la ingeniería social.

23
ELISA VIVANCOS

Como norma general a considerar se podría decir también hacen un uso más seguro de la tecnología otras por per-
que existen riesgos siempre en el uso de tecnologías ob- tenecer a sectores estratégicos sujetos a normativas es-
soletas o que no tienen soporte, en el uso de las tecnolo- pecíficas.
gías más utilizadas (pues es más rentable para los delin-
cuentes) y en la carencia de mecanismos de contingencia Por otra parte, aumenta el número de empresas y orga-
y continuidad, como backup o centros de respaldo, pues nizaciones de cierta dependencia tecnológica que tiene
estos serán la única opción de recuperación en muchos una actitud de precaución ante estos riesgos. Muchas han
casos. Por último, recordar que los riesgos de incumpli- llegado a sensibilizarse tras sufrir un incidente y sus terri-
miento normativo, en particular en cuanto a protección de bles consecuencias, no sólo económicas, sino también en
datos personales, pueden acarrear multas importantes en su reputación. Las empresas con menor dependencia, o
un entorno en el que los usuarios están cada vez más pre- las que inician su transformación digital son las que tienen
ocupados por su privacidad. una percepción menor de los riesgos. No obstante, las py-
mes son muy numerosas y los sectores muy diversos, por
lo que intentaremos llegar a ellas de una forma específica
LOS RIESGOS DE INCUMPLIMIENTO a través de sus organizaciones sectoriales.

NORMATIVO, EN PARTICULAR EN CUANTO


A PROTECCIÓN DE DATOS PERSONALES, ¿Cómo valora el nivel de protección, especialmente en-
PUEDEN ACARREAR MULTAS IMPORTANTES tre las pymes, frente a los riesgos cibernéticos?
En general la pyme, y en particular la microempresa y
los autónomos, tienen camino que recorrer en la protec-
ción ante estos riesgos. Las empresas no pueden esca-
¿Son conscientes las empresas de estos riesgos y de par a la transformación digital y esta lleva asociada de
sus potenciales consecuencias? manera indisoluble la necesidad de protección frente a
Cada vez más las empresas están tomando conciencia incidentes y a usos no autorizados o abusivos de la tec-
de estos riesgos, unas veces motivados por clientes que nología. Esta protección comienza por la concienciación y

24
ELISA VIVANCOS

sensibilización, con la que se consigue que los empleados ciales en distintos foros. Las secciones en la web tratan
de todos los niveles hagan un uso adecuado de la tecnolo- todo tipo de situaciones de seguridad en las que pueda
gía, protegiendo el negocio y garantizando los derechos de verse involucrada la empresa, desde distintos puntos de
los clientes o usuarios. vista que van, desde lo tecnológico y organizativo (dosie-
res, políticas, guías, kit de concienciación…) hasta enfo-
ques sectoriales como los itinerarios, didácticos como el
¿Qué medidas debe adoptar una empresa para proteger- Juego de rol, o lúdicos como el serious game hackend.
se frente a estos riesgos?
Además de la concienciación y sensibilización, ya mencio-
nada, las empresas, sin importar su tamaño o su sector, LA PROTECCIÓN DE LAS EMPRESAS,
han de aprender a gobernar su seguridad de forma efi-
ciente. Para ello, como comentábamos, han de adoptar un JUNTO A LA DE LOS CIUDADANOS,
enfoque de gestión de riesgos y elaborar un Plan Director MENORES, EDUCADORES Y PADRES,
de Seguridad. Este Plan contendrá las medidas técnicas ES NUESTRA RAZÓN DE SER
y organizativas necesarias para abordar la seguridad de
forma consistente con los riesgos detectados y en línea
con la estrategia de la empresa.
Otras secciones contienen herramientas específicas como
Este entorno actual de las empresas en los mercados el Catálogo de empresas y soluciones de ciberseguridad,
digitales es, como dirían los estrategas, volátil, incierto, los servicios Antiransomware y Antibotnet o la herramien-
complejo y ambiguo (VUCA de sus siglas en inglés). Por ta de autodiagnóstico. Todas estas se complementan con
ello, pueden ocurrir sucesos inesperados que superarán la Línea de Ayuda y un canal de reporte del fraude.
nuestra comprensión de lo ocurrido, pero con consecuen-
cias negativas para el negocio. Ante esto, la opción más
efectiva es adoptar un plan para progresivamente y de Desde la perspectiva del INCIBE ¿Qué papel tienen los
forma continua enfocarnos en comprender mejor nuestro empleados en materia de ciberseguridad? ¿Se debe for-
entorno particular y apoyarnos en otros agentes (de nues- mar a todos los empleados? ¿Existe algún manual de
tro sector o institucionales), de manera que tengamos la buenas prácticas?
agilidad necesaria para dar una respuesta adecuada a lo Efectivamente, los empleados, a todos los niveles, si es-
que pueda suceder. tán concienciados se convierten en verdaderos firewalls
humanos. Por ello, van a ser claves para detectar y dete-
ner posibles ciberataques y evitar incidentes que puedan
¿Qué actuaciones se llevan a cabo desde INCIBE para hacer estragos en nuestra organización. Además, si en-
mejorar la protección de las empresas frente a ataques focamos nuestros esfuerzos en entrenar a los empleados
informáticos? a todos los niveles en la respuesta a incidentes, en caso
La protección de las empresas, junto a la de los ciudada- de que ocurra seremos capaces de recuperarnos antes,
nos, menores, educadores y padres, es nuestra razón de minimizando las posibles consecuencias.
ser. Desde los comienzos, y a través de distintos medios,
llevamos la concienciación y sensibilización a las empre- En particular, todos tenemos que entrenarnos ante los
sas y ponemos nuestro esfuerzo como entidad de referen- ciberataques que utilizan la ingeniería social, pues este
cia en la detección, análisis y respuesta a ciberataques. tipo de engaños, cada vez más sofisticado y elaborado,
En concreto, para la protección de empresas disponemos es muy utilizado para extender ransomware y en ataques
de servicios de información y educativos, además de he- de phishing y en general para todo tipo de fraudes. Una
rramientas específicas y una línea de ayuda. vía muy común para esto es el correo electrónico y otros
servicios de mensajería, por lo que estar adiestrado para
Los servicios informativos y educativos se basan en la detectarlos es útil para todos los empleados que hagan
información publicada en el portal www.incibe.es, en el uso de estas herramientas, es decir, para todos. Como
apartado “Protege tu empresa”, tales como formación on- manual de buenas prácticas a modo divulgativo pode-
line a través de plataformas MOOC y actuaciones presen- mos utilizar los itinerarios sectoriales, que son videos

25
ELISA VIVANCOS

interactivos enfocados sectorialmente con los que tener


una visión completa de la ciberseguridad. Con un enfo-
que más temático, se pueden consultar los dosieres de la
sección ‘¿Qué te interesa?’ con todo tipo de recursos. Por
último, para disponer de checklists de buenas prácticas
específicas para cada planteamiento (uso de móviles, re-
des wifi, puesto de trabajo, web,…) tanto para la dirección
o el área técnica, como para el empleado, las políticas de
seguridad son más adecuadas.

¿Puede la tendencia del BYOD (Bring Your Own Device),


cada vez más instaurada en las empresas, influir negati-
vamente en este aspecto?
Inevitablemente llevamos nuestros dispositivos a nuestro
lugar de trabajo y si nos resulta más fácil y nadie nos lo
impide, los utilizaremos para trabajar. Esto lleva a situa-
ciones de riesgo que pueden conllevar pérdida de datos,
daños de reputación e incluso sanciones legales.

DESDE LA DIRECCIÓN SE HA DE
Ciberemprende es una iniciativa que está dirigida a em-
ESTABLECER UN PROTOCOLO MEDITADO prendedores y tiene como finalidad atraer el talento inno-
QUE INDIQUE AL EMPLEADO QUÉ ESTÁ vador en materia de ciberseguridad. Para ello, se celebra
PERMITIDO Y CUÁLES SON LOS LÍMITES un certamen de ideas y proyectos emprendedores que
sirven de ayuda para desarrollar ideas de negocio y pro-
ACEPTABLES EN SU UTILIZACIÓN yectos.

Este programa de incubación persigue los siguientes


Como para la introducción de cualquier forma de tecnolo- objetivos:
gía en la empresa, desde la dirección se ha de establecer • Fomentar ideas y empresas innovadoras de base tec-
un protocolo meditado que indique al empleado qué está nológica en ciberseguridad.
permitido y cuáles son los límites aceptables en su utiliza- • Apoyar y difundir la figura del emprendedor.
ción. Los datos que manejamos en la empresa (clientes, • Incentivar la creación y desarrollo de nuevos proyectos.
facturación, desarrollo producto,…), los que alimentan • Impulsar la innovación tecnológica en ciberseguridad
nuestros procesos internos pueden verse expuestos en fomentando el mercado.
redes inseguras, a través de aplicaciones no autorizadas,
o en dispositivos sin control de acceso, desactualizados y Durante el programa, los participantes contarán con ase-
sin otras medidas de seguridad. Para abordar este tema soramiento experto de profesionales cualificados para
en profundidad recomendamos esta guía: Dispositivos la puesta en marcha de sus proyectos empresariales y la
móviles personales para uso profesional (BYOD). identificación de nuevas oportunidades de negocio. Asi-
mismo, tendrán acceso al conocimiento más innovador
en ciberseguridad y a oportunidades de networking con
Desde Ciberemprende, programa de incubación de IN- expertos, clientes e inversores.
CIBE, fomentan ideas y empresas innovadoras de base
tecnológica en ciberseguridad e impulsan la innovación
tecnológica en ciberseguridad. ¿Qué incluye este pro- ELISA VIVANCOS
grama? ¿Quién puede presentarse? incibe.es

26
Jorge Rubio
Director General CECOP
Cliente de Orange

Big PYME Centralita virtual

App comunicaciones avanzadas


La solución convergente
de Orange para tu negocio. Fibra hasta 1Gbps
bigpyme.orange.es Lineas móviles y datos
CIBERSEGURIDAD

TÉRMINOS
CIBERSEGURIDAD

Este artículo recoge un extracto del glosario de términos de seguridad


que han ido apareciendo en las entradas en el blog de empresas de
INCIBE. Para la definición de los términos se han utilizado las fuen-
tes de referencia, la Wikipedia o el propio portal de INCIBE u otros
documentos propios, como guías e informes. Para todos ellos se ha
primado que el lenguaje sea adecuado al público objetivo ante la
precisión técnica.

INCIBE | INSTITUTO NACIONAL DE CIBERSEGURIDAD

28
CIBERSEGURIDAD

GLOSARIO
Photo by INCIBE Gustavo Serrano | Cybersecurity Summer Bootcamp 2019

29
CIBERSEGURIDAD

La forma de actuar del antivirus parte de una base de


ACTIVO DE INFORMACIÓN datos que contiene parte de los códigos utilizados en la
creación de virus conocidos. El programa antivirus compa-
Es cualquier información o sistema relacionado con el ra el código binario de cada archivo ejecutable con esta
tratamiento de la misma que tenga valor para la orga- base de datos. Además de esta técnica, se valen también
nización, pueden ser procesos de negocio, datos, aplica- de procesos de monitorización de los programas para de-
ciones, equipos informáticos, personal, soportes de infor- tectar si éstos se compor tan como programas maliciosos.
mación, redes, equipamiento auxiliar o instalaciones. Es
susceptible de ser atacado deliberada o accidentalmente Es importante hacer notar que para un correcto funciona-
con consecuencias para la organización. miento del antivirus, éste debe estar activado y actualiza-
do en todo momento.

ADWARE
ANÁLISIS DE RIESGOS
Es cualquier programa que automáticamente va mos-
trando publicidad al usuario durante su instalación o du- Es un proceso que comprende la identificación de activos
rante su uso y con ello genera beneficios a sus creadores. de información, sus vulnerabilidades y las amenazas a
los que se encuentran expuestos, así como la probabilidad
Aunque se asocia al malware, no tiene que serlo forzo- de ocurrencia y el impacto de las mismas, a fin de determi-
samente, ya que puede ser un medio legítimo usado por nar los controles adecuados para tratar el riesgo.
desarrolladores de software que lo implementan en sus
programas, generalmente en las versiones shareware, ha-
ciéndolo desaparecer en el momento en que adquirimos la
versión completa del programa. Se convierte en malware ATAQUE DE FUERZA BRUTA
en el momento en que empieza a recopilar información
sobre el ordenador donde se encuentra instalado. Un ataque de fuerza bruta es un procedimiento para ave-
riguar una contraseña que consiste en probar todas las
combinaciones posibles hasta encontrar la combinación
correcta.
ALGORITMOS DE CIFRADO
Los ataques por fuerza bruta, dado que utilizan el método
Operación o función matemática utilizada en combina- de prueba y error, tardan mucho tiempo en encontrar la
ción con una clave que se aplica a un texto en claro y combinación correcta (hablamos en ocasiones de miles
permite obtener un texto cifrado (o descifrarlo) garanti- años), por esta razón, la fuerza bruta suele combinarse
zando la confidencialidad e integridad de la información con un ataque de diccionario.
contenida. Existen dos tipos de cifrado atendiendo a las
características de las claves de cifrado, estos son el cifra-
do simétrico y cifrado asimétrico.
ATAQUE COMBINADO
Es uno de los ataques más agresivos ya que se vale de
ANTIVIRUS métodos y técnicas muy sofisticadas que combinan distin-
tos virus informáticos, gusanos, troyanos y códigos mali-
Es un programa informático específicamente diseñado ciosos, entre otros.
para detectar, bloquear y eliminar código malicioso (vi-
rus, troyanos, gusanos, etc.), así como proteger los equi- Esta amenaza se caracteriza por utilizar el servidor y vulne-
pos de otros programas peligrosos conocidos genérica- rabilidades de Internet para iniciar, transmitir y difundir el
mente como malware. ataque extendiéndose rápidamente y ocasionando graves

30
CIBERSEGURIDAD

daños, en su mayor parte, sin re querir intervención huma- ques, el sistema ejecutará el comando, como si fuera le-
na para su propagación. gítimo, enviando la respuesta al atacante que puede así
obtener acceso al sistema.
Las principales características que presenta este ataque
son: Para protegerse de este tipo de ataques el sistema informá-
• Los daños producidos van desde ataques de dene- tico puede tomar medidas como usar un control de identi-
gación de servicio (DoS), pasando por ataques en la ficación de comandos, de sellado de tiempos (timestamp),
dirección IP o daños en un sistema local; entre otros. etc. junto con el cifrado y la firma de los comandos con el
• Tiene múltiples métodos de propagación. fin de evitar que sean reutilizados.
• El ataque puede ser múltiple, es decir, puede modifi-
car varios archivos y causar daños en varias áreas a
la vez, dentro de la misma red.
• Toma ventaja de vulnerabilidades ya conocidas en AUDITORÍA DE SEGURIDAD
ordenadores, redes y otros equipos.
• Obtiene las contraseñas por defecto para tener acce- Es el estudio que comprende el análisis y gestión de sis-
sos no autorizados. temas llevado a cabo por profesionales en tecnologías de
• Se propaga sin intervención humana. la información (TI) con el objetivo de identificar, enumerar
y describir las diversas vulnerabilidades que pudieran pre-
sentarse en una revisión exhaustiva de las estaciones de tra-
bajo, redes de comunicaciones, servidores o aplicaciones.
ATAQUE DE REPETICIÓN
Es un tipo de ataque en el cual el atacante captura la in-
formación que viaja por la red, por ejemplo un comando AUTENTICACIÓN
de autenticación que se envía a un sistema informático, Procedimiento para comprobar que alguien es quién dice
para, posteriormente, enviarla de nuevo a su destinatario, ser cuando accede a un ordenador o a un servicio online.
sin que este note que ha sido capturada. Si el sistema Este proceso constituye una funcionalidad característica
infor mático o aplicación es vulnerable a este tipo de ata- para una comunicación segura.

31
CIBERSEGURIDAD

BACKUP
Copia de seguridad que se realiza sobre ficheros o apli-
caciones contenidas en un ordenador con la finalidad de
recuperar los datos en el caso de que el sistema de infor-
mación sufra daños o pérdidas accidentales de los datos
almacenados.

Los dispositivos más empleados para llevar a cabo la téc-


nica de backup pueden ser discos duros, discos ópticos,
USB o DVD. También es común la realización de copias
de seguridad mediante servicios de copia basados en la
nube. Es de suma importancia mantener actualizada la
copia de seguridad así como tener la máxima diligencia
de su resguardo, para evitar pérdidas de información que
pueden llegar a ser vitales para el funcionamiento ya sea
de una empresa, institución o de un contenido de tipo per-
sonal. Además, cada cierto tiempo es conveniente com-
probar que la copia de seguridad puede restaurarse con
garantías.

BIA
Abreviatura de «Business Impact Analysis». Se trata de un
informe que nos muestra el coste ocasionado por la inte-
rrupción de los procesos críticos de negocio. Este informe
nos permitirá asignar una criticidad a los procesos de ne-
gocio, definir los objetivos de recuperación y determinar un BOTNET
tiempo de recuperación a cada uno de ellos.
Una botnet es un conjunto de ordenadores (denominados
bots) controlados remotamente por un atacante que pue-
den ser utilizados en conjunto para realizar actividades
BOMBA LÓGICA maliciosas como envío de spam, ataques de DDoS, etc.

Trozo de código insertado intencionalmente en un progra- Las botnets se caracterizan por tener un servidor central
ma informático que permanece oculto hasta cumplirse (C&C, de sus siglas en inglés Command & Control) al que
una o más condiciones preprogramadas, momento en el se conectan los bots para enviar información y recibir co-
que se ejecuta una acción maliciosa. mandos. Existen también las llamadas botnets P2P que
se caracterizan por carecer de un servidor C&C único.
La característica general de una bomba lógica y que lo
diferencia de un virus es que este código insertado se eje-
cuta cuando una determinada condición se produce, por
ejemplo, tras encender el ordenador una serie de veces, BUG
o pasados una serie de días desde el momento en que la
bomba lógica se instaló en nuestro ordenador. Es un error o fallo en un programa de dispositivo o sistema
de software que desencadena un resultado indeseado.

32
CIBERSEGURIDAD

BULO Las características de un centro de respaldo deben ser las


siguientes:
También llamados hoax, son noticias falsas creadas para • Su localización debe ser totalmente distinta a la del
su reenvío masivo ya sea a través de redes sociales, men- CPD principal con el objeto de que no se vean ambos
sajería instantánea o correo electrónico, con el fin de ha- afectados simultáneamente por la misma contingen-
cer creer al destinatario que algo es falso. cia. Es habitual situarlos entre 20 y 40 kilómetros del
CPD principal.
Pueden ser varias las motivaciones para crear este tipo de • El equipamiento electrónico e informático del centro
noticias, como difundir información falsa en perjuicio de de respaldo debe ser absolutamente compatible con
terceras personas u organismos o incitar al receptor del el existente en el CPD principal.
mensaje a causar daños en su propio ordenador. • El equipamiento software debe ser idéntico al existente
en el CPD principal. Esto implica exactamente las mis-
mas versiones y parches del software de base y de las
aplicaciones corporativas que estén en explotación en
CENTRO DE RESPALDO el CPD principal. De otra manera, no se podría garanti-
zar totalmente la continuidad de operación.
Un centro de respaldo es un centro de procesamiento de • Por último, es necesario contar con una réplica de
datos (CPD) específicamente diseñado para tomar el con- los mismos datos con los que se trabaja en el CPD
trol de otro CPD principal en caso de contingencia. original.

33
CIBERSEGURIDAD

que protege sobre la base de un conjunto de normas y


CERTIFICADO DE AUTENTICIDAD otros criterios. La funcionalidad básica de un cortafuego
es asegurar que todas las comunicaciones entre la red e
El Certificado de autenticidad (COA) es una etiqueta es- Internet se realicen conforme a las políticas de seguridad
pecial de seguridad que acompaña a un software con de la organización o corporación.
licencia legal para impedir falsificaciones. El COA suele
ir pegado en el embalaje del software, y permite asegu- Estos sistemas suelen poseer características de privaci-
rar que el software y los demás elementos que contenga, dad y autentificación.
como los medios y los manuales, son auténticos.

En ocasiones el software viene preinstalado al comprar


un equipo. En esos casos el COA suele encontrarse en el CRL
exterior del equipo. Si se trata de un dispositivo pequeño
(con una longitudo anchura de 15 cm o menos), el COA Cuando una autoridad de certificación emite un certifica-
puede encontrarse bajo la batería. do digital, lo hace con un periodo máximo de validez (por
ejemplo cuatro años).

El objetivo de este periodo de caducidad es obligar a la


CERTIFICADO DIGITAL renovación del certificado para adaptarlo a los cambios
tecnológicos. Así se disminuye el riesgo de que el certifica-
Un certificado digital es un fichero informático generado do quede comprometido por un avance tecnológico.
por una entidad denominada Autoridad Certificadora
(CA) que asocia unos datos de identidad a una persona La fecha de caducidad viene indicada en el propio certifi-
física, organismo o empresa confirmando de esta manera cado digital.
su identidad digital en Internet.
Existen otras situaciones que pueden invalidar el certifica-
El certificado digital es válido para autenticar la existencia do digital, de manera inesperada, aun cuando no ha cadu-
y validez de un usuario o sitio web por lo que es necesaria cado oficialmente:
la colaboración de un tercero que sea de confianza para
cualquiera de las partes que participe en la comunicación. • Robo de la clave privada del usuario del certificado.
El nombre asociado a esta entidad de confianza es Auto- • Desaparece la condición por la que el certificado fue
ridad Certificadora pudiendo ser un organismo público o expedido.
empresa reconocida en Internet. • El certificado contiene información errónea o infor-
mación que ha cambiado.
El certificado digital tiene como función principal auten- • Una orden judicial.
ticar al poseedor pero puede servir también para cifrar
las comunicaciones y firmar digitalmente. En algunas ad- Por tanto, debe existir algún mecanismo para comprobar
ministraciones públicas y empresas privadas es requerido la validez de un certificado antes de su caducidad. Las
para poder realizar ciertos trámites que involucren inter- CRL son uno de estos mecanismos.
cambio de información sensible entre las partes.
Las CRL o Listas de revocación de Certificados, es un me-
canismo que permite verificar la validez de un certificado
digital a través de listas emitidas por las autoridades ofi-
CORTAFUEGOS ciales de certificación.

Sistema de seguridad compuesto o bien de programas Las listas de revocación de certificados incluyen los núme-
(software) o de dispositivos hardware situados en los pun- ros de serie de todos los certificados que han sido revoca-
tos limítrofes de una red que tienen el objetivo de permi- dos. Estas listas se actualizan cada 24 horas y pueden ser
tir y limitar, el flujo de tráfico entre los diferentes ámbitos consulta das a través de Internet.

34
CIBERSEGURIDAD

DENEGACIÓN DE SERVICIO DESBORDAMIENTO DE BÚFER


Se entiende como denegación de servicio, en términos de Es un tipo de vulnerabilidad muy utilizada con la que se
seguridad informática, a un conjunto de técnicas que tie- persigue conseguir acceso remoto al sistema atacado.
nen por objetivo dejar un servidor inoperativo. Mediante Un desbordamiento de búfer intenta aprovechar defectos
este tipo de ataques se busca sobrecargar un servidor y en la programación que provocan un error o el cuelgue del
de esta forma impedir que los usuarios legítimos puedan sistema. Un desbordamiento de búfer provoca algo similar
utilizar los servicios por prestados por él. a lo que ocurre cuando llenamos un vaso más allá de su
capacidad: éste se desborda y el contenido se derrama.
El ataque consiste en saturar con peticiones de servicio al Cuando el programador no incluye las medidas necesarias
servidor, hasta que éste no puede atenderlas, provocando para comprobar el tamaño del búfer en relación con el vo-
su colapso. lumen de datos que tiene que alojar, se produce también
el derramamiento de estos datos que se sobrescriben en
Un método más sofisticado es el ataque de Denegación otros puntos de la memoria, lo cual puede hacer que el
de Servicio Distribuido (DDoS), mediante el cual las pe- programa falle.
ticiones son enviadas, de forma coordinada entre varios
equipos, que pueden estar siendo utilizados para este fin El atacante calcula qué cantidad de datos necesita en-
sin el conocimiento de sus legítimos dueños (por ejemplo viar y dónde se reescribirán los datos, para a continua-
a través de una botnet). ción enviar comandos que se ejecutarán en el sistema.
Este tipo de vulnerabilidad, dado que se produce por un
Esto puede ser así mediante el uso de programas malware defecto en el código del programa, sólo puede ser solven-
que permitan la toma de control del equipo de forma re- tada mediante las actualizaciones o parches del programa
mota, como puede ser en los casos de ciertos tipos de gu- en cuestión. Por esta razón es imprescindible mantener
sano o bien porque el atacante se ha encargado de entrar actualizados todos los programas instalados en nuestros
directamente en el equipo de la víctima. equipos y servidores.

35
CIBERSEGURIDAD

EXPLOIT • Garantizar el no repudio en el origen.


• Contar con la participación de un tercero de confianza.
Secuencia de comandos utilizados para, aprovechándose • Estar basada en un certificado electrónico reconocido.
de un fallo o vulnerabilidad en un sistema, provocar un • Debe de ser generada con un dispositivo seguro de
comportamiento no deseado o imprevisto. Mediante la creación de firma.
ejecución de exploit se suele perseguir:
• el acceso a un sistema de forma ilegítima. Una firma electrónica de un documento se consigue cal-
• obtención de permisos de administración en un sis- culando el valor «hash» del documento y adjuntándolo al
tema ya accedido. final del mismo, para a continuación cifrarlo con la clave
• un ataque de denegación de servicio a un sistema. pública de la persona a la que enviaremos el documento.

De esta manera nadie pueda leerlo más que el receptor.

FIRMA ELECTRÓNICA
La firma electrónica (o digital) se define como el conjunto FUGA DE DATOS
de datos electrónicos que acompañan o que están aso-
ciados a un documento electrónico. Esta firma se basa en La fuga de datos o fuga de información es la pérdida de
la Ley 59/2003, de 19 de Diciembre, donde se indica que la confidencialidad de la información privada de una per-
la «firma electrónica» reconocida debe cumplir las siguien- sona o empresa. Información que, a priori, no debería ser
tes propiedades o requisitos: conocida más que por un grupo de personas, en el ámbito
• Identificar al firmante. de una organización, área o actividad, y que termina sien-
• Verificar la integridad del documento firmado. do visible o accesible para otros.

36
CIBERSEGURIDAD

GUSANO MALWARE
Es un programa malicioso (o malware) que tiene como Es un tipo de software que tiene como objetivo dañar o
característica principal su alto grado de «dispersabilidad», infiltrarse sin el consentimiento de su propietario en un
es decir, lo rápidamente que se propaga. sistema de información. Palabra que nace de la unión de
los términos en inglés de software malintencionado: mali-
Mientras que los troyanos dependen de que un usuario cious software. Dentro de esta definición tiene cabida un
acceda a una web maliciosa o ejecute un fichero infecta- amplio elenco de programas maliciosos: virus, gusanos,
do, los gusanos realizan copias de sí mismos, infectan troyanos, backdoors, spyware, etc. La nota común a todos
a otros ordenadores y se propagan automáticamente en estos programas es su carácter dañino o lesivo.
una red independientemente de la acción humana.

Su fin es replicarse a nuevos sistemas para infectarlos y PENTEST


seguir replicándose a otros equipos informáticos, aprove-
chándose de todo tipo de medios como el correo electró- Una prueba de penetración es un ataque a un sistema
nico, IRC, FTP, correo electrónico, P2P y otros protocolos software o hardware con el objetivo de encontrar vulne-
específicos o ampliamente utilizados. rabilidades. El ataque implica un análisis activo de cual-
quier vulnerabilidad potencial, configuraciones deficientes
o inadecuadas, tanto de hardware como de software o
deficiencias operativas en las medidas de seguridad.
HTTPS
Este análisis se realiza desde la posición de un atacante
Protocolo seguro de transferencia de hipertexto, más co- potencial y puede implicar la explotación activa de vulne-
nocido por sus siglas HTTPS, del inglés Hypertext Trans- rabilidades de seguridad. Tras la realización del ataque se
fer Protocol Secure, es un protocolo de red basado en el presentará una evaluación de seguridad del sistema, indi-
protocolo HTTP, destinado a la transferencia segura de cando todos los problemas de seguridad detectados junto
datos de hipertexto. Dicho en otras palabras, es la versión con una propuesta de mitigación o una solución técnica.
segura de HTTP.
La intención de una prueba de penetración es determinar
En HTTPS el tráfico HTTP es cifrado mediante un algorit- la viabilidad de un ataque y el impacto en el negocio de
mo de cifrado simétrico cuya clave ha sido previamente un ataque exitoso.
intercambiada entre el navegador y el servidor. Es utili-
zado por cualquier tipo de servicio que requiera el envío
de datos personales o contraseñas, entidades bancarias,
tiendas en línea, pago seguro, etc. PCI DSS
PCI DSS (del Inglés Payment Card Industry Data Security
Standard) es, como su nombre indica un Estándar de Se-
IDS guridad de Datos para la Industria de Tarjetas de Pago.

Un sistema de detección de intrusos (o IDS de sus siglas Este estándar ha sido desarrollado por un comité confor-
en inglés Intrusion Detection System) es una aplicación mado por las compañías de tarjetas (débito y crédito) más
usada para detectar accesos no autorizados a un ordena- importantes, comité denominado PCI SSC (Payment Card
dor o a una red. Estos accesos pueden ser ataques reali- Industry Security Standards Council) como una guía que
zados por usuarios malintencionados con conocimientos ayude a las organizaciones que procesan, almacenan o
de seguridad o usando herramientas automáticas. A dife- transmiten datos de tarjetas (o titulares de tarjeta), a ase-
rencia de los IPS, estos sistemas sólo detectan intentos gurar dichos datos, con el fin de prevenir los fraudes que
de acceso y no tratan de prevenir su ocurrencia. involucran tarjetas de pago débito y crédito.

37
CIBERSEGURIDAD

PHARMING
Ataque informático que aprovecha una vulnerabilidad del
software de los servidores DNS y que consiste en modifi-
car o sustituir el archivo del servidor de nombres de do-
minio cambiando la dirección IP legítima de una entidad
(comúnmente una entidad bancaria) de manera que en el
momento en el que el usuario escribe el nombre de domi-
nio de la entidad en la barra de direcciones, el navegador
redirigirá automáticamente al usuario a una dirección IP
donde se aloja una web falsa que suplantará la identidad
legítima de la entidad, obteniéndose de forma ilícita las
claves de acceso de los clientes la entidad.

PHISHING
Phishing es la denominación que recibe la estafa come-
tida a través de medios telemáticos mediante la cual el
estafador intenta conseguir, de usuarios legítimos, infor-
mación confidencial (contraseñas, datos bancarios, etc.)
de forma fraudulenta. El estafador o phisher suplanta la
personalidad de una persona o empresa de confianza
para que el receptor de una comunicación electrónica
aparentemente oficial (vía e-mail, fax, SMS o telefónica-
mente) crea en su veracidad y facilite, de este modo, los
datos privados que resultan de interés para el estafador.

Existen diferentes modalidades de phishing. Cuando éste


se realiza vía SMS el nombre técnico es Smishing y cuan-
do se realiza utilizando Voz sobre IP, se denomina vishing.
Otra variedad es el spear phishing, en la que los atacantes
intentan mediante un correo electrónico, que aparenta ser
de un amigo o de empresa conocida, conseguir que les
facilitemos: información financiera, números de tarjeta de
crédito, cuentas bancarias o contraseñas.

PLAN DE CONTINGENCIA
Un Plan de Contingencia de las Tecnologías de la Infor-
mación y las Comunicaciones (TIC) consiste en una es-
trategia planificada en fases, constituida por un conjunto
de recursos de respaldo, una organización de emergencia
y unos procedimientos de actuación, encaminados a con-
seguir una restauración ordenada, progresiva y ágil de los

38
CIBERSEGURIDAD

sistemas de información que soportan la información y los


procesos de negocio considerados críticos en el Plan de
Continuidad de Negocio de la compañía.

PLAN DE CONTINUIDAD
Un Plan de Continuidad de Negocio es un conjunto for-
mado por planes de actuación, planes de emergencia,
planes financieros, planes de comunicación y planes de
contingencias destinados a mitigar el impacto provocado
por la concreción de determinados riesgos sobre la infor-
mación y los procesos de negocio de una compañía.

RANSOMWARE
El ciberdelincuente, toma control del equipo infectado
y «secuestra» la información del usuario cifrándola, de
tal forma que permanece ilegible si no se cuenta con la
contraseña de descifrado. De esta manera extorsiona al
usuario pidiendo un rescate económico a cambio de esta
contraseña para que, supuestamente, pueda recuperar
sus datos. La seguridad del sistema está basada en la
dificultad de factorización de grandes números. Su fun-
cionamiento se basa en el envío de un mensaje cifrado
mediante la clave pública del destinatario, y una vez que
el mensaje cifrado llega, éste se encarga de descifrarlo
con su clave privada.

SPOOFIN
Es una técnica de suplantación de identidad en la Red, lle-
vada a cabo por un ciberdelincuente generalmente gracias
a un proceso de investigación o con el uso de malware.
Los ataques de seguridad en las redes usando técnicas de
spoofing ponen en riesgo la privacidad de los usuarios, así
como la integridad de sus datos.

De acuerdo a la tecnología utilizada se pueden diferenciar


varios tipos de spoofing:
• IP spoofing: consiste en la suplantación de la direc-
ción IP de origen de un paquete TCP/IP por otra direc-
ción IP a la cual se desea suplantar.
• ARP spoofing: es la suplantación de identidad por

39
CIBERSEGURIDAD

falsificación de tabla ARP. ARP (Address Resolution sin autenticar; la autenticación mutua requiere un desplie-
Protocol) es un protocolo de nivel de red que relacio- gue de infraestructura de claves públicas (PKI) para los
na una dirección MAC con la dirección IP del ordena- clientes. SSL ha evolucionado hacia TLS, siglas en ingles
dor. Por lo tanto, al falsear la tabla ARP de la víctima, de «seguridad de la capa de transporte» (Transport Layer
todo lo que se envíe a un usuario, será direccionado Security) protocolo ampliamente utilizado en la actualidad.
al atacante.
• DNS spoofing: es una suplantación de identidad por
nombre de dominio, la cual consiste en una relación
falsa entre IP y nombre de dominio. SUPLANTACIÓN DE IDENTIDAD
• Web spoofing: con esta técnica el atacante crea una
falsa página web, muy similar a la que suele utilizar el Es la actividad maliciosa en la que un atacante se hace
afectado con el objetivo de obtener información de di- pasar por otra persona para cometer algún tipo de fraude,
cha víctima como contraseñas, información personal, acoso (cyberbulling). Un ejemplo es, en las redes socia-
datos facilitados, páginas que visita con frecuencia, les, crear un perfil de otra persona e interactuar con otros
perfil del usuario, etc. Los ataques de phishing son un usuarios haciéndose pasar por ella.
tipo de Web spoofing.
• Mail spoofing: suplantación de correo electrónico
bien sea de personas o de entidades con el objetivo
de llevar a cabo envío masivo de spam. TROYANO
Se trata de un tipo de malware o software malicioso que
se caracteriza por carecer de capacidad de autoreplica-
SPYWARE ción. Generalmente, este tipo de malware requiere del
uso de la ingeniería social para su propagación.
Es un malware que recopila información de un ordena-
dor y después la envía a una entidad remota sin el conoci- Una de las características de los troyanos es que al ejecu-
miento o el consentimiento del propietario del ordenador. tarse no se evidencian señales de un mal funcionamien-
to; sin embargo, mientras el usuario realiza tareas habi-
El término spyware también se utiliza más ampliamente tuales en su ordenador, el programa puede abrir diversos
para referirse a otros productos como adware, falsos anti- canales de comunicación con un equipo malicioso remoto
virus o troyanos. que permitirán al atacante controlar nuestro sistema de
una forma absoluta.

SSL
VIRUS
Es un protocolo criptográfico seguro que proporciona co-
municaciones seguras a través de una red (por ejemplo Programa diseñado para que al ejecutarse, se copie a sí
Internet). Generalmente comunicaciones cliente-servidor. mismo adjuntándose en aplicaciones existentes en el equi-
El uso de SSL (Secure Sockets Layer) proporciona auten- po. De esta manera, cuando se ejecuta una aplicación infec-
ticación y privacidad de la información entre extremos so- tada, puede infectar otros archivos. A diferencia de otro tipo
bre una red mediante el uso de criptografía. SSL garantiza de malware, como los gusanos, se necesita acción humana
la confidencialidad de la información utilizando una clave para que un virus se propague entre máquinas y sistemas.
de cifrado simétrica y para garantizar la autenticación y
seguridad de la clave simétrica, se utilizan algoritmos de Los efectos que pueden provocar varían dependiendo de
cifrado asimétrico y certificados X.509. cada tipo de virus: mostrar un mensaje, sobrescribir ar-
chivos, borrar archivos, enviar información confidencial
En comunicaciones SSL de forma general solo se autenti- mediante correos electrónicos a terceros, etc. Los más
ca el lado del servidor mientras que el cliente se mantiene comunes son los que infectan a ficheros ejecutables.

40
CIBERSEGURIDAD

VULNERABILIDAD infectados por un malware. El atacante remoto general-


mente utiliza el ordenador zombie para realizar activida-
Fallos o deficiencias de un programa que pueden permitir des ilícitas a través de la Red, como el envío de comuni-
que un usuario no legítimo acceda a la información o lle- caciones electrónicas no deseadas, o la propagación de
ve a cabo operaciones no permitidas de manera remota. otro malware. Son sistemas zombie los ordenadores que
Los agujeros de seguridad pueden ser aprovechadas por forman parte de una botnet, a los que el bot master utiliza
atacantes mediante exploits, para acceder a los sistemas para realizar acciones coordinadas como ataques de de-
con fines maliciosos. Las empresas deben ser conscien- negación de servicio.
tes de estos riesgos y mantener una actitud preventiva, y
llevar un control mediante actualizaciones periódicas.

Symantec Glosario de seguridad


https://www.symantec.com/es/es/security_response/glossary/(consulta:
ZERO-DAY 02/02/2017)
Panda. Glosario
Son aquellas vulnerabilidades en sistemas o programas http://www.pandasecurity.com/spain/homeusers/security-info/glossary/
informáticos que son únicamente conocidas por determi- (consulta: 02/02/2017)
nados atacantes y son desconocidas por los fabricantes y Viruslist.Glosario
usuarios. Al ser desconocidas por los fabricantes, no exis- https://securelist.com/encyclopedia/ (consulta: 02/02/2017)
te un parche de seguridad para solucionarlas. Por esta ra- Safemode. Glosario
zón son muy peligrosas ya que el atacante puede explotar- http://safemode-cl.blogspot.com.es/2006/07/glosario-de-terminos-de-seguri-
las sin que el usuario sea consciente de que es vulnerable. dad.html (consulta: 02/02/2017)
CERT UY
http://www.cert.uy/inicio/sobre_seguridad/glosario/ (consulta: 02/02/2017)

ZOMBIE
Es el nombre que se da a los ordenadores controlados INCIBE
de manera remota por un ciberdelincuente al haber sido incibe.es

41
CIBERSEGURIDAD

42
CIBERSEGURIDAD

PRINCIPALES
DATOS DE LA
CIBERSEGURIDAD
EN 2019
CHECK POINT

España se encuentra entre los países de la Unión Europea con ma-


yor índice de riesgo por infección por malware, pero también necesita
avanzar en la seguridad de entornos cloud, la adopción de la totalidad
de las medidas del RGPD y la protección de los servicios esenciales

Resumen de los aspectos más destacados en materia de pro-


tección de los espacios digitales y la lucha contra las cibera-
menazas.

1. Tendencia alcista a lanzar ciberataques contra las empresas


españolas: según el informe “Threat Intelligence Report 2019” de
Check Point, de media, las empresas españolas han recibido 436
ciberataques a la semana. Además, este mismo estudio señala
que el criptojacking, un virus que se oculta en un dispositivo para
minar criptomonedas, y el malware móvil, un software malicioso
diseñado específicamente atacar a dispositivos móviles, son los
tipos de amenazas que tienen un mayor impacto en las empresas
españolas, con un 18,8% y un 18,7% respectivamente.

43
CIBERSEGURIDAD

2. España, en el top 10 de países con mayor riesgo


de infección por malware: un dato que refleja el hecho
de que todavía queda mucho por hacer para que las
empresas estén seguras en el mundo digital. De me-
dia, en los últimos 12 meses España (43,7) ha estado
siempre dentro del top 10 de países de la Unión Eu-
ropea con un mayor índice de riesgo por infección de
malware, lejos de los resultados obtenidos por países
punteros como Alemania o Gran Bretaña, entre otros.
Asimismo, cabe destacar que junio (5º) y agosto (4º),
son los meses en los que, según Check Point, España
ha obtenido peores resultados.

ESPAÑA EL 43,7% HA ESTADO SIEMPRE


DENTRO DEL TOP 10 DE PAÍSES
DE LA UNIÓN EUROPEA
CON UN MAYOR ÍNDICE DE RIESGO POR
INFECCIÓN DE MALWARE

3. La seguridad cloud, una asignatura pendiente: así


lo refleja el hecho de que, en los últimos 12 meses, el
15% de las empresas españolas ha sufrido algún inci-
dente de seguridad en la nube. Existe una tendencia
alcista hacia la cloudificación o migración a la nube,
pero las compañías están encontrando muchas difi-
cultades para hacerlo de forma exitosa y, sobre todo,
segura. Entre los principales obstáculos, destaca que
las herramientas de seguridad tradicionales apenas
ofrecen seguridad en este tipo de entornos, por lo que
desde Check Point recomiendan adoptar un nuevo
enfoque basado en políticas de seguridad sólidas en
la adopción de soluciones de seguridad específicas.

EXISTE UNA TENDENCIA ALCISTA HACIA


LA CLOUDIFICACIÓN O MIGRACIÓN A
LA NUBE, PERO LAS COMPAÑÍAS ESTÁN
ENCONTRANDO MUCHAS DIFICULTADES
PARA HACERLO DE FORMA EXITOSA

4. Todavía queda trabajo por hacer para adaptarse


al RGPD: aunque ya ha pasado más de un año desde

44
CIBERSEGURIDAD

su entrada en vigor en mayo de 2018, las cifras de la


compañía indican que todavía queda mucho trabajo
por delante, y es que casi la mitad de las empresas
españolas todavía no se han adaptado plenamente
a esta normativa europea de protección de datos.
Por el contrario, a nivel europeo el 60% de las em-
presas sí que contemplan la totalidad de las medidas
del RGPD, un 8% más que los datos registrados para
España. Los nuevos requerimientos técnicos surgen
como la principal preocupación de los responsables
de las empresas españolas.

A NIVEL EUROPEO EL 60% DE LAS


EMPRESAS SÍ QUE CONTEMPLAN LA
TOTALIDAD DE LAS MEDIDAS DEL RGPD

5. Las infraestructuras críticas siguen en peligro: 3


de cada 4 instituciones considera que las infraestruc-
turas OT de los servicios esenciales son vulnerables,
según los datos del informe “Incidentes de Cibersegu-
ridad Industrial en Servicios Esenciales de España”,
elaborado por Check Point y el CCI. Asimismo, cabe
destacar que tan sólo un 20% de los encuestados ca-
lifica la capacidad de respuesta en entornos OT como
alta, un dato que pone de manifiesto los peligros a
los que servicios esenciales como el aprovisionamien-
to de electricidad y agua, transportes o instituciones
médicas se enfrentan. Cabe destacar además que las
vulnerabilidades en estos sectores suponen también
un grave riesgo para la seguridad y bienestar de todos
los ciudadanos.

“Acabamos un año en el que, una vez más, la falta de


innovación y concienciación en las estrategias de protec-
ción de las empresas siguen siendo relevantes, puesto
que limita sus capacidades para hacer frente a los pe-
ligros del mundo digital”, señala Mario García, director
general de Check Point para España y Portugal. “El espec-
tro de ciberamenazas actual sigue creciendo en cuanto a
cantidad y variedad de ciberataques, pero, sobre todo, en
cuanto al nivel de desarrollo tecnológico con el que cuen-
tan. Por tanto, debemos seguir uniendo fuerzas para avan-
zar en la protección y securización de entornos digitales
corporativos, así como concienciar acerca de la necesidad
de adoptar enfoques y estrategias de ciberseguridad ba-
sadas en la prevención”, concluye Mario García.

45
MANUEL MASCAR AQUE MONTAGUT

MANUEL Director del área de Seguros Generales

MASCARAQUE
UNESPA

¿Cuáles son los grandes retos del sector del Seguro en materia de cibersegu-
ridad?
El primer reto que tiene el seguro en materia de ciberseguridad es ayudar a in-
corporar la cultura de la prevención en esta materia en la pequeña y mediana
empresa, así como entre los particulares. Las grandes empresas hace tiempo que
incorporan el riesgo cibernético en su gestión de riesgos, pero la pyme, en líneas
generales, tiene todavía que desarrollar esa cultura específica. Entre otros aspec-
tos, el seguro debe superar las dificultades para obtener información sobre la tipo-
logía y casuísticas ante amenazas y ataques cibernéticos que se van produciendo,
de forma que pueda trasladar esos conocimientos a los productos de seguros. Es
decir, a las normas de suscripción y las coberturas que ofrecemos a nuestros clien-
tes, a fin de mejorarlas u orientarlas hacia sus demandas y necesidades.

A todo ello habría que añadirle la velocidad de vértigo a la que avanza la digitali-
zación y los avances técnicos y/o tecnológicos que produce la continua aparición
de nuevos riesgos.

46
MANUEL MASCAR AQUE MONTAGUT

47
MANUEL MASCAR AQUE MONTAGUT

¿Cuáles son los principales riesgos cibernéticos a los independientemente de su tamaño y de la actividad que
que están expuestas las empresas? realice, puede tomar medidas para protegerse de proble-
Partiendo de que no se puede generalizar, dado que los mas cibernéticos y, así, preservar su competitividad y su-
riesgos a los que están expuestas las pymes son distintas pervivencia.
en función de sus características y de su actividad, los in-
cidentes cibernéticos que amenazan a las pymes con ma-
yor frecuencia son, entre otros: ¿Cómo valora el nivel de protección, especialmente en-
• Las suplantaciones de dirección de correo electrónico tre las pymes, frente a los riesgos cibernéticos?
(phishing) Se ha producido un ligero crecimiento en la oferta asegu-
• Programas maliciosos (malware) radora en cuanto a productos y coberturas que protegen
• Programas de secuestro de datos (ransomware) ante posibles ciberataques debido a que las pymes están
• Ataques de denegación de servicios (“DDoS”, por sus cada vez más sensibilizadas con los ciberriesgos y tien-
siglas en inglés, “Denial of Service”), que causan que den a anticiparse a éstos, demandando cada vez más pro-
un servicio o recurso sea inaccesible a los usuarios. tección ante la nueva necesidad de reforzar sus negocios
• Programas de encriptación (cryptolockers) frente a los riesgos cibernéticos.

No obstante, aunque nos encontramos en un estado inci-


¿Son conscientes las empresas de estos riesgos y de piente, desde el sector se considera necesario seguir in-
sus potenciales consecuencias? sistiendo en la concienciación del segmento empresarial
Existen casos en los que los empresarios o profesionales y de la sociedad en general sobre el riesgo cibernético y la
piensan que las organizaciones o negocios de menor ta- conveniencia de estar protegidos ante los ciberataques.
maño no son considerados por los hackers como posible
objetivo. Sin embargo, precisamente es de ese prejuicio
de lo que se valen los ciberdelincuentes a la hora de co- ¿Qué medidas debe adoptar una empresa para proteger-
meter un ataque. se frente a estos riesgos?
La ciberseguridad en las empresas depende de un análisis
de los nuevos riesgos y la implementación de una política
QUE ALGUIEN ROBE, COPIE O HAGA de gestión de éstos. En el momento de sufrir un ciberata-
que, no debe recurrirse a la improvisación. Las empresas
DESAPARECER LA INFORMACIÓN O deben estar preparadas para ello y anticiparse diseñando
LOS DATOS QUE SE ALMACENEN EN LOS e implantando políticas de ciberriesgos en las que se pre-
SISTEMAS DE INFORMACIÓN DE UNA vea quién, cuándo y de qué manera va a actuar si se su-
fre un problema cibernético. Es importante, además, que
ORGANIZACIÓN PUEDE SER MUCHO MÁS los empleados de la empresa conozcan dicha política y la
CATASTRÓFICO PARA UNA PYME QUE PARA cumplan. En cualquier caso, nos remitimos al documento
UNA GRAN CORPORACIÓN que UNESPA, en colaboración con CEPYME y CEPREVEN,
elaboró para mediante unos consejos sencillos mejorar el
nivel de protección en la pyme.

De hecho, que alguien robe, copie o haga desaparecer la


información o los datos que se almacenen en los sistemas ¿Qué actuaciones se llevan a cabo desde UNESPA para
de información de una organización puede ser, en reali- mejorar la protección de las empresas en este ámbito?
dad, mucho más catastrófico para una pyme que para una Desde UNESPA se ha trabajado mucho en aras de ayudar
gran corporación. al sector asegurador y a sus clientes a protegerse ante los
ataques informáticos, para cuyo fin, se han publicado di-
Hoy en día, los ciberriesgos nos afectan a todos porque, de versos artículos y guías de buenas prácticas. En particular,
una forma u otra, todos utilizamos sistemas automatiza- en 2018 UNESPA elaboró junto a CEPYME y CEPREVEN
dos para el proceso y la transmisión de la información en una guía en donde se compila una serie de buenas prácti-
nuestro día a día. En consecuencia, cualquier compañía, cas que permite a las empresas conocer cómo enfrentar-

48
MANUEL MASCAR AQUE MONTAGUT

se a los riesgos y protegerse ante incidentes cibernéticos, Además, deben ser conscientes de que la digitalización va
minimizar su impacto, garantizar la recuperación de aque- abarcando cada vez más áreas de la empresa y, conse-
llo que haya podido resultar dañado y, principalmente, cuentemente, las va exponiendo a los riesgos cibernéticos.
asegurar la continuidad del negocio tras un ataque. Asi- Por ello, es conveniente que las empresas trasladen e in-
mismo, como complemento a la guía, tal y como se ha se- formen a todo el personal sobre la política de gestión de
ñalado anteriormente, UNESPA elaboró un decálogo con riesgos cibernéticos y las medidas de seguridad elegidas
consejos sencillos de ciberseguridad para pymes. Estas para protegerse ante los ciberataques. Por su puesto, ade-
medidas permiten proteger cualquier negocio de ataques más de informar, las organizaciones deben cerciorarse de
e incidentes cibernéticos, sin tener que realizar grandes que sus empleados cumplen con lo dispuesto en materia
inversiones. de ciberseguridad.

Desde la visión de una aseguradora, ¿se puede estar LA DIGITALIZACIÓN VA ABARCANDO


100% protegido ante un ataque informático?
Se pueden prever muchas maneras de protegerse ante CADA VEZ MÁS ÁREAS DE LA EMPRESA Y,
un ciberataque, sin embargo, resulta complejo anticipar- CONSECUENTEMENTE, LAS VA EXPONIENDO
se a todas las posibles vías que los hackers puedan uti- A LOS RIESGOS CIBERNÉTICOS
lizar para burlar las medidas de seguridad implantadas e
irrumpir en los sistemas de información de la empresa.
Más aún, es conveniente tener en cuenta que las nuevas
tecnologías y su evolución son un componente ya más que Asimismo, sería recomendable que, del mismo modo en el
asentado en el día a día y que está constantemente en que los empresarios deban sensibilizar a sus empleados
crecimiento, lo que complica todavía más la capacidad de de las buenas prácticas instauradas en la organización
resiliencia cibernética de las empresas. Como reza el sub- para hacer frente a los hackers, deberían informar de ellas
título de la guía que hemos elaborado, se trata de preve- a sus proveedores y subcontratistas y exigirles el compro-
nir, en primer término, pero también de mitigar las conse- miso de su cumplimiento.
cuencias de un ciberataque y poder recuperarse después.

Por todo esto, el seguro trabaja de cerca y en paralelo a ¿Puede la tendencia del BYOD (Bring Your Own Device),
ese desarrollo tecnológico para conocer las tendencias cada vez más instaurada en las empresas, influir negati-
en riesgos informáticos. Ello permite no sólo adquirir cada vamente en este aspecto?
vez una mayor resiliencia cibernética, sino que, además, El BYOD, en tanto que constituye una práctica en la que se
ayuda a las aseguradoras a diseñar productos de seguro les permite a los empleados utilizar sus propios equipos
cyber cada vez más sofisticados, en los que el espectro de personales para uso profesional, crea una mezcla de la es-
coberturas abarca la protección ante nuevos ciberriesgos. fera personal —que se presume mucho menos protegida y
El seguro es necesario para mitigar el riesgo y las pérdi- que, en todo caso, se encuentra fuera del control de la em-
das que un ciberataque puede ocasionar a una empresa, presa— con la esfera profesional. Por lo tanto, el BYOD au-
y ayudarla a volver a echar a andar. Pero es crucial tener menta la exposición de las empresas a los ciberataques.
presente que la prevención y la gestión de riesgos empre-
sariales son muy relevantes en el ámbito tecnológico.
¿Cómo puede ayudar el sector del seguro a las empre-
sas a la hora de elaborar una estrategia frente a los ries-
¿Qué papel tienen los empleados en materia de ciberse- gos cibernéticos?
guridad? ¿Se debe formar a todos los empleados? ¿Exis- Existen muchas alternativas de productos de seguro y co-
te algún manual de buenas prácticas? berturas con las que el seguro puede ayudar a los empre-
Resulta imprescindible que todos los empleados de una sarios a proteger su organización, citamos algunas como
organización estén concienciados de que el riesgo inhe- ejemplo:
rente de sufrir un ciberataque es cada vez mayor debido • Los seguros de daños ofrecen coberturas que pro-
a la proliferación de nuevas tipologías de ciberataques. tegen el patrimonio y activos de la empresa. Por

49
MANUEL MASCAR AQUE MONTAGUT

ejemplo, los gastos en reparaciones de los sistemas,


gastos de recuperación de datos, pérdida de benefi-
cios, gastos en honorarios de profesionales externos
contratados a fin de interrumpir el ciberataque, etc.

• Los seguros de responsabilidad civil profesional pro-


tegen al empresario de la responsabilidad en la que
pudiera incurrir por daños o perjuicios causados a
terceros. Por ejemplo, el empresario puede quedar
cubierto frente a los perjuicios causados a sus pro-
pios clientes u otros terceros perjudicados cuyos da-
tos han sido sustraídos o cuya privacidad ha sido vul-
nerada o invadida por un ciberataque.

Además de estos ejemplos que acabamos de citar, las


aseguradoras vienen ofreciendo a sus clientes otros ser-
vicios de prevención y asistencia, tales como:
• Adecuación personalizada a la nueva normativa en
materia de protección de datos.
• Medidas de prevención como análisis externo e inter-
no de las redes informáticas de sus clientes.
• Línea de atención y asistencia telefónica o vía web. actualizadas, diseñar y poner en práctica un plan de res-
puesta a incidentes y concienciar, informar y formar a todo
el personal de la compañía.
UNESPA elaboró, junto a CEPREVEN y CEPYME, La Guía
Ciberriesgos: su impacto en las pymes. ¿Qué podemos
aprender con esta Guía? HAY QUE CONCIENCIAR A EMPRESARIOS
Esta guía fue la primera iniciativa en materia de preven-
ción que se puso en marcha de manera conjunta por parte Y EMPLEADOS DE LAS NUMEROSAS PYMES
de CEPREVEN, CEPYME y UNESPA. Su publicación se re- DEL PAÍS SOBRE LA IMPORTANCIA DE
monta a octubre de 2018. Este proyecto fue posible tras la PREVENIR Y SABER CÓMO ENFRENTARSE A
firma de diferentes acuerdos de colaboración de UNESPA
con CEPYME y con CEPREVEN por los que construimos una LOS MÚLTIPLES RIESGOS CIBERNÉTICOS
alianza para promover las prácticas de prevención en ma-
teria de ciberseguridad entre las pymes y microempresas.
La guía ha sido elaborada por profesionales del sector
Se trata de un documento que fue concebido en el mar- asegurador, especialistas en la gestión de riesgo, y trata
co de la campaña Estamos Seguros, con el objetivo de de ser una ayuda para que la empresa pueda hacer frente
concienciar a empresarios y empleados de las numerosas a estos nuevos retos.
pymes del país sobre la importancia de prevenir y saber
cómo enfrentarse a los múltiples riesgos cibernéticos. https://unespa-web.s3.amazonaws.com/main-files/
uploads/2018/10/ciberriesgos-su-impacto-en-las-py-
Este conjunto de buenas prácticas pasa por definir y apli- mes-pag-indiv.pdf
car una política de ciberseguridad, asegurar y proteger los
datos e información, utilizar las redes de forma segura,
protegerse contra el malware, utilizar el correo electró-
nico de forma segura, asegurar el acceso remoto y físico
a sistemas y equipos, proteger los dispositivos móviles y MANUEL MASCARAQUE MONTAGUT
la información que contienen, mantener las aplicaciones unespa.es

50
CIBERSEGURIDAD

52
CIBERSEGURIDAD

EL 5G
UNA REVOLUCIÓN
Y UN RETO PARA
LA SEGURIDAD
Manuel Sánchez Gómez-Merelo
Consultor Internacional de Seguridad

La nueva generación de comunicación por datos móviles 5G que apor-


ta numerosas ventajas, causará también una gran transformación,
una revolución en muchos aspectos, debido a las grandes velocida-
des de comunicación y, sobre todo, a la baja latencia, y especialmente
para sus aplicaciones en la seguridad.

El 5G ha sido diseñado para ser más seguro que las redes móviles an-
teriores, por tanto, hablaremos también de seguridad, porque el riesgo
y las vulnerabilidades, también parece que son reales. El 5G es ya
un comienzo de realidad imparable, al menos en ciudades españolas
como Barcelona, Málaga, Madrid y Sevilla.

53
CIBERSEGURIDAD

LAS NUEVAS VENTAJAS QUE


PROPORCIONA LA TECNOLOGÍA 5G
Una de las grandes ventajas del 5G es la velocidad en las
transmisiones de datos, podremos descargarnos archivos
de una manera mucho más eficiente a como lo hacemos
en la actualidad. Esta ventaja tendrá una gran influencia
en la “nube”, ya que, al poder disfrutar de una mayor ve-
locidad, podremos acceder a archivos, programas y apli-
caciones remotas de una forma totalmente inmediata y
sin esperas.

PODREMOS DESCARGARNOS ARCHIVOS


DE UNA MANERA MUCHO MÁS EFICIENTE A
COMO LO HACEMOS EN LA ACTUALIDAD

Esto supondrá un gran beneficio para las empresas en


todo tipo de actividades industriales o comerciales y de lo-
gística automatizada, pero también de la videovigilancia
inteligente o la monitorización de la seguridad, además
de para otras organizaciones como las de atención sani-
taria remota o las empresas de servicios al cliente o de
soporte tecnológico.

Con el 5G podremos conectarnos mucho más a las cosas


que nos rodean, con un salto enorme en la capacidad.
Esta otra ventaja permitirá multitud de conexiones sin pér-
dida de cobertura que potenciarán el Internet de las cosas
(IoT), los comandos de voz, la conducción autónoma, el
reconocimiento facial, Ia interpretación de los comporta-
mientos no verbales, la robotización, la gestión y control
de sistemas en ciudades inteligentes, el procesamiento
inteligente de imágenes, etc.

Prometen que la tecnología 5G será rápida, móvil y se-


gura. Velocidad y latencia también favorecen una mejor
conectividad desde más lugares, así como un mayor nú-
mero de dispositivos conectados simultáneos a la red, los
cuales en tiempo real se intercambiarán información los
unos con los otros.

No solo se producirá un incremento de dispositivos conec-


tados en nuestro hogar como iluminación, seguridad, elec-
trodomésticos o la organización de las tareas domésticas,
también se conseguirá conectar vehículos autónomos y

54
CIBERSEGURIDAD

permitir nuevas aplicaciones de realidad virtual y aumen-


tada. Las conexiones a gran velocidad harán posibles ope-
raciones a distancia y otras funciones en telemedicina y
telecontrol.

Con todo ello estamos construyendo las redes del futuro


y el 5G marcará el comienzo de la era de la inteligencia
artificial.

5G servirá para conectar tanto a las personas como a


entidades y empresas, las cuales deberán aprovechar
esta tecnología tanto para adaptarse a lo que demanda
la sociedad y el mercado, como para mejorar su gestión
interna e innovar.

Lo cierto es que parece que «ya estamos en los primeros


días de la revolución 5G», según señala Andy Purdy, CSO
de Huawei, añadiendo que «Tenemos mucho trabajo por
hacer en la tarea interminable de mantener nuestros da-
tos, nuestra privacidad y nuestros servicios seguros, dis-
ponibles y libres de daños.  Los malos actores siempre
tratarán de explotar las vulnerabilidades para sus propias
ventajas».

OPORTUNIDADES PARA
NUEVOS SERVICIOS DE SEGURIDAD
GRACIAS AL 5G

La seguridad va a ser uno de los campos que más se be-


neficiará de ella con nuevos servicios inteligentes y de
valor añadido en sistema de alarma y control, el recono-
cimiento facial, Ia interpretación de comportamientos no
verbales, la gestión de sistemas con procesamiento inte-
ligente de imágenes, etc. todo ello hará de los locales u
hogares un nuevo lugar protegido y controlado desde una
Central Receptora de Alarmas (CRA) o desde una simple
app, desde cualquier lugar y en cualquier momento, según
los casos y circunstancias.

Así, ya hemos podido asistir al primer simulacro de emer-


gencias ciudadana realizado en el Puerto de Valencia re-
cientemente, donde, mediante el 5G se ha dispuesto de
la información en directo y en tiempo real para la gestión
de la emergencia y la seguridad mediante videovigilancia,
reconocimiento facial y control de los sistemas.

55
CIBERSEGURIDAD

La utilización de la tecnología 5G será clave en la pres- ria que sea esta nueva tecnología, nunca debemos dejar
tación de servicios de comunicaciones críticas de banda de extremar las precauciones.
ancha a operativos de emergencias y seguridad, así como
en su aplicación a otros ámbitos como el sanitario, aten- Sus conexiones serán más seguras que la infraestructura
ción a la dependencia o gestión medioambiental presenta 4G actual, aun así, son muchos los desafíos a los que se
igualmente importantes ventajas. enfrentan las empresas por cumplir los estándares reco-
nocidos para garantizar la seguridad de esta tecnología.
Esta nueva forma de navegación facilitará el camino a tec-
nologías emergentes como la realidad virtual o los coches Los operadores están trabajando para fortalecer su ca-
sin conductor. Asimismo, permitirá ver vídeos 3D, trabajar pacidad de prevenir, detectar y mitigar la inevitable activi-
desde la nube, descargar archivos en total tiempo real o dad cibernética maliciosa dentro de los múltiples nuevos
hacer videollamadas sin interferencias, entre otras de las servicios que también transformarán la industria donde la
acciones rutinarias en las que notaremos las mejoras. protección de datos y los mecanismos de control y seguri-
dad son imprescindibles.

ESTA NUEVA FORMA DE NAVEGACIÓN Las redes de alta velocidad presentan también importan-
tes riesgos, amenazas y vulnerabilidades de ciberseguri-
FACILITARÁ EL CAMINO A TECNOLOGÍAS dad. La agencia de Ciberseguridad de la UE ya ha adverti-
EMERGENTES COMO LA REALIDAD VIRTUAL do que no existen suficientes garantías de que las nuevas
O LOS COCHES SIN CONDUCTOR redes sean seguras. Al ser mayor la cantidad de usuarios
conectados también existirá un mayor riesgo de ataques
informáticos. Por ello, las empresas de telecomunicacio-
nes deben aplicar soluciones de seguridad más fuertes
Esto, favorecerá al IoT o Internet de las cosas, que hace sobre esta nueva tecnología a fin de evitar ciberataques
referencia a objetos cotidianos que además de tener co- más complejos.
nexión a Internet tienen algún tipo de inteligencia y, por lo
tanto, se utilizarán para optimización del tiempo y mejorar También existe el debate, al igual que en otras tecnolo-
nuestra eficacia y calidad de vida. Además, de que tam- gías actuales como la Inteligencia artificial o el Big Data,
bién se producirá un incremento de los dispositivos que sobre la protección de los datos personales y la intimidad
tenemos conectados en nuestro hogar como las ilumina- de los individuos. Sobre todo, tras la aprobación del RGPD
ción, la seguridad, los electrodomésticos o la organiza- europeo.
ción de las tareas domésticas.

ESTADOS UNIDOS PIDE A SUS EMPRESAS


RIESGOS Y AMENAZAS QUE TRAERÁ QUE NO UTILICEN TECNOLOGÍA
CONSIGO ESTA NUEVA TECNOLOGÍA 5G DE TELECOMUNICACIONES CHINA
Y LA OBLIGADA CIBERSEGURIDAD DE HUAWEI, INDICANDO QUE HACE
AÑOS QUE EL GOBIERNO CHINO USA LOS
Ya se han propuesto varias medidas de protección para DISPOSITIVOS PARA ESPIAR
esta nueva tecnología, como que el tráfico en Internet
esté encriptado desde el dispositivo hasta el núcleo
de la red con un complejo cifrado de datos para más se- Para Andy Purdy, CSO de Huawei “Los beneficios del 5G
guridad. superan con creces los riesgos. Es críticamente importan-
te que el sector privado, en colaboración con el gobierno,
Sin embargo, por muchas medidas de seguridad que se fortalezca los esfuerzos para definir e implementar un
aplique, siempre existe el riesgo de que 5G sea atacado y marco de seguridad para 5G e IoT que aproveche estánda-
vulnerado. Por eso, por muy transformadora y revoluciona- res y mejores prácticas reconocidos internacionalmente”.

56
CIBERSEGURIDAD

En España, el director del Centro Nacional de Inteligencia Para Sanz Roldán se está produciendo una revolución
(CNI), Félix Sanz Roldán, ha advertido recientemente que, tecnológica radical y enormemente rápida y que el CNI
con la llegada de la tecnología 5G, la seguridad «va a sufrir debe estar y estará en el centro de esa revolución «Esta-
aún más» por lo que es preciso permanecer alerta ante los mos bien situados, tenemos la infraestructura adecuada
riesgos y oportunidades que brinda la revolución tecnoló- y un sistema de gobernanza (de la ciberseguridad) humil-
gica para saber beneficiarse de ella., ya que los cambios de, pero que está funcionando», ha animado Sanz Roldán,
tecnológicos provocan una gran inseguridad y «ruptura de confiado en que militares, civiles, expertos y empresarios
la confianza, especialmente en lo que vemos, percibimos sepan aprovechar la oportunidad de «sentarse a pensar y
y nos dicen es cierto». a trabajar juntos».

CON LA LLEGADA DE LA TECNOLOGÍA 5G,


LA SEGURIDAD VA A SUFRIR AÚN MÁS,
MANUEL SÁNCHEZ GÓMEZ-MERELO
ADVIERTE FÉLIX ROLDÁN, DIRECTOR CNI manuelsanchez.com

57
ALFONSO FRANCO

ALFONSO
FRANCO
CEO
ALL4SEC

All4Sec lleva ya cinco años en activo. ¿Cómo han evolucionado las ciber amena-
zas y la ciberseguridad durante ese tiempo? 
Es evidente que se han producido muchos cambios en los últimos cinco años. En
el mundo actual nos movemos a velocidades de vértigo, y esto se aplica particular-
mente al entorno de la ciberseguridad. Por ejemplo, en 2014, cuando tras más de
15 años en el sector, decidí fundar All4Sec, comenzábamos a oír hablar del ranso-
mware. Apenas un año antes Snowden había divulgado los documentos de la NSA
que ponían a los ciudadanos en el centro de la cultura del espionaje tecnológico. Los
servicios en cloud estaban lejos de ser lo que hoy significan para muchos negocios.
¿Y qué decir del blockchain, el IoT, el Bigdata o los sistemas de Inteligencia Artificial?
Eran algo así como “lo que vendrá, pero que llevaría tiempo encajar en la cultura
empresarial”.

58
ALFONSO FRANCO

59
ALFONSO FRANCO

Actualmente la superficie de ataque se ha ampliado. Los de la población. Sin embargo, el desconocimiento de la


dispositivos móviles, los servicios en la nube, las interco- problemática que trae consigo impide que dimensionen
nexiones de aplicaciones o los nuevos elementos IoT co- adecuadamente los riesgos.
mienzan a jugar un papel preponderante en lo que viene
a definirse como la transformación digital. Hemos pasado
de un perímetro claramente definido a un entorno difuso MÁS DEL 87% DE LAS PYMES NI SIQUIERA
en el que el modelo de seguridad ha tenido que adap-
tarse. De los esquemas de defensa rígidos, basados en TIENEN HERRAMIENTAS PARA DEFENDER
patrones de ataques, hemos pasado a modelos predicti- SUS DATOS O LOS DE SUS CLIENTES
vos y de análisis de comportamiento. Al mismo tiempo,
las compañías han ido ganando en concienciación, quizás
más por las evidencias de los casos que se han conocido Muchas pequeñas y medianas empresas aún atribuyen un
que por convicción propia. En general, ha calado el mensa- valor marginal a las medidas de ciberseguridad frente a lo
je de que cualquier persona o compañía, por insignificante que consideran que es el valor central de su negocio —la
que parezca, puede ser víctima de un ciberataque —por producción de bienes, la comercialización de productos o
ejemplo, algunos estudios dicen que en 2019 se produce la prestación de un servicio, por poner algunos ejemplos—
un ataque de ransomware cada 14 segundos— que podría sin darse cuenta de que un problema de ciberseguridad
llevarle a serios problemas personales o empresariales — puede afectar a eso que consideran el eje de sus nego-
más aún con la entrada en vigor del GDPR en 2018. En cios. Según muchos estudios más del 87% de las PYMEs
definitiva, hemos hecho de la ciberseguridad un tema co- ni siquiera tienen herramientas para defender sus datos o
tidiano que, si bien aún no es del todo bien entendido, sí los de sus clientes.
que ha despertado la inquietud en todos los niveles de la
sociedad. Algunas compañías han comenzado a incorporar elemen-
tos de seguridad dirigidos a proteger parte de sus activos
intangibles entendiendo que sin ellos les resultaría muy
CUALQUIER PERSONA O COMPAÑÍA, POR difícil mantener su operativa, pero aún no son mayoría. To-
davía persisten responsables que piensan que a ellos no
INSIGNIFICANTE QUE PAREZCA, PUEDE SER les va a pasar nada, porque no tienen ningún interés para
VÍCTIMA DE UN CIBERATAQUE terceros, pero no se dan cuenta de que los verdaderamen-
te interesados deberían ser ellos mismos.

¿Cómo ven el panorama de la ciberseguridad  en las Por esto mismo desde All4Sec abogamos por la concien-
compañías españolas? ¿Se lo toman lo suficientemente ciación como paso fundamental en la adopción de me-
en serio? didas de ciberseguridad. Una de las muchas cuestiones
Yo diría que comienzan a tomárselo. Bien es cierto que que nos plantean esos mismos clientes es su propio des-
hay diferentes formas de percibirlo. Las grandes compa- conocimiento en materia de ciberseguridad y su temor a
ñías y las Administraciones Públicas disponen de un gra- no saber tomar decisiones adaptadas a sus necesidades.
do de profesionalización mucho mayor, por la trayectoria Nuestra estrategia es hacerles entender los riesgos a los
de trabajo que llevan a sus espaldas. Sus modelos de que se exponen y plantearles cuestiones que afectan a la
organización han ido adaptándose a fin de incorporar la ciberseguridad de su operativa para posteriormente mos-
ciberseguridad como un elemento más de su estructu- trarles como atenuar los riesgos sin tener por qué hipote-
ra, dotándola de mayores recursos. Sin embargo, es en car su negocio. Poco a poco lo vamos consiguiendo, pero
el mercado de las PYMEs donde aún queda mucho por se trata claramente de una tarea de fondo que requiere un
hacer. La concienciación en ciberseguridad está llegando esfuerzo importante.
a ellos con cuentagotas y no siempre de la mejor manera
posible. Las noticias que aparecen en los medios de co-
municación despiertan la inquietud de un segmento del ¿Qué elementos conforman la ciberseguridad en una
mercado, el de las PYMEs, que en España representa más pyme?
del 99% del sector productivo y que emplea a más del 65% Cuando una PYME decide implantar medidas básicas de

60
ALFONSO FRANCO

ciberseguridad a menudo las relaciona con sus comunica- personales localizados en las oficinas; y los datos y aplica-
ciones a través de Internet. Quizás no sea un mal punto ciones externas cuya privacidad, integridad y confidenciali-
de partida, pero no debe llevarle a una falsa sensación dad deben estar garantizadas. Asimismo, los procedimien-
de seguridad. La ciberseguridad es mucho más que una tos y normas de actuación dentro de la compañía juegan
frontera física que combina elementos tecnológicos. un papel preponderante.

Al fin y al cabo, la ubiquidad ha traído consigo un modelo


EN ALL4SEC ENTENDEMOS LA de ciberseguridad en la gestión proactiva, la personaliza-
ción, el cifrado de datos y comunicaciones o la identidad
CIBERSEGURIDAD DESDE CUATRO PUNTOS de los usuarios que son elementos básicos de cualquier
DE VISTA: LAS PERSONAS, LOS SISTEMAS negocio. Desde All4Sec defendemos que las PYMEs de-
INTERNOS, LOS PUESTOS DE TRABAJO ben incorporar soluciones que afronten cada uno de estos
elementos a través de una selección tecnológica adecua-
Y LOS DATOS Y APLICACIONES EXTERNAS da y bajo un modelo de servicio acorde a sus necesida-
des. Por eso nuestra oferta se adapta a lo que requieren
nuestros clientes, desde programas de concienciación en
En All4Sec entendemos la ciberseguridad desde cuatro ciberseguridad, soluciones para proteger los puestos de
puntos de vista que conforman nuestros principales ejes trabajo y las comunicaciones internas y con terceros o la
de actuación: las personas, entendidas como empleados, preservación de la confidencialidad de información o los
socios, proveedores o clientes; los sistemas internos, in- datos, residan donde residan. Todos son elementos que
cluyendo redes y servidores corporativos; los puestos de coordinados aportan un valor fundamental a cualquier
trabajo sean estos dispositivos móviles u ordenadores organización.

61
ALFONSO FRANCO

¿Qué consejos darías a una pequeña empresa en mate- Si una empresa es capaz de hacer partícipe a los em-
ria de ciberseguridad? pleados del impacto que tienen en la ciberseguridad de
Uno y fundamental, que integre la ciberseguridad como la organización habrá dado un paso de gigante para su
un elemento más dentro de su organización. No quiero protección frente a las posibles amenazas. Y para eso,
decir que incorpore a un experto en ciberseguridad en cada organización debe desarrollar su propio manual de
la plantilla —cosa por otra parte harto difícil en los tiem- trabajo guiado por normativas estándares como la ISO
pos actuales donde escasean los profesionales especia- 27001, recogiendo aspectos como la gestión de los dispo-
lizados— sino que se plantee cómo de preparada se en- sitivos físicos que utilizan, la notificación de incidentes, los
cuentra frente a una fuga de información, un ataque de controles de acceso, la monitorización, el conocimiento y
ransomware o una pérdida de operatividad informática. cumplimiento de normativas legales y otros conceptos que
Preguntas tan básicas como ¿dónde guardan la informa- resultan básicos conocer.
ción que consideran clave?, ¿tienen implementados me-
canismos para detectar y detener posibles ataques exter- Se habla mucho de las auditorías de ciberseguridad.
nos?, ¿revisan y actualizan periódicamente la seguridad ¿Cómo se desarrolla este proceso dentro de una empresa?
de sus infraestructuras informática?, ¿sabrían identificar Las auditorias de ciberseguridad son una forma de eva-
los usuarios que están conectados en cada momento y los luar el nivel de riesgo asumido por una organización. Lo
privilegios que tienen?, ¿cuánto les costaría recuperarse primero que hay que decir es que el riesgo cero no exis-
de un hipotético ataque?... Se trata de preguntas sencillas te, por eso es importante que toda empresa entienda qué
de responder si de verdad se han preocupado de ello. Si riesgos está dispuesta a asumir.
no es así, les recomendamos que se dejen asesorar por
compañías como All4Sec. A menudo resulta complicado hacer entender al CEO de
una compañía, sobre todo si es una PYME, que cualquier
medida de ciberseguridad que implante no le protegerá
LAS PYMES DEBERÍAN INTEGRAR ante cualquier eventualidad. Al final se trata realizar un
balance de riesgos que se convierte en su “particular pó-
LA CIBERSEGURIDAD COMO UN ELEMENTO liza de seguros”, un compromiso en el que se sitúe a un
MÁS DENTRO DE SU ORGANIZACIÓN lado de la balanza, el tiempo, el dinero y los recursos hu-
manos necesarios para afrontar los riegos, mientras, en el
otro lado, se ponderen las contraprestaciones que debe
¿Qué importancia tienen los empleados en la seguri- asumir en forma del nivel de riesgos que considere acep-
dad digital de una compañía? ¿Se debe formar a todos table. Y la auditoría es una forma de evidenciarlo.
los empleados? ¿Existe algún manual de buenas prác-
ticas? El modelo de trabajo que se sigue en una auditoría puede
El rol de los empleados en materia de ciberseguridad es ser interno o externo. En una auditoría interna o de caja
fundamental. Siempre se ha dicho que el usuario es el es- blanca se evalúa la seguridad de la empresa conociendo
labón más débil de la cadena de seguridad. Una compañía de antemano los procedimientos y medidas implantadas
puede implantar medidas de protección de sus comunica- por la organización. Con ello se determina si la compañía
ciones con firewalls o IPS, puede desplegar medidas de está siguiendo los preceptos que tiene definidos en cuan-
protección de los puestos de trabajo con sistemas anti- to al tratamiento de sus sistemas de información y en qué
malware o puede controlar quién se conecta a sus siste- medida pueden ser mejorados. En la auditoría externa
mas, estén estos en sus oficinas o localizados en servicios o de caja negra —que es la que más a menudo solicitan
en la nube, pero si al final un simple email de phishing las compañías— el auditor actúa como “elemento hostil”
puede llevar a que un empleado, sea el que sea, entre- frente a la organización intentando subvertir los sistemas
gue su contraseña a un tercero o abra un fichero con un con cualquier método que esté a su alcance. El objetivo es
malware, de poco habrá servido todo lo realizado. Algu- actuar como lo haría cualquier ciberdelincuente, pero con
nas consultoras lo definen como People Centric Security el único objetivo de evidenciar las debilidades de la organi-
(PCS), donde la concienciación del empleado se convierte zación en cuanto a la aplicación de medidas de protección
en herramienta clave en la estrategia de ciberseguridad o incluso respecto a los riesgos que ha decidido asumir.
de una compañía.

62
ALFONSO FRANCO

Existen numerosas metodologías de trabajo para realizar rreo electrónico han evolucionado a métodos avanzados
una auditoría. La más conocida es OSSTMM que estable- de phishing en los que se utiliza la información de contex-
ce que la intrusión en un sistema debe validarse desde el to, como la ausencia del CEO de la compañía o su relación
punto de vista de los datos, los procesos, la confiabilidad con otras personas, para convencer a las víctimas. Las vul-
de los servicios de Internet, las personas, los elementos nerabilidades que presentan los sistemas y aplicaciones
de comunicaciones fijos y móviles y el control del entorno son mantenidas en secreto durante largos periodos de
físico donde se localizan. Todos son eslabones de una ca- tiempo en los que son explotadas por los ciberdelincuen-
dena que puede ser rota en cualquier momento a partir tes. Se comercializa con los datos para obtener beneficios
del elemento más débil. económicos de su explotación. Se utilizan las capacidades
computacionales de las víctimas para conseguir nuevos
recursos. Y así un largo etcétera.
TODOS SON ESLABONES
En el otro lado de la ecuación se encuentran los fabrican-
DE UNA CADENA QUE PUEDE SER ROTA tes y consultores de tecnologías de ciberseguridad, con
EN CUALQUIER MOMENTO A PARTIR DEL propuestas que analizan el comportamiento de los usua-
ELEMENTO MÁS DÉBIL rios, los privilegios que tienen, los lugares desde donde
se conectan o incluso plantean infraestructuras informá-
ticas-cebo para engañar a los propios ciberatacantes. Se
trata de una lucha sin cuartel en la que cada vez más in-
Por eso el auditor se deberá mover a través de etapas, en tervienen intereses comerciales o políticos y que hacen de
ocasiones cíclicas, que partan de la vigilancia para con- las ciberamenazas una cuestión de estabilidad mundial.
seguir romper la cadena por uno de sus eslabones, com-
prometiendo su seguridad y permitiendo establecer bases
para continuar con el proceso de ataque. Un proceso que ¿Qué tendencias veremos en el 2020, hacia dónde se
habitualmente tiene como premio la escalada de privile- dirigen los ciberdelincuentes y cómo evoluciona la ci-
gios en el sistema, habilitándole para realizar movimientos berseguridad frente a ellos? (ataques a móviles, filtra-
laterales dirigidos a analizar caminos a recursos desprote- ciones de datos, secuestros y chantajes virtuales, etc.)
gidos, y así continuar con el proceso que ha de llevarle a Como decía anteriormente, la ciberdelincuencia continúa
mostrar a su cliente la posibilidad fehaciente de una fuga su camino hacia el beneficio económico, político o social.
de información o la pérdida de control de los recursos cor- El ransomware se ha convertido en el ataque más habi-
porativos. tual, o al menos, el más reconocido. De alguna forma, los
ciberdelincuentes han entendido que la información de los
usuarios, aunque no tenga valor para terceros, puede tener-
¿Cómo definirías el panorama de ciberamenazas ac- lo para ellos mismos lo que les convierte en víctimas propi-
tual? ciatorias. No hace falta rebuscar demasiado en los medios
No sé si decir que resulta apasionante o inquietante. Qui- de comunicación para ver compañías, Administraciones
zás los dos calificativos sean adecuados, en función de a Públicas o incluso particulares que se han visto afectados
quién se pregunte. La ciberdelincuencia ha evolucionado por el secuestro de su información. Las criptomonedas
desde objetivos meramente obstructivos, hasta fijar sus han contribuido a su consolidación al constituir un medio
metas en el beneficio económico, político o social. Ya no anónimo de obtener el beneficio económico buscado. A
se trata de hacer daño por el simple hecho de hacerlo, día de hoy, el ransomware genera pérdidas multimillona-
sino por sacar algún beneficio de ello. Se ha convertido rias en las empresas que a menudo se encuentran ante la
en un negocio tan lucrativo que supera con creces la ma- tesitura de pagar un rescate o perder toda su información.
yor parte de los negocios ilícitos que existen. Las técni-
cas de ataque han ido evolucionando desde despliegues
indiscriminados de malwares estándares a métodos per- LOS DISPOSITIVOS IOT Y LOS SERVICIOS
fectamente estudiados y dirigidos por organizaciones de
ciberdelincuentes que prolongan sus amenazas durante EN LA NUBE SON OTROS DE LOS OBJETIVOS
varios años. Así, los tradicionales ataques a través del co- DE LOS CIBERDELINCUENTES

63
ALFONSO FRANCO

Los dispositivos IoT y los servicios en la nube son otros Frente a ellos tenemos estrategias que se basan en la pre-
de los objetivos de los ciberdelincuentes. La interconexión vención y la respuesta ante incidentes que las compañías
que proporcionan a millones de elementos abre un aba- como All4Sec que nos dedicamos a ciberseguridad debe-
nico infinito de posibilidades. Entre los dispositivos IoT se mos desarrollar para nuestros clientes. Los sistemas de
encuentra la domótica y en particular los asistentes de monitorización inteligentes, la “orquestación” de servicios
voz que aportan un interfaz de acceso hasta ahora poco en la nube o incluso los modelos basados en Zero Trust
desarrollado y que se presta a múltiples posibilidades de que parten de la identidad digital como elemento de segu-
ataque aún por explorar. ridad central de los usuarios son algunas de las líneas que
comienzan a desarrollarse.
Ni que decir tiene que las infraestructuras críticas son otro
de los frentes de batalla de los ciberdelincuentes —solo
en el último año, por ejemplo, el CNPIC español clasificó ¿Cuáles son los mayores retos de 2020 en materia de
más del 30% de los ataques recibidos como graves— y que Ciberseguridad? (tanto para las empresas de cibersegu-
junto con la manipulación de las emociones a través de ridad como para las pymes)
fake news pueden ser herramientas de enorme impacto. La ciberseguridad se enfrenta a un torrente continuo de
retos que hacen de esta disciplina un entorno tremenda-
mente dinámico. Con el advenimiento de una innovación
EN 2019 EL CNPIC ESPAÑOL tecnológica siempre llega un reto al que hacer frente. Pri-
mero fueron los ordenadores personales y los virus, luego
CLASIFICÓ MÁS DEL 30% DE LOS ATAQUES vino Internet y su capacidad para tomar el control de equi-
RECIBIDOS COMO GRAVES pos remotos, las redes sociales y el comercio electróni-

64
ALFONSO FRANCO

co puso en liza la ingeniería social como herramienta de xión a redes wifi en verano, las compras online navide-
ciberataque, los dispositivos móviles y los servicios en la ñas, etc. ¿Qué consejos darías como experto?
nube han hecho de la identidad digital el foco de interés. Se trata de recomendaciones de sentido común que he-
Ahora con la aparición de los dispositivos IoT, los sistemas mos visto hacer a multitud de organismos públicos y priva-
robotizados o de conducción autónoma, el Big data y la dos. Al final, como decía en una de las anteriores pregun-
Inteligencia Artificial nos enfrentamos a nuevos desafíos tas, el usuario se convierte en el eslabón más débil de la
que se verán acentuados con la consolidación de las nue- cadena de ciberseguridad, de ahí que su comportamiento
vas tecnologías 5G o la computación cuántica, por poner sea de especial relevancia. No insistiré en lo que parece
algún ejemplo. obvio como es no conectarse a redes wifis desconocidas,
ni proporcionar datos de identificación a través de ellas o
comprobar la veracidad de los dominios a los que nos co-
AHORA NOS ENFRENTAMOS nectamos o validar las ofertas de productos que recibimos
o consultamos, o proteger nuestros dispositivos móviles
A NUEVOS DESAFÍOS QUE SE VERÁN con elementos de doble autenticación o cifrado, etcétera,
ACENTUADOS CON LA CONSOLIDACIÓN etcétera. Podríamos alargarnos demasiado. Quizás al final
DE LAS NUEVAS TECNOLOGÍAS 5G todo se reduzca a una única recomendación que puede
sonar excesiva: frente a Internet, y en términos de ciberse-
O LA COMPUTACIÓN CUÁNTICA guridad, no nos hará daño actuar como paranoicos.

En 2020 es de esperar que aún falte tiempo para conso- FRENTE A INTERNET, Y EN TÉRMINOS DE
lidar algunas de estas innovaciones, por eso es más que
posible que el próximo año veamos avanzar los sistemas CIBERSEGURIDAD, NO NOS HARÁ DAÑO
inteligentes aplicados a la ciberseguridad a través de la ACTUAR COMO PARANOICOS
integración de múltiples elementos de protección. En par-
ticular, en las PYMEs es más que probable que se impulse
la adopción de servicios integrados prestados desde la Háblanos de algunos de los términos relacionados con
nube para facilitarles la operatividad. la ciberseguridad que cada vez aparecen más en los
medios de comunicación: ransonware, malware, botnet,
exploit, IDS, pharming, phishing, spoofing, y spyware.
¿Cuáles son las novedades e innovaciones de última ge- Es curioso, y a la vez interesante, ver como día a día va-
neración en materia de ciberseguridad? mos haciendo nuestros muchos de los conceptos que en
Los campos de actuación en los que actualmente la in- terminología anglosajona forman parte del vocabulario ha-
dustria de ciberseguridad está trabajando incluyen he- bitual utilizado en ciberseguridad. El ransomware es una
rramientas y productos para la gestión de cuentas con palabra que combina dos términos, ransom y software. La
privilegios (PAM), los sistemas anti-phishing activos, los primera quiere decir “rescate”, con lo cual es fácil deducir
sistemas avanzados de detección y respuesta ante inci- que ransomware es una aplicación que pide un rescate
dentes (MDR), los sistemas CASB para la protección de por el secuestro de algo, normalmente información; un
servicios en la nube, los modelos adaptados de actuali- secuestro que viene dado por la inutilización de los datos
zaciones de vulnerabilidades, como por ejemplo sugiere a través del cifrado de los mismos y que solo se pueden
Gartner en su iniciativa CARTA, los sistemas inteligentes recuperar si se conoce la clave de descifrado. Así de sen-
de contramedidas (Threat Intelligence) o la gestión avan- cillo. Apliquemos el mismo razonamiento a palabras como
zada de identidad (IdM). Cada una de estas líneas de tra- malware o spyware —maldad o malo y espía, respectiva-
bajo representa un área de innovación que el mercado mente— y llegaremos a sus correspondientes significados.
está afrontando o afrontará en los próximos años.
Respecto a los botnets podemos decir que se trata de
redes de ordenadores en las que se ha conseguido ins-
Hay momentos en los que aumenta nuestra vulnerabili- talar aplicaciones que se ejecutan de forma automáti-
dad como usuarios, por ejemplo: Black Friday, la cone- ca y que actúan de forma coordinada en manos de un

65
ALFONSO FRANCO

CM

MY

ciberdelincuente, por ejemplo, para enviar correos o blo- NOS INVITA A CONECTARNOS A UN BANCO, CY
quear servicios haciéndoles peticiones que acaban satu-
rándolos. Algunos los asociarían con un “ejército de orde- PORTAL DE COMERCIO ELECTRÓNICO O CMY

nadores zombis” a disposición de un tercero. En cuanto a RED SOCIAL, PERO QUE EN REALIDAD SON K

los exploits diríamos que se trata de aplicaciones desarro- “ESCAPARATES DE CARTÓN-PIEDRA”


lladas a medida que aprovechan una vulnerabilidad o de-
bilidad de una infraestructura para acceder a los sistemas
y dar lugar a comportamientos no deseados. Y así podríamos seguir con otros términos como firewalls,
IDS, IPS, CASB y un largo etcétera que responden a siglas
El phishing, spoofing o el pharming están relacionados inglesas que definen conceptos como detección, protec-
con la suplantación de la identidad, o el engaño. Los dos ción o gestores de seguridad. De cualquier forma, y sea
primeros, phishing y spoofing, suplantan la identidad del cual sea la terminología utilizada, en All4Sec tratamos de
emisor, es decir, la persona se hace pasar por quien no hacer que estos conceptos sean entendibles para muchas
es. Se suele utilizar en ataques de correo electrónico di- empresas —en particular las PYMES— que, en muchas
rigidos de forma masiva o personalizada a determinados ocasiones y por temor a mostrar un desconocimiento del
usuarios. El tercer término, pharming, está relacionado que en absoluto deba avergonzarles, prefieren esconder-
con el engaño, pero en este caso al invitar al usuario a se tras frases lapidarias como “esto a mí no me afecta”,
conectarse a un lugar que aparenta ser un lugar conocido “quién se va a fijar en nosotros” o “no tenemos nada que
o de confianza, pero que en realidad es una suplantación. pueda interesar a los delincuentes”. A esas mismas com-
Este tipo de ataques suele aplicarse de forma combinada pañías, desde All4Sec, intentamos mostrarles que están
con los dos anteriores, por ejemplo, cuando alguien, en equivocadas y que pueden corregirlo antes de que, desa-
apariencia conocido, nos invita a conectarnos a un banco, fortunadamente, las evidencias los sitúen frente a su error.
portal de comercio electrónico o red social, pero que en
realidad son “escaparates de cartón-piedra” para conse-
guir nuestros datos de tarjetas de crédito, contraseñas o ALL4SEC
información personal. all4sec.es

66
CIBERSEGURIDAD

68
CIBERSEGURIDAD

POR QUÉ SE ROMPE


LA CULTURA DE
CIBERSEGURIDAD
Y CÓMO
SOLUCIONARLO
PLAN Magazine

El año pasado fuimos testigos de algunos de los mayores fallos de


seguridad de todos los tiempos. En medio de estos espectaculares fra-
casos, el gasto en ciberseguridad superó los 80 mil millones en 2018
y solo en EE.UU. operan más de 2.000 proveedores de seguridad.

En la actualidad, las empresas están dedicando más tiempo que nun-


ca a considerar los riesgos de seguridad. ¿En qué otro ámbito es tan
difícil el éxito generalizado y por qué persiste esta extraña anomalía en
el sector de la ciberseguridad?

Los atacantes continuarán innovando con nuevas técnicas dinámicas,


y las oportunidades para sembrar el caos proliferarán a medida que
incorporemos más datos de nuestra vida cotidiana al ámbito digital.

69
CIBERSEGURIDAD

LO PODEMOS HACER MEJOR Por lo tanto, eliminar esta cultura de las artes oscuras es
un imperativo para todos los que buscan mejorar la se-
guridad digital a nivel mundial. Afortunadamente, no es
El gran problema en seguridad no son las personas, los un sueño imposible. Unos cuantos cambios concertados,
procesos o la tecnología. Si bien es imperfecta, la indus- simples, aunque no fáciles, nos llevarían lejos.
tria está llena de personas trabajadoras y con talento, y la
conciencia de seguridad y los procesos están mejorando
rápidamente en la mayoría de las empresas, y, además, ELIMINAR ESTA CULTURA DE LAS ARTES
no hay escasez de buena tecnología.
OSCURAS ES UN IMPERATIVO PARA
TODOS LOS QUE BUSCAN MEJORAR LA
EL GRAN PROBLEMA ES CULTURAL, SEGURIDAD DIGITAL A NIVEL MUNDIAL
Y ESTÁ EN LA RAÍZ DE TODAS ESTAS
OTRAS DEFICIENCIAS
AMPLIAR EL GRUPO DE TALENTOS
Con demasiada frecuencia, la seguridad se rodea de una Primero, la cultura de seguridad necesita adoptar la ver-
cultura inmadura y oscura que perjudica a las personas, dadera diversidad cognitiva, necesita dar la bienvenida a
los procesos y la tecnología. Esta cultura permite una fal- las personas con un conjunto más diverso de habilidades,
ta de diversidad en su base de talentos y disuade a los puntos de vista y experiencias. La industria de la ciber-
nuevos participantes, fomenta sus debilidades en la co- seguridad tiene más de 30 años, y algunas de sus tec-
municación efectiva con los líderes corporativos y guber- nologías más frecuentes han existido desde el principio.
namentales de quienes los ciudadanos dependen para la Dado el ritmo de los principales incidentes de seguridad
seguridad en su vida digital diaria, y alienta la tolerancia que hemos visto en los últimos años, podemos afirmar
a lo arcano, con herramientas demasiado complejas y di- que los enfoques actuales no están funcionando. Parte
fíciles de usar. del problema radica en que las personas que construye-
ron la industria entonces, siguen siendo las que trabajan
en esos problemas ahora, sin suficientes aportes nuevos.
LA SEGURIDAD SE RODEA DE UNA
La cultura de seguridad contribuye a alterar el equilibrio
CULTURA INMADURA Y OSCURA QUE natural de la oferta y la demanda. Esta desalineación es
PERJUDICA A LAS PERSONAS, LOS especialmente preocupante dada la escasez endémica de
PROCESOS Y LA TECNOLOGÍA talento de seguridad. Es probable que haya 20 millones
de empleos de seguridad cibernética sin cubrir para este
2020. Sin embargo, solo el 11% de la fuerza laboral de se-
guridad es femenina. ¿Por qué? Tal vez por razones como
Que esta cultura exista no debería sorprendernos. Hay el hecho de que la feria comercial más grande de la indus-
una mística que rodea el mundo cibernético. Muchos in- tria de la seguridad, RSA, tardó 16 años en prohibir a los
vestigadores e ingenieros de seguridad se enorgullecen vendedores el empleo de azafatas de stand.
de haber adquirido sus habilidades después de innumera-
bles horas de trabajo nocturno, muchas veces en asuntos La diversidad, en todos los sentidos (educación, experien-
clasificados o en roles sujetos a confidencialidad. Por lo cia de vida, perspectiva, conjunto de habilidades), es la
tanto, los equipos, los enfoques y las herramientas que fuente de la innovación. Necesitamos nuevos puntos de
nacen de esta mentalidad y la favorecen en la industria, vista sobre los problemas de ciberseguridad para tener
hoy en día son principalmente autorreferenciales, dirigi- una oportunidad realista de desarrollar enfoques verdade-
dos a expertos e indescifrables para los extraños. Pero ramente nuevos, buscar talento en una gama más amplia
no hay suficientes expertos para todas las empresas que de lugares y reclutar con procesos más estructurados que
se enfrentan a ataques cada vez más sofisticados. promuevan la diversidad. Corresponde a los líderes de la

70
CIBERSEGURIDAD

industria de la seguridad promover culturas corporativas, la cima de la escala corporativa. Pero la falta de fluidez no
organizativas y medidas que aporten diversas perspecti- necesita comprometer la buena gobernanza.
vas para desarrollar los nuevos enfoques de los proble-
mas de seguridad que son necesarios para ganar.
LA INDUSTRIA NECESITA EVOLUCIONAR
MÁS ALLÁ DE UNA HISTORIA DE AMOR
EN EL MISMO IDIOMA CON LA TECNOLOGÍA WHIZ-BANG
La segunda forma en que la cultura de seguridad obsta-
culiza su efectividad es en cómo los líderes de seguridad
tienden a interactuar con los encargados de tomar las de- Corresponde a los propios profesionales de la seguridad tra-
cisiones empresariales que apoyan. En general, la indus- ducir los arcanos de su trabajo al lenguaje comercial, igual
tria necesita evolucionar más allá de una historia de amor que a los buenos equipos y juntas directivas cumplirlos. La
con la tecnología whiz-bang, madurar más allá del alar- ciberseguridad no es un riesgo extraño y exógeno que re-
quiere un vocabulario y una visión del mundo completa-
mismo y aprender a hablar de manera que los equipos de
mente nuevos; es un riesgo empresarial central para ser
gestión puedan entender. Por ejemplo, la mayoría de los
administrado dentro de los marcos existentes. Eso puede
consejeros y ejecutivos son más fluidos en el lenguaje de hacer que sea menos elitista a los ojos de algunos expertos
la contabilidad que en el de Ruby o Java. Esto es por una en seguridad, menos exclusivo, menos genial, pero hará que
función de su educación, y porque las generaciones “naci- la seguridad sea más efectiva, que es el objetivo principal.
das digitales” en muchos lugares aún no han ascendido a

71
CIBERSEGURIDAD

HACER HERRAMIENTAS MÁS FÁCILES Pero esas banderas rojas relevantes se ahogaron en un
mar con otras banderas. En lugar de analizar la señal de
DE UTILIZAR peligro, la propia señal se convirtió en peligro porque los
sistemas de seguridad eran demasiado difíciles de usar,
En tercer lugar, la cultura de seguridad debe dejar de to- abrumando a sus operadores humanos en lugar de em-
lerar herramientas y estándares diseñados para ser utili- poderarlos.
zados por los expertos en lugar de hacer que la seguridad
sea más accesible para una gama más amplia de per- Este no es un problema imposible de resolver. Considere-
sonas. Debemos esperar apertura y facilidad de uso en mos, como ejemplo, el tema simple de la sintaxis de con-
productos de seguridad empresarial, de la misma manera sulta. Una tarea rutinaria de ciberseguridad es “pregun-
que los productos de consumo atienden a sus usuarios. tar” en toda la infraestructura si es posible y dónde puede
ser vulnerable a algún nuevo ataque. Por lo general, esto
requiere un amplio y concreto conocimiento para elaborar
LA FACILIDAD DE USO una pregunta, en apariencia muy sencilla, pero muy com-
pleja de plantear. Entonces ¿por qué no reunir los avances
NO SE TRATA SOLO DE CONVENIENCIA; en la ciencia de datos y la experiencia del usuario para
SE TRATA DE SEGURIDAD traducir esa sintaxis compleja en un comando simple?

Cambiar la cultura de seguridad puede alentar a los nue-


La facilidad de uso no se trata solo de conveniencia; se vos participantes a aprovechar la oportunidad de apren-
trata de seguridad. Pongamos como ejemplo lo que pasó der y ser productivos rápidamente, incluso si inicialmente
en la red de Target. Entre el 27 de noviembre y el 15 de carecen de experiencia. Se puede ayudar a cerrar la bre-
diciembre de 2013 un grupo de atacantes desconocido cha entre los equipos de seguridad y los equipos de admi-
atacó la red de Target y robó los datos de 40 millones de nistración. Y para darles a esos equipos una oportunidad
suscriptores de tarjetas de débito y crédito, incluyendo in- de éxito, se pueden cambiar las normas para que todos
formación de 70 millones de cuentas adicionales con nú- se concentren en crear herramientas que sean fáciles de
meros de identificación personal. Esto no sucedió porque aprender y usar. Solo entonces, con una base de talento
las herramientas y los equipos de seguridad no estaban más amplia, con una buena comunicación y equipados
presentes y/o no funcionaran. Se detectó la violación y con productos más utilizables, tendremos una gran opor-
el sistema funcionó y alertó al equipo sobre el problema. tunidad de revertir el fallo sistémico de la seguridad.

72
CIBERSEGURIDAD

74
CIBERSEGURIDAD

LA CIBERSEGURIDAD
COMO COMPONENTE
CLAVE
DE LA SEGURIDAD
INTEGRAL
EN EMPRESAS
Carlos Navarro Sánchez
Ingeniero preventa Ciberseguridad de Empresas IMAN

La gran concurrencia de amenazas a las que las empresas están ex-


puestas hoy en día, hace primordial contar con un servicio integral
de seguridad que incluya los elementos necesarios para cubrir todos
los riesgos en todas sus formas y contenidos. Las empresas deben de
decidir cuáles son las medidas de seguridad a implementar y actual-
mente la ciberseguridad ha pasado a ser la principal medida donde
invertir. La ciberseguridad es un concepto que nace de la seguridad
informática tradicional, con una evolución continua de las diferentes
tecnologías de seguridad, para acometer la defensa del negocio co-
nectado y la continuidad empresarial.

Si nos centramos en la seguridad aplicada en la industria, hay que recor-


dar que los modelos tradicionales eran geográficamente locales y con
unos enfoques muy definidos a los negocios, máquinas y personas.

75
CIBERSEGURIDAD

Hoy en día debido a la evolución de la sociedad y los cam-


bios tecnológicos, acaecidos en las últimas décadas, nos
encontramos con modelos de negocios en que la tecnolo-
gía industrial (Operations Technology, OT) y la tecnología
de la información (Information Technology, IT) son el eje
central del cual dependen todos los procesos productivos
si no en una etapa en otra, además de ser palanca de
cambio en la mejora de los servicios y los productos.

Tanto las instalaciones, personas y los datos empresaria-


les, o cualquier activo de la organización, deben de ser
securizados acorde a la naturaleza de cada activo. Las
instalaciones necesitarán ser protegidas con servicios de
personal de seguridad. Los procesos industriales y logísti-
cos deberán protegerse con tecnología de seguridad y los
activos informáticos desde la ciberseguridad. Pero ya no
vale buscar soluciones por separado para cada uno de
los riesgos de la actividad empresarial, sino que hay que
buscar soluciones que converjan, lo que se denomina la
“Seguridad Integral”.

LOS PROCESOS INDUSTRIALES


Y LOGÍSTICOS DEBERÁN PROTEGERSE
CON TECNOLOGÍA DE SEGURIDAD
Y LOS ACTIVOS INFORMÁTICOS DESDE
LA CIBERSEGURIDAD a las necesidades de seguridad tanto de las instalaciones
físicas, de las tecnologías, de los puestos de trabajo, así
como de los entornos virtuales y de cloud.
La seguridad integral está compuesta por la seguridad
pasiva, física, tecnológica y ciberseguridad. Con la seguri- Vamos a ver un ejemplo claro de la seguridad en una in-
dad pasiva retrasaríamos el intento de intrusión o mitiga- dustria, con procesos de fabricación, almacenaje y logís-
ríamos la propagación de un incendio, mediante elemen- tico.
tos constructivos. Con la seguridad física, aseguraríamos
los perímetros y el interior de las instalaciones, de una ma- Un trabajador llega a la empresa. A la entrada, el vigilante
nera presencial con vigilantes de seguridad. A partir de la de seguridad le espera detrás de los tornos de entrada,
seguridad tecnológica detectaríamos indicios de materia- comprobará que el acceso está autorizado, pero él no va-
lización de riesgos, como el robo, el incendio o el fallo de lidará su identidad. En este proceso interviene la seguri-
un equipo. Con la ciberseguridad, protegemos los progra- dad física. ¿Y quién valida la identidad de la persona que
mas informáticos, los sistemas, los procesos y los datos, entra? El lector de huellas, o el lector de tarjetas, habrán
además de defendernos de ataques desde la red y de los validado esa identidad. Al mismo tiempo, el torno se abrirá
virus informáticos. Por tanto, el escenario de amenazas para que entre. Todo esto se puede apoyar mediante cá-
que nos encontramos demanda la convergencia de estas maras de seguridad en sus diferentes modalidades e in-
soluciones de seguridad, para mitigar los diferentes ries- cluso con video análisis. En este proceso ha intervenido la
gos en cada situación que puede encontrarse la empresa. seguridad tecnológica. La entrada de esta persona, que-
Esta convergencia debe concretarse en un sistema de se- dará registrada en el programa informático dentro de los
guridad integral con visión 360 grados, que dé soluciones servidores de la organización. En este proceso interviene

76
CIBERSEGURIDAD

la seguridad informática. Como estamos en la era donde segura y trazable, en la que los productos pasarán por
todo está conectado, el acceso a todas estas aplicaciones unos procesos de seguridad que identificarán en todo
y datos, debe de ser protegido mediante la ciberseguridad. momento donde están.
Una vez que el trabajador entre en las instalaciones se
sentará en su silla, encenderá el ordenador y se conecta-
rá al programa de registros de entrada. Como trabaja en LAS SOLUCIONES DE CONTROL POR NFC,
el departamento de recursos humanos, al momento y de
manera inmediata visualiza los trabajadores que hay en O CÓDIGOS QR, NOS ASEGURARÁ QUE
cada departamento y la hora de entrada de cada uno de UNA CARGA O DESCARGA SE REALIZA
ellos. Decide realizar un control identificando su acceso. DE UNA FORMA SEGURA Y TRAZABLE
Esta industria tiene diferentes procesos de producción,
controlados por PLC y sistemas Scada, que normalmente
no están diseñados para evitar un sabotaje. Ni siquiera Damos por sentado que en el acceso a las instalaciones
los procesos productivos están pensados para ejecutarse debe de haber una seguridad física, combinada con segu-
de una forma segura, desde un punto de vista técnico. Si- ridad tecnológica y todo ello con la escolta de la ciberse-
guiendo con el proceso de esta industria, analicemos aho- guridad. Pero no nos preocupamos si las máquinas que
ra la logística de los productos que tenemos que vender, participan en el proceso industrial son utilizadas indebida-
donde suele haber una alto número de incidencias. Las mente, se han cambiado sus parámetros accidentalmen-
soluciones de control por NFC, o códigos QR, nos asegu- te, han sido saboteadas o cambiadas al uso. ¿Se imagina
rará que una carga o descarga se realiza de una forma una característica clave del producto cambiada durante 8

77
CIBERSEGURIDAD

horas en una cadena de producción realizada a 20.000 diferentes procedimientos operativos y técnicos como el
km de distancia? ¿Y realizada a 1 metro de distancia? ¿Po- de copias de seguridad, control de acceso al CPD, con-
dría verificar en 5 minutos que ha pasado? Podemos pen- trol del flujo de la información, aplicación de normativa
sar que sí, con un sistema de procesos seguro, comple- como la RGPD, cifrado de las conexiones, eliminar el uso
mentado con analítica de vídeo y una política adecuada del papel por una cuestión medioambiental pero también
de ciberseguridad, a partir del cual se atajaría el proble- por un criterio de confidencialidad. Además, esta estrate-
ma de raíz, asegurando productos de mayor calidad, en- gia estará asentada en principios y buenas prácticas de
tregándolos en perfecto estado y a su debido tiempo. En normas y metodologías que garanticen que la actividad
este escenario, también deberíamos de contar con otra empresarial no sea afectada por un riesgo que no haya
variable que son los sabotajes intencionados realizados sido previamente analizado.
desde dentro de la empresa.

En ciberseguridad hablamos siempre de riesgos, tanto TODOS DEBERÍAN TENER FORMACIÓN


tangibles como intangibles. Los riesgos van desde una
lluvia que puede inundar nuestro CPD, donde tendremos EN CIBERSEGURIDAD QUE LES APORTE
los servidores informáticos, hasta el acceso por parte de CONOCIMIENTO, PERO SOBRETODO
personas no autorizadas. No sólo se trata de instalar dis- CONCIENCIACIÓN
positivos de seguridad para que nos defiendan ante una
intrusión, abarca todos los procesos de una organización.
Para asegurar un ordenador, podríamos aplicar una polí-
tica de seguridad para que el usuario no tenga permisos Con esto queremos poner ejemplo de que la seguridad
de administrador, que no pueda instalar ningún software de las empresas ya no se puede manejar desde una sola
ni pueda cambiar ninguna característica física después perspectiva. Es la “Seguridad Integral”, la combinación de
de ser entregado por el departamento de informática. En todas ellas inteligentemente, las que realizarán un traba-
cuanto a los servidores, aplicaremos una política de ac- jo excepcional. ¿Y qué nos depara el futuro? Por suerte
ceso restringido. Con estas dos políticas que ponemos ya está trabajando para nosotros la inteligencia artificial,
como ejemplo, no se puede garantizar la seguridad. que ya forma parte de las soluciones de ciberseguridad,
permitiendo nuevas prestaciones para protegernos, por lo
Hay que complementarlas con medidas de seguridad fí- que enriquecerá aún más si cabe el modelo a seguir de la
sica y electrónicas con el objetivo de controlar el acceso seguridad integral y será clave para el día a día de las em-
a la entrada de la organización, para que ordenadores y presas que opten por implementar medidas que converjan
servidores no puedan ser sustraídos sin autorización. Ade- y en la que la ciberseguridad sea el eje principal.
más como norma, los usuarios serán responsables de sus
equipos, del buen uso de ellos y que, ante cualquier cir-
cunstancia anómala, deberá de informar al departamen-
to de informática. Estas son solo una parte del conjunto
de políticas y normas que deben de llevarse a cabo en un
proyecto de ciberseguridad. En cuanto a la formación de
los trabajadores, hay que considerar todas las casuísticas
como la de un trabajador que está en la oficina hasta el
que está en la cadena de producción, con el ordenador
cambiando parámetros. Todos deberían tener formación
en ciberseguridad que les aporte conocimiento, pero so-
bretodo concienciación.

¿Cómo implementamos todas estas medidas? Lo reco-


mendable es establecer un plan estratégico, en lugar de
tomar medidas cortoplacistas, siguiendo una estrategia CARLOS NAVARRO SÁNCHEZ
de seguridad global para la empresa, donde se incluyan imancorp.es

78
ANTONIO CIMORRA

ANTONIO
CIMORRA
Director de Tecnologías de la Información y Agenda Digital
AMETIC

¿Cuáles son los principales riesgos a los que están expuestas las empresas en
materia de ciberseguridad?
Cada día las empresas trabajan en un entorno más digital, con más información
y medios electrónicos, pero habitualmente no se dotan de presupuesto suficiente
para afrontar los nuevos riesgos a los que se exponen. Un buen ejemplo de esta
situación podemos encontrarlo en las empresas que dedican presupuestos para
desplegar un canal de venta online, pero no se preocupan del fraude que le puede
llegar a través de éste o de cuidar que ese canal no sea vulnerable a ser utilizado
de maneras imprevistas.

80
ANTONIO CIMORRA

81
ANTONIO CIMORRA

¿Son conscientes las empresas de estos riesgos? ¿Qué actuaciones se llevan a cabo desde su organiza-
Cada vez son más conscientes. En el caso de grandes ción para mejorar la protección de las empresas en este
empresas, que son más proclives a recibir ciberataques ámbito?
a nivel mundial, son muy consecuentes con las amenazas Siendo muy conocedores de los riesgos en el contexto di-
tecnológicas. En el otro extremo, la mayor parte de las py- gital que nos ocupa, en AMETIC existe una Comisión de
mes, incluso siendo más vulnerables, no tienen esta per- Ciberseguridad en la que se dan cita los principales pro-
cepción y asumen más riesgos, en muchos casos sin ser veedores de servicios y soluciones de esta tecnología.
conscientes de ello.
En este contexto, venimos desarrollando acciones para
concienciar a la sociedad y a las organizaciones a nivel
LA MAYOR PARTE DE LAS PYMES, SIENDO de dirección sobre la importancia de gestionar los riesgos
informáticos y conformamos un canal colaborativo con los
MÁS VULNERABLES, NO TIENEN ESTA principales agentes en materia de ciberseguridad del pa-
PERCEPCIÓN Y ASUMEN MÁS RIESGOS norama nacional e internacional.

¿Cómo valora el nivel de protección, especialmente en- LA AMENAZA TECNOLÓGICA MÁS


tre las pymes, frente a los riesgos cibernéticos?
España está entre los países con mejor índice de ciberse- EXTENDIDA ES EL RANSOMWARE, ATAQUES C

POCO PREDECIBLES,
M
guridad, aunque todavía hay mucho trabajo que abordar,
y es necesario concienciar a la sociedad y a las organiza- Y DIFÍCILES DE ELIMINAR
Y

ciones, a nivel de dirección, sobre la importancia de ges- CM

tionar los riesgos informáticos. Así como propiciar que la MY

ciberseguridad y las empresas españolas sean tenidas en


CY
cuenta dentro de los proyectos estratégicos desde su ini- Parece que el ciberdelito va por delante de las empre-
cio y concepción, tanto a nivel local como europeo. sas ¿Cuáles son las “tendencias” en este ámbito a las CMY

que tendrán que enfrentarse las empresas en el futuro K

inmediato?
ESPAÑA ESTÁ ENTRE LOS PAÍSES CON La amenaza tecnológica más extendida actualmente es el
Ransomware. Este tipo de ciberataque fue mundialmente
MEJOR ÍNDICE DE CIBERSEGURIDAD, conocido por recientes casos de amplia afectación. Son
AUNQUE TODAVÍA HAY MUCHO TRABAJO ataques poco predecibles, y difíciles de eliminar, por eso
QUE ABORDAR es importante tener un protocolo interno de actuación en
ciberseguridad que permita prevenir estos desastres tec-
nológicos en las empresas.

¿Qué medidas debe adoptar una empresa para proteger-


se frente a estos riesgos?
En función de la actividad empresarial que se realice, las
compañías deben preservar sus dispositivos tecnológicos
de una forma u otra. Dentro de las diferentes opciones
existentes para protegerse frente a una amenaza tecnoló-
gica, destaca el Equipo de Respuesta ante Emergencias
Informáticas (CERT en sus siglas en inglés), un servicio de
monitorización de la seguridad y de respuesta ante inci-
dentes, ya que no hay ninguna medida de seguridad que
proteja al 100%, y siempre es necesaria una ayuda espe- ANTONIO CIMORRA
cializada cuando falla el 50% de la seguridad. ametic.es

82
DONDE LAS
BUENAS EMPRESAS
ENCUENTRAN
A LOS INVERSORES
ADECUADOS

powered by

Capitalizer facilita el acceso de las PYMEs a los


grandes inversores. Una solución innovadora
que le permitirá encontrar un socio de capital e
impulsar su empresa. Porque sus proyectos
merecen la atención de los inversores
adecuados.

capitalizer.eu
CIBERSEGURIDAD

84
CIBERSEGURIDAD

¿POR QUÉ SEGUIMOS


CAYENDO EN
LA TRAMPA DEL
PHISHING
BANCARIO?
PLAN Magazine

En lo que llevamos de año, al menos cuatro bancos españoles o, me-


jor dicho, sus clientes, han sido víctimas de ataques de phishing. El
Observatorio de Seguridad del Internauta ha detectado campañas
fraudulentas contra Bankia, BBVA, Caja Rural e ING. Tampoco han es-
capado compañías como PayPal, Endesa, Netflix o, incluso, Correos.

Los bancos se encuentran entre los principales afectados por los


ataques de phishing. De acuerdo con un informe elaborado por
Kaspersky Lab, en 2018 el 21,7% de los ataques tuvieron como ob-
jetivo los bancos. La cifra es alarmante, pero más aún si la juntamos
con esta otra: España es el octavo país del ranking mundial con más
usuarios afectados por esta práctica, concretamente el 20% de los
internautas ha sufrido ataques de phishing.

85
CIBERSEGURIDAD

La banca informa regularmente a sus clientes sobre cómo ASÍ PUEDES EVITAR UN ATAQUE
evitarlos. Algunas entidades, incluso, añaden un pie de
página en sus correos electrónicos en el que recuerdan DE ‘PHISHING’
que el banco nunca solicitará por e-mail contraseñas o
números secretos, recuerdan los expertos en finanzas La mayoría de los ataques de phishing, especialmente
personales de HelpMyCash.com. Sin embargo, seguimos los que están relacionados con los bancos, funcionan
cayendo en la trampa. ¿Por qué? igual. La víctima recibe una comunicación, por ejemplo un
e-mail o un SMS, de un remitente supuestamente oficial
Al parecer, sobrevaloramos nuestras capacidades para que le invita a pinchar sobre un enlace. Dicho link apunta,
distinguir los ataques de phishing. De acuerdo con un aparentemente, a la página web de la compañía, aunque
estudio realizado por la compañía Webroot, “casi cuatro en realidad se trata de una copia. Una vez en la web, el ob-
de cada cinco trabajadores de oficina (79%) piensan que jetivo es que la víctima introduzca sus datos, normalmente
pueden distinguir un mensaje de phishing de uno real”; datos financieros, o realice algún pago. Si caemos en la
sin embargo, parece que realmente desconocen todas las trampa, lo más probable es que perdamos dinero o nos
fuentes de las que pueden proceder este tipo de ataques. suplanten la identidad.

Lo cierto es que muchas veces el sentido común es nues-


CASI CUATRO DE CADA CINCO tra mejor herramienta para detectar ataques de phishing.
Tal y como explican desde el comparador de bancos
TRABAJADORES DE OFICINA (79%) HelpMyCash, son muchas las señales a las que podemos
PIENSAN QUE PUEDEN DISTINGUIR UN prestar atención para detectar un ataque y no caer en él.
MENSAJE DE PHISHING DE UNO REAL
En primer lugar, debemos verificar quién es el remiten-
te y si la cuenta desde la que envía la comunicación es
corporativa o usa un dominio gratuito, como gmail.com o
Según el estudio, en el que se han encuestado a 4.000 hotmail.com. Si se trata de este último caso, lo más pro-
oficinistas de Australia, Estados Unidos, Japón y el bable es que sea phishing.
Reino Unido, aunque el 81% de los participantes tenía
conocimiento de que los correos electrónicos son uno de En segundo lugar, debemos comprobar el tono del mensa-
los medios usados por los atacantes para abordar a sus je. Si el contenido es alarmista e inesperado y nos insta
víctimas, solo un 60% sabía que también lo son las redes a llevar a cabo una acción, por ejemplo introducir nues-
sociales. La cifra se reducía en el caso de los mensajes de tros datos bancarios en una web so pena de que nuestras
texto (59%), llamadas telefónicas (43%), notificaciones cuentas queden bloqueadas, es phishing.
de apps (40%), correo postal (34%) o chats (22%).
En tercer lugar, hay que prestar atención a la forma en la
“Estamos más acostumbrados a sufrir ataques de phishing que está escrito el mensaje. Si parece una mala traduc-
por e-mail, por lo que tenemos más capacidades para ción y está repleto de errores sintácticos y ortográficos,
detectarlos correos fraudulentos”, añaden fuentes de Hel- es phishing. No olvidemos que una comunicación oficial
pMyCash. Además, muchas campañas de prevención se de una compañía reconocida como un banco estará cui-
enfocan sobre este medio. dada. Asimismo, si el diseño gráfico del mensaje no se
corresponde con el estándar corporativo de la empresa,
debemos estar alertas. Y lo más importante, debemos
EL PROBLEMA ES QUE LOS ATAQUES SON comprobar que la URL a la que apunta el mensaje rediri-
ge a una página web oficial y no a una que intenta suplan-
CADA VEZ MÁS SOFISTICADOS Y PUEDEN tarla. Antes de hacer clic, podemos ubicar el cursor del
APARECER POR CUALQUIER VÍA, COMO ratón sobre el hipervínculo y comprobar a dónde apunta.
LOS MENSAJES DE TEXTO O LAS RRSS Hay que estar atentos, porque en muchos casos la dife-
rencia con la web original es de solo un punto o una letra.

86
CIBERSEGURIDAD

Si llegamos a pinchar, antes de dar ningún dato personal, destino al que supuestamente deben dirigir, únicamente
debemos comprobar que la web está totalmente operati- el 43% de los encuestados para elaborar el estudio de We-
va y que realmente es la original, además de verificar que broot verifica que los links coincidan con su destino antes
cuenta con los estándares de seguridad esperados (certi- de pinchar sobre ellos, “a pesar de que hacer clic en en-
ficado válido, protocolo seguro de transferencia de datos, laces maliciosos es una de las principales formas en que
etc.). Y no olvidemos que nuestro banco nunca nos pedirá un simple intento de phishing puede convertirse en una
todos nuestros datos de golpe, como, por ejemplo, todas infección importante”, afirma el estudio.
las posiciones de una tarjeta de coordenadas.
Asimismo, solo el 52% de los encuestados verifica la gramá-
tica del mensaje, únicamente el 38% comprueba su tono
SEGUIMOS SIN ESTAR ALERTAS y tan solo el 44% verifica la firma original del remitente.

A pesar de que uno de los métodos más sencillos para ve-


rificar un ataque de phishing es comprobar si los enlaces PLAN MAGAZINE
que acompañan a los mensajes se corresponden con el planmagazine.es

87
CIBERSEGURIDAD

88
CIBERSEGURIDAD

EL CRYPTOJACKING
SIGUE SIENDO
LA PRINCIPAL
AMENAZA
Check Point Software Technologies Ltd.

Este estudio pone de manifiesto las principales tácticas que los ciber-
criminales están empleando para atacar a las empresas de cualquier
sector en todo el mundo. Asimismo, también ofrece a los ejecutivos
y profesionales de seguridad la información que necesitan para pro-
teger sus compañías de las amenazas y ciberataques de Gen 5 de la
actualidad.

EN 2019 EL 38% DE LAS EMPRESAS DE TODO EL


MUNDO SE HAN VISTO AFECTADAS EL INFORME
DESTACA TAMBIÉN QUE LOS ATAQUES QUE
EMPLEAN BOTNETS CRECIERON MÁS DEL 50% EN
COMPARACIÓN CON LOS DATOS DE 2018

El Informe de Ciberseguridad 2020 de Check Point revela los principa-


les vectores de ataque y técnicas identificadas por los expertos de la
compañía durante el 2019, entre las cuales destacan:

89
CIBERSEGURIDAD

LOS CRYPTOJACKERS SIGUEN LOS EJÉRCITOS DE BOTNETS AUMENTAN


DOMINANDO EL PANORAMA DE TAMAÑO
DEL MALWARE
El 28% de las organizaciones de todo el mundo se vieron
afectadas por la actividad de las botnets, lo que supone
A pesar de que el uso del cryptojaking disminuyó durante un aumento de más del 50% en comparación con el año
2019, debido a la caída del valor de las criptodivisas y al anterior. Emotet fue el malware más utilizado, principal-
cierre de la operación Coinhive en marzo, el 38% de las mente debido a su versatilidad para habilitar servicios de
empresas de todo el mundo se vieron afectadas por este distribución de malware y spam. Otras acciones llevadas
tipo de ciberamenaza a lo largo de 2019, frente al 37% en a cabo por botnets, como las campañas de extorsión se-
2018. Esto se debe a que el uso de cryptojackers sigue xual a través de correo electrónico y los ataques DDoS,
siendo una actividad de bajo riesgo, pero que ofrece gran- también aumentaron considerablemente en 2019.
des beneficios económicos para los cibercriminales.

EL RANSOMWARE DIRIGIDO GOLPEA


EL USO DE CRYPTOJACKERS SIGUE
CON FUERZA
SIENDO UNA ACTIVIDAD DE BAJO
RIESGO, PERO QUE OFRECE GRANDES Aunque el número de empresas que se han visto afecta-
BENEFICIOS ECONÓMICOS PARA LOS das es relativamente bajo, la gravedad del ataque es mu-
cho mayor, tal y como se ha visto en los dañinos ataques
CIBERCRIMINALES de 2019 contra los ayuntamientos de algunas ciudades
de EE.UU.

90
CIBERSEGURIDAD

Los criminales están eligiendo cuidadosamente sus ob- indica Lotem Finkelsteen, Major Intelligence Officer de
jetivos, con el objetivo de obtener los máximos ingresos Check Point Software Technologies. “Incluso si una orga-
posibles. nización está equipada con los productos de protección
más completos y de última generación, el riesgo de sufrir
alguna brecha de seguridad no desaparece por completo.
DISMINUCIÓN DE LOS ATAQUES A Más allá de la detección y la reparación, las organizacio-
nes necesitan adoptar una estrategia de ciberseguridad
DISPOSITIVOS MÓVILES basada en la proactividad para adelantarse así a los ciber-
delincuentes y evitar los ataques. Además, una detección
A lo largo de 2019, el 27% de las compañías de todo el y bloqueo automático del ataque en una etapa temprana
mundo sufrieron ciberataques en los que se comprome- pueden prevenir el daño. Nuestro Informe de Seguridad
tía la seguridad de los dispositivos móviles, mientras que 2020 explica todo aquello que las organizaciones deben
en 2018 ese porcentaje alcanzó el 33%. Aunque el pano- tener en cuenta y cómo pueden ganar la guerra contra los
rama de las ciberataques contra los dispositivos móviles ciberataques mediante las mejores prácticas clave”, aña-
está madurando, las organizaciones son cada vez más de Finkelsteen.
conscientes de este tipo de amenazas y están desplegan-
do más niveles de seguridad.
LAS ORGANIZACIONES NECESITAN
ADOPTAR UNA ESTRATEGIA
EL AÑO EN QUE LOS ATAQUES MAGECART DE CIBERSEGURIDAD BASADA
SE CONVIRTIERON EN UNA EPIDEMIA EN LA PROACTIVIDAD PARA ADELANTARSE
Estos ataques, que inyectan código malicioso en los sitios ASÍ A LOS CIBERDELINCUENTES
web de comercio electrónico para robar los datos de pago Y EVITAR LOS ATAQUES
de los clientes, afectaron a cientos de páginas web en to-
das las plataformas en 2019, desde cadenas hoteleras
hasta gigantes del comercio y PYMES.
Security Report 2020 de Check Point se basa en datos
de ThreatCloud Intelligence de Check Point, la mayor red
de colaboración para la lucha contra la ciberdelincuen-
AUMENTO DE LOS ATAQUES A LA NUBE cia que proporciona datos sobre amenazas y tendencias
de ataques de una red global de sensores de amenazas.
Actualmente, más del 90% de las empresas utilizan ser- También toma como referencia las investigaciones de
vicios en la nube y, sin embargo, el 67% de los equipos Check Point durante los últimos 12 meses y una nueva
de seguridad se quejan de la falta de visibilidad de su encuesta de profesionales de TI y directivos que evalúa su
infraestructura cloud, así como de la seguridad y cumpli- preparación para las amenazas actuales. El informe exa-
miento de las normas. La magnitud de los ataques e in- mina las últimas amenazas emergentes contra diversos
fracciones en la nube ha seguido creciendo en el 2019. sectores de la industria y ofrece una visión general de las
De hecho, la mala configuración de los recursos se man- tendencias observadas en el panorama del malware, en
tiene como la principal causa de los ataques a la nube, los nuevos vectores de violación de datos y en los ciberata-
pero ahora también se produce un aumento en el un nú- ques de los Estados nacionales. También incluye análisis
mero de ataques dirigidos directamente a los proveedo- de expertos de los líderes de opinión de Check Point, para
res de servicios en la nube. ayudar a las organizaciones a comprender y prepararse
para el complejo panorama de amenazas de la actualidad.
“El año 2019 dibujó un complejo panorama de amena-
zas en el que los países, las organizaciones de ciberdelin-
cuencia y los contratistas privados aceleraron la carrera
armamentística cibernética, elevando así su potencial a CHECK POINT
un ritmo alarmante, algo que continuará durante el 2020”, checkpoint.com

91
CIBERSEGURIDAD

92
CIBERSEGURIDAD

LAS 4 BRECHAS
DE SEGURIDAD
DEL LECTOR DE
HUELLAS Y EL
RECONOCIMIENTO
FACIAL
PLAN Magazine

Desde que en 2013 Apple anunció que su nuevo iPhone contaría con
un sensor para huellas digitales que permitiría desbloquear el teléfo-
no, los usos de la biometría para identificar a personas en entornos
digitales se han multiplicado.

La identificación por medio de características físicas del usuario que


facilitan las tecnologías biométricas (ya sea mediante la huella dac-
tilar, el iris, el reconocimiento facial o el reconocimiento de voz) ha
dado pie a un sector de negocio en plena expansión. Así, el mercado
global de la biometría tiene una tasa de crecimiento anual compuesto
(CAGR, en la sigla en inglés) del 22,9 % y se calcula que entre 2016 y
2025 generará unos ingresos de 70.000 millones de dólares, según
un informe de la Comisión Europea.

93
CIBERSEGURIDAD

Entre los métodos de identificación biométrica, el acceso


con huella dactilar es el más utilizado. «Es un sistema eco-
nómico, fácil de usar, con una fiabilidad bastante buena,
aunque no es del 100 %, y esto hace que cada vez esté
más implantado», explica Helena Rifà, directora del más-
ter universitario de Seguridad de las Tecnologías de la In-
formación y las Comunicaciones de la Universitat Oberta
de Catalunya (UOC).

De hecho, según un informe de Yóle Development que


analizaba el mercado de los sensores biométricos, en
2016 el 91 % de los ingresos del sector provenían de tec-
nologías vinculadas a la huella digital. Además, es el me-
jor aceptado entre los usuarios, según una encuesta de
2019 de PYMNTS entre consumidores estadounidenses,
que afirmaba que tres cuartas partes de ellos estaban
satisfechos con la autenticación con huella dactilar. Entre
sus limitaciones, está el hecho de que «si la mano está un
poco húmeda ya no funciona bien», explica Jordi Serra,
profesor de los Estudios de Informática, Multimedia y Te-
lecomunicación de la UOC.

Por otra parte, el reconocimiento facial ha ido ganando


peso en el sector. Apple en la actualidad basa en él la au-
tenticación de sus teléfonos y también se ha implantado
en el acceso a Windows. Incluso se aplica en entornos pre-
senciales, como las pruebas piloto que se realizan en los
autobuses de Madrid y en aeropuertos como el de Bara-
jas. De hecho, está previsto que a finales de 2021 el 71 %
de los aeropuertos incorporen estas tecnologías. «Es más
seguro utilizar el reconocimiento facial en entornos contro-
lados, como un autobús o un restaurante, puesto que se
puede comprobar que en ese momento no se suplanta la
identidad de otra persona», considera Rifà, que es investi-
gadora del grupo de investigación KISON de la UOC.

De hecho, los expertos en ciberseguridad ven la biome-


tría como «una tecnología de identificación muy útil como
complemento de los métodos actuales basados en las
contraseñas, porque todavía tiene importantes retos de
seguridad y privacidad», según Rifà.

Serra, que también es investigador del grupo de investi-


gación KISON de la UOC, coincide en que «la biometría,
como cualquier otro método de autenticación, por sí sola
no es del todo segura». Serra recuerda que un acceso to-
talmente seguro requiere que el sistema te pida tres tipos
de factores de autenticación: «Algo que tú eres, algo que
posees y algo que sabes; por ejemplo, que reconozca un

94
CIBERSEGURIDAD

rasgo físico tuyo, te pida un código que has recibido en el


móvil y te pregunte la contraseña», explica el profesor.

«Muchos sistemas de seguridad, como los de los bancos,


te piden dos factores, como por ejemplo la contraseña y
un código que has recibido. En la actualidad, la contra-
seña se está sustituyendo por factores biométricos en
muchos casos, porque es más cómodo para el usuario»,
explica Serra. De este modo, los usuarios evitan el fenó-
meno conocido como «fatiga de la contraseña». «Identifi-
carse mostrando el dedo o el rostro es más usable, y esto
se está priorizando por encima de la privacidad y la segu-
ridad», considera Serra.

Según los expertos, los principales retos de seguridad y


privacidad de la biometría son los siguientes:

1. LA BIOMETRÍA NO ES UN SISTEMA
INEQUÍVOCO
A diferencia de la identificación con contraseña, pueden
existir casos dudosos: «Una clave o la sabes o no la sa-
bes, no existe duda alguna. Sin embargo, al crear un pa-
trón de una huella digital o de los rasgos de un rostro,
puede que la imagen captada coincida en gran medida
con ellos, pero no sea del todo idéntica», explica Rifà. En
estos casos hay que poner un umbral y tanto si se es muy
estricto en el nivel de coincidencia como si no, se pueden
generar problemas. «Si se es muy estricto, el sistema pue-
de descartar a personas que deberían estar validadas y
ser poco efectivo, pero si se es poco estricto, se puede
validar a personas no autorizadas», explica la profesora.
Además, pueden existir personas con rasgos físicos muy
similares: «No está comprobado científicamente que las
huellas dactilares sean únicas, y en el caso del rostro hay
casos complicados, como el de los gemelos», considera el
profesor Serra.

2. LOS DATOS BIOMÉTRICOS ESTÁN MÁS


EXPUESTOS
Los rasgos de nuestro rostro son fáciles de conocer, ya
que nos movemos por el espacio público y compartimos
nuestras fotografías en espacios digitales. Incluso la hue-
lla digital se podría obtener a partir de imágenes, tal como

95
CIBERSEGURIDAD

ya consiguieron los piratas informáticos (hackers) de


Chaos Computer en 2013 cuando crearon una copia de la
huella dactilar de Ursula von der Leyen, que era ministra
de Defensa de Alemania. «Obtener la imagen es relativa-
mente sencillo, pero convertirla en un molde en 3D que
funcione sobre el sensor ya no lo es tanto», aclara Serra.

Además, los sistemas biométricos de reconocimiento es-


tán evolucionando: «Actualmente, muchos sistemas de
reconocimiento facial ya no te validan si no estás con los
ojos abiertos y si no detectan un cierto movimiento, para
evitar que pueda haber un fraude con una fotografía o
una máscara facial», explica Serra. Otro ámbito en el que
se está avanzando es lograr que el sistema pueda tener
en cuenta los cambios faciales que son consecuencia del
envejecimiento del usuario: «Las simulaciones que se ha-
cen las personas del aspecto que tendrán cuando sean
ancianos sirven para entrenar estos sistemas de reconoci-
miento», afirma el profesor.

3. LOS RASGOS FÍSICOS IDENTIFICATIVOS que nos pudieran trazar los movimientos, sería necesario,
NO PUEDEN MODIFICARSE además del dato biométrico, que las otras bases de da-
tos fueran accesibles a todos y solo pidieran este factor
Nuestra huella dactilar o nuestro iris tienen unas caracte- de autenticación», concreta Serra, que considera que «las
rísticas permanentes, que no podemos cambiar. «Esto re- cámaras que registran imágenes en la vía pública o la co-
presenta un problema si alguien consigue nuestros datos nexión GPS de los móviles son una vía mucho más directa
biométricos para hacer un uso fraudulento de ellos, pues- de registro de nuestros movimientos».
to que, a diferencia de la contraseña, si un atacante pue-
de conseguirlos, después no podemos modificarlos», ex- Por lo tanto, a pesar del aumento exponencial del uso
plica Rifà. «Los sistemas deberían prever la opción de que de estas tecnologías para autenticar a los usuarios en
podamos revocar, por ejemplo, una huella, de forma que entornos digitales, «para garantizar la seguridad total y
si ha existido un problema de seguridad podamos activar preservar la privacidad del usuario, el uso de tecnologías
el sistema con la imagen de otro dedo», recomienda Serra. biométricas en la identificación y validación de las perso-
nas en entornos digitales debe investigarse más y mejor»,
considera Rifà.

4. EL USO DE DATOS BIOMÉTRICOS El uso simultáneo de más de un factor de autenticación


es la mejor manera de garantizar nuestra seguridad. «En
PUEDE GENERAR PROBLEMAS DE muchos sistemas que solo piden un factor de autentica-
PRIVACIDAD POR LA TRAZABILIDAD ción, el usuario puede activar otro, como que se reciba un
código de validación en el teléfono», recuerda Serra.

«Si se extiende el uso de los datos biométricos y, por


ejemplo, usas tu huella en muchos entornos, una persona
con la plantilla de esta huella podría hacer consultas en
varias bases de datos donde se haya registrado y saber PLAN MAGAZINE
dónde hemos estado», considera Rifà. Sin embargo, «para planmagazine.es

96
javieririondo.es A la venta en:
CIBERSEGURIDAD

98
CIBERSEGURIDAD

CIBERPROTECCIÓN,
MÁS ALLÁ
DE LOS ATAQUES
AXA | Publireportaje

En un mundo conectado la ciberseguridad es pieza clave. Aparecen


nuevos riesgos y amenazas que impactan en el día a día provocando
inconvenientes muy incómodos: denegación de servicio de la red, pa-
ralización de la actividad del negocio, daños en los equipos informáti-
cos, pérdida de reputación frente a clientes, robo de datos, suplanta-
ción de identidad, etc…

En materia cibernética, el primer punto a interiorizar es que todos, ab-


solutamente todos, somos cibernautas y, por tanto, tenemos riesgo
de ser atacados. Basta con conectar un dispositivo a una red wifi, así
de sencillo. El segundo aspecto a considerar, es que ya no diferencia-
mos a las empresas entre las que han sido ciber atacadas y las que lo
van a ser, sino que la diferencia radica en la capacidad de actuación
que tengan ante esa situación. De este modo cabe hablar de negocios
y empresas que ante un ciberataque, no hacen nada frente a las que
cuentan con mecanismos de prevención y de defensa a priori.

Desarrollar una cultura de ciberseguridad es clave dado que el usuario


es el eslabón más importante en la cadena de seguridad. En un entor-
no como el actual, donde los modelos de negocio pivotan sobre la digi-
talización no podemos perder de vista que la transformación empieza

99
CIBERSEGURIDAD

en las personas; la tecnología es solo un medio, un faci- haber sufrido el ataque), así como frente a las reclamacio-
litador. Esto nos da perspectiva de la importancia de la nes de terceros que les lleguen.
formación en las empresas en materia de ciberseguridad.
Un seguro, que es mucho más que un seguro ofreciendo,
por ejemplo, un análisis personalizado para que cada
DESARROLLAR UNA CULTURA Pyme conozca su nivel de madurez en cuanto a la ciberse-
guridad se refiere, asistencia permanente de expertos (en
DE CIBERSEGURIDAD ES CLAVE DADO caso de una brecha de seguridad, el tiempo es oro) para
QUE EL USUARIO ES EL ESLABÓN MÁS saber cómo actuar en cada momento, servicio forense,
IMPORTANTE EN LA CADENA restauración de sistemas, etc; y sobre todo, formación y
asesoramiento continuo a los empleados y usuarios. Una
DE SEGURIDAD formación para proteger la información de la empresa, la
de sus clientes y proveedores.

El entorno actual, con ataques crecientes, normativa más Necesariamente el riesgo cibernético se ha de gestionar
exigente en materia de protección de datos, incremento de forma proactiva y de la mano de un asesor experto.
de la digitalización, etc…nos obliga a pensar en la protec- Es fundamental que las pymes, conscientes de lo que se
ción y en los seguros asociados a ello. Si no podemos evi- juegan (paralización de actividad, reclamaciones, caída de
tar ser atacados al menos sí podemos reducir el impacto reputación, etc…) inviertan adecuadamente fomentando
y estar preparados. En ese sentido, el seguro de ciber de una cultura de ciberseguridad y no confíen su cibersegu-
AXA sirve como primera barrera de prevención e instru- ridad a la contratación de un servicio de asistencia infor-
mento de protección en caso de estar impactado por una mática sin más.
brecha de seguridad.

Con este seguro las pymes cuentan con cobertura frente


a los perjuicios económicos que tengan que afrontar tras
un ciberataque (según Kaspersky Lab, el 60% de las py- AXA
mes atacadas se van obligas a cerrar 6 meses después de axa.es

100
Ciber Protección

Ciberseguridad
Protección
Tranquilidad
Solvencia

Solicita más información llamando al 91 111 95 44, en nuestras oficinas o en www.axa.es


RUBÉN MARTÍ

RUBÉN
MARTÍ
Lead of Cibersecurity Consultant
IZERTIS

Izertis es una de las principales compañías tecnológicas españolas y forma par-


te de CEPYME500 2019, que la identifica como una de las empresas líderes en
crecimiento empresarial, tanto por sus resultados como su capacidad para ge-
nerar valor añadido, empleo, innovación y proyección internacional. ¿Qué ofrece
Izertis en materia de ciberseguridad?
En Izertis nos destacamos por una visión holística, interdisciplinar e íntimamente
ligada a las unidades de negocio de nuestros clientes. Nosotros entendemos que la
ciberseguridad debe ser considerada como un proceso empresarial más, alineado
con objetivos estratégicos de crecimiento, sostenibilidad, o calidad, entre otros ele-
mentos. Pero, fundamentalmente, ayudamos a empoderar a aquellos profesionales
que hayan sido designados para lidiar con la seguridad en las empresas. Les facilita-
mos una metodología precisa de análisis de riesgos e impacto en el negocio, un con-
junto de servicios dinámico y adaptativo a sus necesidades y, por supuesto, el stock
tecnológico más adecuado para satisfacer la ratio coste-riesgo aceptable para la im-
plementación de las defensas de sus activos digitales y, en definitiva, de su negocio.

102
RUBÉN MARTÍ

103
RUBÉN MARTÍ

El entorno de hiperconectividad en el que trabajamos, nización. Por eso es crítico contar con un proveedor que
supone un aumento del riesgo para todo tipo de orga- transforme esa complejidad en una estrategia adaptada
nizaciones. ¿A qué retos se enfrentan las pymes en el de cada negocio en objetivos y costes, un plan de implan-
contexto de la ciberseguridad? tación eficiente y, muy importante, la capacidad de asumir
Actualmente el principal desafío al que se enfrenta la parte de esa estrategia a partir de servicios gestionados.
pyme es que ya no es posible mantener su negocio sin tec-
nología. Es necesario aceptar esta realidad y, por tanto, no
se puede renunciar o eludir la gestión del riesgo inherente LA CIBERSEGURIDAD DEPENDE DE TRES
al propio negocio.
EJES BÁSICOS: TECNOLOGÍA, PROCESOS
Nos enfrentamos a entornos cambiantes, a flujos de datos Y PERSONAS, Y SON ÉSTAS, LAS
cada vez más deslocalizados, a la necesidad de presen- PERSONAS, EL ESLABÓN MÁS DÉBIL
tar y entregar información a cualquier parte del mundo y
a cualquier hora, al Internet de las cosas, etc. Todo esto
hace imposible imaginar “silos” de información blindados.
Las trincheras dejan de tener sentido y necesitamos defi- Desde Izertis afirman que el mayor vector de ataque es
nir entornos de ciberseguridad fluidos, donde el epicentro el usuario interno, por lo que es necesaria una concien-
pasa a ser el dato en cualquiera de sus estados. cia en materia de seguridad y buenas prácticas dentro
de las organizaciones (hacking social). ¿Cómo puede
mejorarse este aspecto? ¿Es el BYOD una buena prácti-
Sobre su experiencia, ¿qué elementos clave en materia ca para las empresas, más allá del ahorro de costes en
de ciberseguridad deben implementar las pymes? material tecnológico?
La ciberseguridad depende de tres ejes básicos: tecno- Tal y como mencionábamos antes, el usuario es el eslabón
logía, procesos y personas, y son éstas, las personas, el más débil de la cadena de ciberseguridad. Independien-
eslabón más débil. Siempre es así. Lo primero que deben temente del tipo de dispositivos utilizados, ya sean BYOD
afrontar las empresas es incrementar y cuidar la concien- o propiedad de la empresa, las acciones de conciencia-
ciación y, solo entonces, las políticas, normas y procedi- ción son básicas y estrictamente necesarias. El usuario
mientos serán eficaces y eficientes. Las pymes, todas, de- debe aprender a dudar sin perder la confianza en su
ben asumir que existen ciberriesgos que les afectan, que entorno, cuestionando cualquier uso que entienda como
interfieren en su negocio, y que es necesario implementar fuera de lo normal. Ahora bien, la empresa debe ofrecer
una estrategia de seguridad apropiada y proporcionada al todos aquellos controles lógicos necesarios para blindar
riesgo, en esos tres ejes. y cegar posibles vectores de ataque social. En definitiva,
concienciación, procesos y tecnología de defensa deben
solaparse siempre.
La ciberseguridad no sólo implica el despliegue tecnoló-
gico sino un enfoque que incluya prevención, análisis y En Izertis hablan de la seguridad preventiva, reactiva y
evaluación de la situación. ¿Hace falta más formación e evolutiva. ¿Qué significa? ¿Cómo se consigue?
información sobre el alcance de la ciberseguridad den- Lo comentábamos anteriormente, y se puede resumir en
tro de las empresas? ¿Se pueden implementar políticas un solo concepto: Seguridad adaptativa. Esta premisa
o metodologías que cubran y mejoren la prevención, el permite ejercer esfuerzos antes, durante y después de un
análisis y la evaluación? incidente de seguridad. En Izertis sabemos que para la im-
Totalmente, y nuestra propuesta es mediante marcos de plementación de esta estrategia son necesarios muchos
trabajo; estándares en ciberseguridad hay muchos y todos recursos. Por esa razón, hemos diseñado un modelo de
ellos son útiles. Lo ideal es adoptar uno o varios de ellos, servicios gestionados para la seguridad. Aprovechamos
pero es realmente complejo alinearlos con el negocio y capacidad, experiencia y tecnología y, gracias al principio
con el cumplimiento legal necesario, que cada vez es más de economía de escala, podemos hacerla llegar a la pyme
exigente. Dependerá de la sensibilidad de los datos de que con un coste contenido y adaptado a cada cliente. Actual-
dispongamos, de su exposición, del marco regulatorio apli- mente, más de 250 empresas ya cuentan con este tipo
cable. En definitiva, del negocio particular de cada orga- de servicio.

104
RUBÉN MARTÍ

Hablemos de talento. En Izertis afirman que el principal ¿Cuáles son los retos a corto plazo a los que se enfrenta
éxito de la compañía se centra en las personas que tra- una empresa como Izertis, que está permanentemente
bajan en ella, no solo por su calidad profesional, sino por a la vanguardia de la tecnología?
la motivación. ¿Dónde se busca el talento actualmente? El próximo, de hecho, el actual desafío que estamos afron-
¿Qué perfiles son los más demandados en materia de tando es la transición de conceptos antiguos como el de
ciberseguridad? ¿Tienen problemas para atraer talento? ‘transformación digital’ hacia nuevos horizontes como
No hay mejor compañía dónde desarrollar una carrera pueden ser, y así lo concebimos en Izertis, la ‘metamor-
profesional que en Izertis. Lo creemos firmemente y cada fosis digital’. Llegados a este punto, podemos afirmar que
día Izertis nos los demuestra. Ya somos más de 800 per- ya no transformamos para llegar a definir nuevos procesos
sonas, pero conservamos el espíritu de la start up que digitales de negocio. La visión y filosofía de Izertis se basa
fuimos y que, según nuestro presidente, Pablo Martín, en ayudar a nuestros clientes en la definición de nuevos
‘seguimos siendo’. Somos ágiles, dinámicos y cuidamos a paradigmas tecnológicos, disruptivos y que redefinan la
nuestra gente. De hecho, Izertis es la suma de los grandes entrega de servicios, el tratamiento de la información y
profesionales que la forman. Todo esto se percibe desde el su proceso para permitir que la tecnología pase a ser el
exterior y debemos decir que facilita muchísimo la busca y centro de la visión empresarial. Y para ello la ciberseguri-
retención del talento. dad es esencial.

Es esta línea los perfiles más demandados en la actuali-


dad son, por un lado, los que se circunscriben al ámbito
de la consultoría de negocio aplicada a ciber y a auditoria
y por otro lado, perfiles mucho más técnicos, centrados en RUBÉN MARTÍ
operación, análisis forense y hacking ético. izertis.com

105
CIBERSEGURIDAD

106
CIBERSEGURIDAD

SEGURIDAD
EN SITUACIONES
CRÍTICAS,
LA EVACUACIÓN
ADAPTATIVA
COMO SOLUCIÓN
Jorge Roy
Responsable de línea de negocio Safety en Stonex

El redireccionamiento de personas en edificios sensibles a distintos


tipos de ataques es clave en el desarrollo de un plan de seguridad. La
búsqueda de soluciones que permitan maximizar, a través de la tecno-
logía, la respuesta en situaciones de crisis ha cobrado importancia en
los últimos años. El concepto de evacuación adaptativa permite redi-
rigir, despejar zonas o restringir el paso garantizando la seguridad de
los usuarios. Soluciones como las que ofrece Stonex, con el sistema
de señalización con Evacuación Adaptativa de Eaton, facilita la conec-
tividad e integración con otros sistemas, así como un nuevo concepto
en seguridad.

107
CIBERSEGURIDAD

Lograr gestionar el flujo de personas es un factor determi-


nante para mantener el control de la situación en casos
de ataque y hoy en día contamos con equipos que, inte-
grados dentro de un sistema de seguridad, pueden per-
mitirnos redireccionar o bloquear el paso de personas a
determinados espacios.

Cuando se trata de lugares en los que un fallo en el siste-


ma puede provocar estragos, principalmente humanos, la
posibilidad de dirigir el flujo de personas es una oportuni-
dad para tomar el control de la situación y reducir riesgos.

Esencialmente, un ataque puede suponer una amena-


za para la vida en las llamadas infraestructuras críticas
como son aeropuertos, puertos, centros de industria quí-
mica e investigación, centros de telecomunicaciones o de
producción de energía como centrales eléctricas.

EL CONCEPTO DE EVACUACIÓN
ADAPTATIVA PERMITE REDIRIGIR,
DESPEJAR ZONAS O RESTRINGIR
EL PASO GARANTIZANDO
LA SEGURIDAD DE LOS USUARIOS

Allí donde una intrusión en el sistema pueda afectar a los


protocolos de funcionamiento operativos clave, la Evacua-
ción Adaptativa nos permitirá, una vez hayamos previsto
estas posibilidades, activar de forma automática o manual
un plan de evacuación de los usuarios de forma segura
bien hacia el exterior o bien hacia un lugar libre de peligro.

En 2010 un ciberataque a la planta nuclear - Infraes-


tructura crítica - de Natanz (Irán) provocó que un total de
mil motores de centrifugado para el enriquecimiento del
uranio perdieran el control. Cuando los investigadores es-
tudiaron la naturaleza del gusano ‘Stuxnet’ determinaron
que este había sido creado con intenciones bélicas.

En estas situaciones podemos integrar la Evacuación


Adaptativa en el sistema de seguridad del edificio. De
modo que, si se detecta un ataque, inmediatamente se
proceda a la evacuación de aquellas zonas donde se re-
quiera junto con el bloqueo del acceso a las áreas de ries-
go; y facilitando al personal correspondiente la gestión del
peligro sin interferencias.

108
CIBERSEGURIDAD

Una mayor integración entre sistemas de seguridad pue-


de facilitar la resolución de forma eficaz de situaciones de
crisis. Cuando pensamos en espacios especialmente sen-
sibles, la rápida reacción humana y el uso de herramientas
que nos permitan garantizar la integridad de todas las per-
sonas que se encuentran en el edificio, es una forma inte-
ligente de minimizar las consecuencias de una amenaza.

La evacuación adaptativa desarrollada por EATON se pue-


de integrar con otras tecnologías como Circuitos Cerrados
de Televisión (CCTV), reconocimiento por biometría, siste-
mas anti-intrusión, alarmas y megafonía.

Así mismo, en aquellos espacios donde haya presencia de


figuras sensibles o críticas, este sistema ofrece una senci-
lla integración con otras soluciones de seguridad. Ponga-
mos por ejemplo un ataque a una embajada teniendo en
cuenta sucesos recientes como el asalto a la embajada
de EE.UU. en Bagdad o a la embajada de Corea del Norte
en Madrid.

¿Qué pasaría si el edificio consular tuviese un sistema de


Evacuación Adaptativa integrado con los sistemas de se-
guridad? Por medio de un sistema de biometría o anti-in-
trusión se podría detectar a un atacante o persona sospe-
chosa accediendo al edificio. Automáticamente el sistema
o bien activa una ruta segura para el personal y usuarios
del edificio, o bien las mantiene en sus estancias hasta
que el individuo sea identificado o reducido.

LA TECNOLOGÍA NOS HA BRINDADO


LA OPORTUNIDAD DE CONTAR
CON MAYORES GARANTÍAS EN CUANTO
A SEGURIDAD, PERO TAMBIÉN HA DEJADO
AL DESCUBIERTO NUEVAS FALLAS

Gracias a la conectividad entre dispositivos y sistemas


tecnológicos, hoy conocemos un mundo en el que la se-
guridad se ha convertido en un punto clave a tener en
cuenta tanto para grandes como pequeñas o medianas
empresas. La tecnología nos ha brindado la oportunidad
de contar con mayores garantías en cuanto a seguridad,
pero también ha dejado al descubierto nuevas fallas en
las que un atacante puede encontrar la oportunidad para
causar daños materiales e incluso humanos.

109
CIBERSEGURIDAD

Entre las soluciones que existen en el mercado, Stonex


ofrece una solución desarrollada por su partner EATON.
Un novedoso sistema de Evacuación Adaptativa que po-
demos programar previamente con diferentes escenarios
dependiendo del lugar en el que se encuentre la amenaza.
Se trata de la luminaria Matrix CGLine+ que conduce a
los ocupantes de un edificio hacia una salida sin riesgo o
bloquea un camino con un aspa en color rojo para mante-
nerlos en una zona segura.

El sistema de Evacuación Adaptativa para el redirecciona-


miento de personas proporciona una mayor seguridad ya
que puede funcionar tanto de forma remota (online) como
de forma local (offline) activándose el protocolo de seguri-
dad de forma manual. Esta tecnología es la única de este
tipo patentada y fabricada siempre en línea con la regula-
ción (EN 1838) y con certificado ENEC. dan encontrar más fácilmente. La flecha del pictograma
es dinámica según el escenario, lo que significa que esta
Matrix CGLine+ es una luminaria de señalización de eva- puede estar animada o parpadeando y el aspa roja puede
cuación adaptativa que permite ajustar en tiempo real las estar estática o parpadeando. Esto hará que la luminaria
vías de salida mostrando diferentes direcciones de flecha sea más visible y ayudará a las personas en caso de eva-
o aspa roja dependiendo de los escenarios predefinidos y cuación a encontrar el camino correcto de forma instinti-
en función de la naturaleza y la ubicación de un peligro. El va. La luminaria tiene una alta luminancia y, por tanto, es
objetivo es mejorar la velocidad y seguridad de las evacua- fácilmente reconocible en un entorno luminoso.
ciones de emergencia en los edificios.
Es una forma ágil de adelantarnos a un peligro repentino
como un ataque que ponga en riesgo la infraestructura
LA CAPACIDAD ADICIONAL DE DESPLAZAR en cuestión e incluso la vida de las personas que se en-
cuentran en su interior, así como un complemento para
LA FLECHA DE UN LADO A OTRO AUMENTA sistema de terceros como un Circuito Cerrado de Televi-
SU IMPACTO VISUAL ENTRE LA POBLACIÓN sión (CCTV) o un sistema de reconocimiento biométrico
EN GENERAL Y AYUDA A ALERTAR A LAS capaces de detectar individuos o situaciones que puedan
resultar una amenaza.
PERSONAS CON PROBLEMAS DE AUDICIÓN
La Evacuación Adaptativa es especialmente interesante
para su uso en espacios críticos como pueden ser aero-
La capacidad adicional de desplazar la flecha de un lado puertos, centrales de producción de energía o edificios
a otro aumenta su impacto visual entre la población en gubernamentales, por ejemplo, embajadas. Gracias a que
general y ayuda a alertar a las personas con problemas es posible integrar esta tecnología con otros sistemas de
de audición. La posibilidad de mostrar un aspa roja es seguridad, logramos un mayor control en una situación de
especialmente eficaz cuando la opción más segura es emergencia. El desarrollo de nuevas soluciones enmar-
mantener a las personas confinadas en un solo lugar (por cadas en el campo de la seguridad ofrece a día de hoy
ejemplo, durante los ataques en las escuelas) o indicar grandes oportunidades en la integración de tecnología,
que una determinada vía de salida se ha cerrado, está blo- ciberseguridad e innovación para pequeñas y medianas
queada o es peligrosa. empresas.

En el modo de evacuación, las vías de salida se pueden re-


saltar con una señal dinámica (señal parpadeante) para JORGE ROY
una mejor visibilidad y que todas las vías de salida se pue- stonexsl.com

110
CIBERSEGURIDAD

112
CIBERSEGURIDAD

LA IA ESTÁ
CAMBIANDO LA
CIBERSEGURIDAD,
PERO CUANDO
ESTÁ SESGADA,
ES PELIGROSA
PLAN Magazine

Los prejuicios existen en todas partes. Pero no es fácil detectarlos en


el dominio de la tecnología ya que se reduce a unos y ceros. A medida
que la Inteligencia Artificial gana cada vez más terreno, los líderes
empresariales se preguntan cómo lidiar con sesgos que pueden no
ser obvios en el resultado de un algoritmo.

Hemos visto surgir sesgos inapropiados e involuntarios del uso de IA


por parte de varias industrias, por ejemplo en el reclutamiento y en
los préstamos hipotecarios. En esos casos, los resultados defectuosos
fueron evidentes ya que el sesgo se reflejó en formas que se relacio-
nan con las características distintivas de nuestra identidad: género,
raza, edad.

113
CIBERSEGURIDAD

Pero existen áreas en las que ni siquiera nos damos cuen- También puede bloquear el tráfico de red, excluyendo lo
ta de que el sesgo de la IA está presente. En un campo que podrían ser comunicaciones críticas para el negocio.
complejo como la ciberseguridad, ¿cómo reconocemos
los resultados sesgados?
SI LOS CIENTÍFICOS INFORMÁTICOS
La IA se ha convertido en una herramienta de seguridad
de primer orden, con investigaciones que indican que el DISEÑAN ALGORITMOS DE IA
69% de los ejecutivos de TI dicen que no pueden respon- SIN INFLUENCIA NI APORTES DE EXPERTOS
der a las amenazas sin inteligencia artificial. Sin embar- EN SEGURIDAD, LOS RESULTADOS
go, ya sea usándola para mejorar las defensas o descar-
gar las tareas de seguridad, es esencial que confiemos en SERÁN DEFECTUOSOS
que el resultado que la IA nos está dando no es parcial.
En seguridad, el sesgo de IA es una forma de riesgo: cuan-
ta más información, contexto y experiencia alimente a la Como ejemplo, imaginemos que un desarrollador de IA
IA, más se podrán administrar los riesgos de seguridad y considera que una región del mundo es segura, porque es
los puntos ciegos. De lo contrario, varios tipos de sesgo, una nación aliada, y otra región es insegura porque tiene
desde prejuicios raciales y culturales, hasta formas con- un régimen autoritario. Por lo tanto, el desarrollador permi-
textuales de sesgo relacionadas con la industria, pueden te que ingrese todo el tráfico de red de la primera región,
afectar la IA. Para ser efectivos, los modelos de IA deben mientras bloquea todo el tráfico de la segunda. Este tipo
ser diversos. Entonces, ¿cómo aseguramos esta amplitud, de sesgo agregado puede hacer que la IA pase por alto
y qué puede salir mal si no lo hacemos? otros contextos de seguridad que podrían ser más impor-
tantes.

CUANTA MÁS INFORMACIÓN, CONTEXTO Si los científicos informáticos diseñan algoritmos de IA sin
influencia ni aportes de expertos en seguridad, los resul-
Y EXPERIENCIA ALIMENTE A LA IA, MÁS tados serán defectuosos. Además, sin el trabajo conjunto
SE PODRÁN ADMINISTRAR LOS RIESGOS de científicos y expertos para seleccionar datos, inteligen-
DE SEGURIDAD Y LOS PUNTOS CIEGOS cia de amenazas y contexto, y luego codificar estas ideas,
pueden ajustar las herramientas de IA con cierto nivel de
sesgo. Como resultado, los sistemas de seguridad impul-
sados por inteligencia artificial mal entrenados pueden
Estas son las tres áreas integrales para ayudar a evitar que no identificar algo que debería identificarse como un ele-
el sesgo de la IA perjudique los esfuerzos de seguridad. mento malicioso, una vulnerabilidad o una violación. Las
reglas sesgadas dentro de los algoritmos inevitablemente
generan resultados sesgados.
EL ALGORITMO DE RESOLUCIÓN
DE PROBLEMAS LOS DATOS DE ORIGEN
Cuando los modelos de IA se basan en suposiciones de
seguridad falsas o sesgos inconscientes, hacen más que Los datos en sí pueden crear sesgos cuando los datos de
amenazar la postura de seguridad de una empresa. Tam- origen no son diversos. La IA que se alimenta de datos
bién pueden causar un impacto comercial significativo. sesgados recogerá solo una visión parcial del mundo y to-
mará decisiones basadas en esa comprensión limitada.
La IA que está sintonizada para calificar el tráfico de red En ciberseguridad, eso significa que se pasarán por alto
benigno o malicioso basada en factores que no son de las amenazas. Por ejemplo, si un clasificador de spam no
seguridad, puede pasar por alto algunas amenazas. Esto fue entrenado en un grupo representativo de correos elec-
permite a los ciberdelincuentes entrar en la red de una trónicos benignos, como correos electrónicos en varios
empresa. idiomas o con idiosincrasias lingüísticas como la jerga,

114
CIBERSEGURIDAD

inevitablemente producirá falsos positivos. Incluso el mal turas y geografías, con experiencia variada, puede ayudar
uso común e intencionado de la gramática, la ortografía a los desarrolladores de IA a introducir una perspectiva
o la sintaxis puede provocar que un clasificador de spam de 360 grados en muchos patrones de comportamiento
bloquee el texto benigno. de amenazas de seguridad para procesar. Debemos capa-
citar a los sistemas contra una diversidad de problemas y
permitir que se represente una variedad de escenarios en
LOS INFLUYENTES DE SEGURIDAD el modelo de IA y, posteriormente, ayudar a prevenir lagu-
nas en su proceso de detección de amenazas.

Los modelos de IA también pueden sufrir visión de túnel. Si las empresas van a hacer de la IA un activo integral
Como el patrón de comportamiento de una amenaza ci- en su arsenal de seguridad, es esencial que comprendan
bernética varía en función de factores como la geografía o que la IA que no es justa y precisa no puede ser efectiva.
el tamaño de la empresa, es importante capacitar a la IA Una forma de ayudar a prevenir el sesgo dentro de la IA es
en los diversos entornos en los que opera una amenaza y hacerlo cognitivamente: los científicos informáticos que
en las diversas formas que toma. Por ejemplo, en un en- la desarrollan, los datos que la alimentan y los equipos
torno de servicios financieros, si se crea IA para detectar de seguridad que influyen en ella deben tener múltiples y
solo problemas basados en la identidad, no reconocerá diversas perspectivas.
elementos maliciosos fuera de esa configuración. Al care-
cer de una amplia cobertura, este modelo de IA sería inca- A través de la diversidad cognitiva, el punto ciego de un ex-
paz de identificar amenazas fuera del patrón de amenaza perto, un punto de datos o un enfoque puede ser maneja-
que se le enseñó. Pero cuando un equipo de seguridad do por el punto ciego de otro, acercándose lo más posible
está formado por profesionales de diversos orígenes, cul- a los puntos ciegos en su totalidad y sin sesgo.

115
MARIBEL VIOQUE & CRISTÓBAL MALET

MARIBEL
VIOQUE
Socia y Business Director
ADQUALIS EXECUTIVE SEARCH BARCELONA

116
MARIBEL VIOQUE & CRISTÓBAL MALET

CRISTÓBAL
MALET
Director General
INTEGRHO

117
MARIBEL VIOQUE & CRISTÓBAL MALET

El auge de la ciberseguridad y de la transformación di- búsqueda de perfiles digitales y que puedan acompañar
gital en general exige hoy a empresas de cualquier ta- tanto la selección de cargos intermedios como de direc-
maño y sector incorporar perfiles profesionales inéditos tivos, o en asociarse o colaborar con centros educativos
hasta ahora en sus organizaciones; en su experiencia, que formen a este tipo de profesionales.
¿cree que nuestras pymes están preparadas para este
reto? En el caso específico de la ciberseguridad, en España se im-
Preparadas o no, lo cierto es que transformarse digital- parte en 119 centros a través de 66 grados y 4 másters, de
mente ya no es una opción sino una obligación para las modo que existe una amplísima variedad de entidades edu-
empresas de cualquier tamaño o sector de actividad, cativas a las que acercarse y con las que buscar sinergias.
porque les permite optimizar sus operaciones y a la vez
ofrecer una mejor experiencia de usuario a sus clientes:
dos factores imprescindibles para su supervivencia y cre- ¿Y sobre cómo han de diseñar esas ofertas para que
cimiento. resulten atractivas desde el punto de vista profesional,
retributivo y de la conciliación?
Las empresas, sin embargo, son a veces poco conscientes De nuevo por ser segmentos profesionales con una alta
de que esa transformación no solo trae ventajas, sino que demanda y principalmente de gente joven, las ofertas han
plantea también nuevos retos. El de la ciberseguridad es de ser atractivas no solo económicamente, sino también
uno de los principales, y, contra la creencia generalizada en la parte de la retribución emocional, la flexibilidad, et-
de que solo afecta a las grandes empresas, en 2019 el cétera. En este sentido, es una ventaja que muchas de
25% de las pymes europeas sufrió algún tipo de ciberata- estas nuevas profesiones puedan desarrollarse de forma
que según datos de la encuesta Kaspersky. remota, de modo que los encargados de personas no tie-
nen que tener miedo a ofrecer fórmulas ambiciosas de te-
letrabajo o marcos más flexibles de jornada laboral a los
EL 25% DE LAS PYMES EUROPEAS SUFRIÓ de otro tipo de perfiles.

EN 2019 ALGÚN TIPO DE CIBERATAQUE


Dentro del organigrama de una pyme, normalmente ho-
rizontal, ¿qué rango o categoría es recomendable que
Esta nueva realidad exige a las empresas y a sus departa- ocupe un experto en ciberseguridad o transformación
mentos de personas incorporar a sus organizaciones nue- digital?
vos perfiles dentro del área tecnológica como el del en- Si bien la necesidad de transformarse digitalmente y de
cargado de ciberseguridad o el responsable de Helpdesk, atender en ese contexto a la ciberseguridad es hoy exten-
pero también otros como los denominados desarrollado- siva a cualquier empresa como comentábamos antes, el
res, programadores, data scientists, perfiles ejecutivos encargado de esta área suele realizar sus funciones den-
como CIOs o CTOs. tro del departamento de IT/tecnológico al tratarse de una
posición muy técnica. Se requiere amplios y actualizados
conocimientos, experiencia, y una gran dosis de temple y
¿Qué consejos le daría a esas pequeñas y medianas em- planificación.
presas sobre dónde deben buscar esos nuevos perfiles?
Precisamente por ser perfiles muy demandados y en que En el caso del encargado de transformación digital, suele
las empresas tecnológicas y las grandes multinacionales tener un rol más directivo, porque está relacionado con
acaparan en ocasiones el mercado y provocan una infla- el negocio o en algunos casos el “nuevo negocio”, dirige
ción en las expectativas económicas de los candidatos, la procesos muy transversales que afectan a muchos depar-
búsqueda de este tipo de profesionales resulta compleja tamentos, y necesitan por lo tanto una complicidad y un
para las pymes. acompañamiento de todo el comité de dirección difícil de
suscitar desde una posición intermedia.
Dos vías complementarias para superar ese hándicap
consisten en apoyarse en empresas especializadas en Los expertos en ciberseguridad son además altamente
captación de talento, idealmente con experiencia en la demandados, ¿cómo puede una pyme volver competiti-

118
MARIBEL VIOQUE & CRISTÓBAL MALET

va su oferta a un profesional de este tipo para que no Para tomar esa decisión debe tenerse en cuenta qué re-
opte por integrarse en una compañía más grande? levancia tiene la transformación digital y la ciberseguridad
Como comentábamos antes, mediante una oferta compe- para cada empresa, porque, para empezar, no se trata de
titiva no solo en lo económico, sino también en términos perfiles económicos... De media, un profesional de la ci-
de flexibilidad. Además, muchos de estos profesionales berseguridad cobra en España entre 36.000 y 66.000 eu-
pertenecen a las generaciones millennial y Z, que se ca- ros brutos, según datos del Informe Anual sobre el Estado
racterizan por un mayor idealismo en torno a la empresa del Mercado Laboral a cargo de ESADE.
y proyecto para el que trabajan. En este sentido, si una
pyme sabe presentar sus retos digitales de una forma que
constituyan un desafío profesional y que tengan un efec- DE MEDIA, UN PROFESIONAL DE LA
to transformador en la sociedad, logrará una motivación
extra para presentar una oferta más atractiva a la de una CIBERSEGURIDAD COBRA EN ESPAÑA
gran multinacional. ENTRE 36.000 Y 66.000 €/BRUTOS

Ante esa oferta limitada, ¿qué ventajas e inconvenien- La externalización puede plantear un abaratamiento de
tes plantea externalizar esa función de ciberseguridad costes para aquellas empresas que todavía no se han
o acompañamiento en la transformación digital? ¿tiene visto tan impactadas por la nueva economía digital, y en
más sentido hacerlo mediante una empresa de servicios esos tienen a su alcance tanto a empresas de servicios
o bien a través de un profesional freelance? con modelos probados como a profesionales freelance

119
MARIBEL VIOQUE & CRISTÓBAL MALET

que pueden brindar una mayor flexibilidad y un servicio


más personalizado. Existe sin embargo una tercera opción
a considerar: el interim management, consistente en la
integración en la empresa de un profesional vinculado a
otra compañía de forma temporal para desarrollar en ella
una actividad que puede tener que ver precisamente con
la transformación digital o la prevención de ciberataques.
En este esquema, AdQualis también trabaja para algunas
posiciones incluso para los Departamentos de Personas.

Los profesionales de la ciberseguridad desarrollan ade-


más su trabajo de forma muy autónoma: ¿qué efectos
puede tener esa autonomía en las dinámicas de trabajo
de una pyme, en que normalmente existe un alto grado
de colaboración?
Los encargados de personas han de ser conscientes de
esta nueva realidad y lograr que estos nuevos perfiles,
como en cualquier otro caso, se integren en la misma y
hagan suya la cultura corporativa. A la vez, es importante
que la plantilla preexistente entienda qué rol van a tener
estos nuevos profesionales, cuál es su objetivo, cómo va Desde su experiencia, ¿la fiebre por perfiles expertos
a contribuir a la empresa y cómo van a trabajar conjunta- en ciberseguridad o en otros aspectos digitales es una
mente o en qué proyectos. moda pasajera? ¿acabará siendo una función cubierta
por robots de la mano de la inteligencia artificial, el ma-
chine learning, etcétera?
La evolución del mundo digital es tan rápida que los per- Es imposible predecir el futuro en un momento de tantos
files especializados resultan altamente demandados, cambios como el actual, pero no cabe duda de que nos
pero a la vez corren el riesgo de quedar rápidamente conducimos hacia una automatización cada vez mayor.
obsoletos, ¿cómo puede una pyme garantizar que eso
no ocurra, para no errar en la incorporación de profesio- En el caso de los encargados de transformar digitalmente
nales a menudo costosos para la organización? a las organizaciones o de velar por su ciberseguridad, aun-
Este es un aspecto muy relevante y afecta a muchos per- que se beneficiarán cada vez más de las nuevas tecnolo-
files, incluso a los de negocio, porque tan rápido suceden gías, creemos que seguirán requiriendo un factor humano
los avances en el ámbito tecnológico como en los mer- por la innovación que parte de su trabajo requiere.
cados, y todo ello gira fundamentalmente en torno a la
formación continua. Por ello, en este actual contexto de
transformación de la economía y de sectores enteros de
actividad, las empresas deberían apostar por formar con-
tinuamente a todos sus trabajadores para que éstos de-
sarrollen nuevos skills, y puedan adaptarse a los entornos
tecnológicos, disruptivos y cambiantes.

Brindar por lo tanto a esos encargados de transformación


digital o ciberseguridad la posibilidad de ampliar su for-
mación mediante su asistencia a eventos, la realización
de cursos o el acceso a titulaciones oficiales no debería
ser percibido nunca como un gasto para la empresa, sino MARIBEL VIOQUE | CRISTÓBAL MALET
como una inversión. adqualis.com integrho.com

120
Desde CEPYME difundimos oportunidades de autoempleo, carreras profesionales
y la creación de nuevas empresas · #emprendedores #emprendimiento #startups

cepymeemprende.es
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS

CIBERSEGURIDAD
Y GRANDES
AMENAZAS PARA
2020

Sophos presentó en el Sophos Day 2019 el “Informe de


Ciberamenazas 2020” y analizó el actual panorama de
ciberseguridad, qué nos deparará para 2020, cuáles han
sido los últimos y más impactantes ataques y por qué
han sido tan exitosos.

El “Informe de Ciberamenazas 2020” llevado a cabo por so y agresivo, el “Informe de Ciberamenazas 2020” pone
los SophosLabs profundiza en distintas áreas en las que el foco sobre cómo estas y otras aplicaciones potencial-
los investigadores han observado cambios relevantes que mente no deseadas (PUA, por sus siglas en inglés), , se
tuvieron lugar durante el año pasado. Algunos de los as- están convirtiendo en puertas de entrada y ejecución de
pectos que se espera que más impacten dentro del pano- malware y ataques sin archivos (fileless).
rama de las ciberamenazas para 2020 son:
La mayor vulnerabilidad para el cloud computing son los
Los ciberatacantes de ransomware siguen aumentando errores de configuración. A medida que los sistemas cloud
su apuesta por los ataques automatizados activos, ha- se vuelven más complejos y flexibles, los errores de los
ciendo que las herramientas de gestión en las que confían operadores se convierten en un riesgo en aumento. Si a
las empresas se vuelvan en su contra. Esquivando los con- esto le sumamos la falta general de visibilidad, los entor-
troles y copias de seguridad para lograr el mayor impacto nos cloud se convierten en un objetivo claro de los ciber-
en el menor tiempo posible. delincuentes.

Muchas aplicaciones están cada vez más cerca de pare- El Machine Learning diseñado para derrotar al malware
cerse al malware. En un año en el que han aumentado se ha convertido en objetivo de ataque. 2019 ha sido el
las aplicaciones Fleeceware en Android (aplicaciones con año en el que se ha puesto el foco sobre el potencial de
suscripciones abusivas), y un adware cada ver más sigilo- los ataques contra los sistemas de seguridad basados en

122
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS

machine learning. La investigación ha mostrado como los “El escenario de la ciberseguridad continúa evolucionan-
modelos de detección de amenazas que utilizan machine do, y tanto la velocidad como el alcance de esta evolución
learning pueden ser engañados, y cómo el machine lear- son cada vez más rápidos e impredecibles. La única certe-
ning puede ser utilizado para acciones ofensivas que ge- za que tenemos es lo que está sucediendo en este mismo
neran contenido falso, resultando muy convincente para momento y,en nuestro “Informe de Ciberamenazas 2020”
la ingeniería social. Al mismo tiempo, el Machine Learning desvelamos cómo las tendencias actuales pueden afectar
también se está aplicando ya al lenguaje como una for- al mundo durante el próximo año. Destacamos cómo los
ma de detectar suplantaciones en correos electrónicos y adversarios son cada vez más sigilosos, son mejores sa-
URLs maliciosas. Se espera que este juego aumente en cando partido a los errores, ocultando sus movimientos y
el futuro. esquivando las tecnologías de detección, sobre todo, en
la nube, a través de aplicaciones móviles y a través de las
Otros aspectos destacados en el “Informe de Ciberame- redes.
nazas 2020” son la importancia y peligro que conlleva la
no detección de los cibercriminales dentro del gran tráfico El “Informe de Ciberamenazas 2020” no es tanto un mapa
que supone el escaneado de internet, el ataque continua- como una serie de indicaciones para ayudar a entender
do al Protocolo de Escritorio Remoto (RDP, por sus siglas mejor las amenazas a las que podrían enfrentarse en los
en inglés), así como el incremento de los ataques activos próximos meses y cómo estar preparados frente a ellas”
automatizados (AAA). afirmó John Shier, asesor senior de seguridad de Sophos.

123
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS

ALERTA
SMARTPHONE:
4 MOTIVOS QUE
CONVIERTEN TU
SMARTPHONE
EN EL PRINCIPAL
OBJETIVO DE LOS
CIBERCRIMINALES
Check Point® Software Technologies Ltd. (NASDAQ: ofrecen una mayor cantidad de funcionalidades que, uni-
CHKP) alerta de que los dispositivos móviles se han con- do a su conectividad a internet, hace que los utilicemos
vertido en el principal objetivo de los cibercriminales. para llevar a cabo cualquier acción: acceder al correo elec-
Conscientes de este hecho, desde la compañía identifican trónico, realizar compras online, etc.
los principales motivos que han hecho que el smartphone
cada vez sea más víctima de ciberataques y señalan las
claves para garantizar la seguridad de estos dispositivos.
2. ALMACENAN INFORMACIÓN
IMPORTANTE
1. EL MÁS UTILIZADO El smartphone ha evolucionado hasta convertirse en un
dispositivo de uso personal y corporativo. Es imprescindi-
Uno de los principales motivos por los que los cibercrimi- ble destacar que el desarrollo tecnológico hace que los
nales atacan a los smartphones reside en el hecho de que teléfonos móviles sean realmente potentes y permitan a
es uno de los dispositivos más utilizados. sus usuarios desarrollar infinidad de procesos.

Según el informe “Digital en 2018” de Hootsuite, el 96% Como consecuencia, los smartphones cada vez almace-
de la población española tiene un teléfono móvil, de los nan una mayor cantidad de información importante como
cuales un 87% son smartphones. contactos, imágenes, ubicación, credenciales bancarias,
datos corporativos, contraseñas, etc. Todos estos datos
Estos datos ponen de manifiesto el alto grado de penetra- son especialmente atractivos para los cibercriminales, ya
ción de este dispositivo en la sociedad española. Además, que muchos de ellos les permiten suplantar la identidad
cabe destacar el hecho de que estos dispositivos cada vez del usuario para obtener beneficios económicos, etc.

124
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS

3. ESTÁN DESPROTEGIDO facilita los ataques a los cibercriminales, y también les


abre la puerta a infectar una mayor cantidad de víctimas
y producir así ataques masivos. De esta forma, al atacar
A pesar de ser un dispositivo fundamental para los usua- un único teléfono un cibercriminal puede tener acceso a
rios, desde Check Point destacan la falta de conciencia- tremendas cantidades de información, hackear sistemas
ción en torno a la seguridad del smartphone. “Por lo ge- de seguridad, etc. Esta combinación de factores convierte
neral, la amplia mayoría de los usuarios no cuenta con a este tipo de dispositivos en la elección obvia por parte
medidas de seguridad en su smartphone”, señalan desde de los atacantes para concentrar sus esfuerzos en encon-
la compañía. En este sentido, la falta de soluciones de pro- trar potenciales vulnerabilidades y “explotar” los recursos
tección como el antivirus hace que los teléfonos móviles disponibles en ellos, tales como datos personales, acceso
estén desprotegidos frente a cualquier amenaza y, por tan- a sistemas bancarios, punto de entrada a otros sistemas
to, son vulnerables ante cualquier ciberataque. corporativos o residenciales y, por supuesto, para el espio-
naje o seguimiento de determinados usuarios.

4. PUERTA DE ACCESO A OTROS “El smartphone es imprescindible en nuestras vidas debi-


do, entre otros motivos, a la gran cantidad de información
DISPOSITIVOS que almacena. Sin embargo, a pesar de ser conscientes
de su importancia, apenas destinamos tiempo y recursos
Los smartphones forman parte del ecosistema de dispo- a garantizar su seguridad, algo que aprovechan los ciber-
sitivos inteligentes (tv inteligentes, etc.) que se conectan criminales para su propio beneficio. Por tanto, es funda-
a redes wifi, en entornos domésticos como corporativos, mental instalar medidas de protección en nuestro termi-
o incluso en redes abiertas como aeropuertos, restau- nal”, señala Eusebio Nieva, director técnico de Check Point
rantes, etc. La falta de protección de estos dispositivos para España y Portugal.

125
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS

¿CÓMO EVITAR LOS


ATAQUES EN REDES
SOCIALES? 4 CLAVES
PARA EVITAR
LOS PRINCIPALES
PELIGROS
Y GARANTIZAR
LA SEGURIDAD

SEGURIDAD REDES SOCIALES nen, todo lo que representan para los usuarios y las conse-
cuencias que un ataque puede tener. Por este motivo, es
Check Point® Software Technologies Ltd.(NASDAQ: CHKP) imprescindibleponer en prácticas estrategias básicas de
señala que las redes sociales son un componente esen- seguridad para evitar ser víctimas de ciberataques y, por
cial en nuestro día a día, no sólo a nivel usuario, sino que tanto, proteger nuestra privacidad”, señala Eusebio Nieva,
las empresas también entienden la necesidad de estar director técnico de Check Point para España y Portugal.
presentes en internet para llegar al consumidor.
Conscientes de este hecho, la compañía señala los puntos
No obstante, según un estudio de IAB Spain, un 85,5% clave para estar protegidos en la red y evitar ataques con-
de los internautas de 16 a 65 años utiliza redes sociales. tra los perfiles en redes sociales:
Este dato, unido a la cantidad masiva de datos e informa-
ción que los usuarios vuelcan en sus perfiles, hace que se
hayan convertido en uno de los principales objetivos de los
cibercriminales en los últimos tiempos.
1. ESTABLECER CONTRASEÑAS FUERTES

De hecho, en los últimos meses hemos visto cómo se han Uno de los primeros niveles de seguridad consiste en crear
producido el hackeo de las cuentas de WhatsApp de per- una contraseña robusta que dificulte al cibercriminal la po-
sonajes conocidos como Albert Rivera y Belén Esteban, así sibilidad de descifrarla. Para ello, es necesario dejar de
como el hackeo de la cuenta de Twitter de varios ayunta- lado nombres, fechas o palabras comunes.
mientos de España.
En su lugar, lo más recomendable es crear una contraseña
“Es innegable que las redes sociales juegan un rol funda- única de ocho caracteres que combine letras (tanto ma-
mental en nuestra vida por toda la información que contie- yúsculas como minúsculas), números y símbolos.

126
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS

Reducir el grado de visibilidad del perfil, o segmentar y li-


mitar el acceso al contenido por parte del resto de usua-
rios son sólo algunas de las opciones disponibles y que
ofrece una garantía de seguridad contra el robo de datos.
Además, apenas se necesitan unos minutos para estable-
cer estas opciones, por lo que su rapidez es otro punto que
favorece e invita a llevar esta acción a cabo.

3. DESCONFÍA DE LOS LINKS


Descuentos, promociones, regalos…en las redes socia-
les circulan y se comparten millones de enlaces que nos
llevan a otra página web fuera de la red social. Muchos
de estos enlaces esconden malware, por lo que antes de
hacer clic es imprescindible revisar el remitente y el pro-
pio enlace en busca de señales que indiquen que no es
de fiar. En este sentido, un claro ejemplo viene dado por
palabras mal escritas, ya sea por orden erróneo de las le-
tras (Amaozn) o por cambiar una letra por otro símbolo
(Amaz0n). Ante la menor duda, lo más recomendable es
no pinchar en el link para evitar males mayores.

4. EVITAR DAR ACCESO A OTRAS APPS


Además, es fundamental evitar utilizar la misma contrase-
ña para varios perfiles, así como compartirla con cualquier Es muy probable que las redes sociales que tenemos ins-
persona (incluso aunque sea de confianza) ni guardarla taladas en nuestro smartphone nos soliciten permiso para
en el navegador, puesto que en caso de pérdida del dispo- dar acceso a nuestros datos a alguna aplicación asociada.
sitivo desde el que se accede al perfil, cualquier persona Un claro ejemplo de esto consiste en acceder a una web
tendría la puerta abierta para entrar en la cuenta de otro o servicio utilizando un perfil de Facebook, por ejemplo.
usuario. “A pesar de ser un nivel básico de seguridad, es Esto es algo muy peligroso, ya que muchas veces los ciber-
frecuente que no se preste la atención necesaria, por lo criminales se encuentran al acecho y suplantan una web
que sigue siendo uno de los puntos más débiles en mate- para hacerse con nuestros datos de una forma sencilla y
ria de seguridad”, señala Eusebio Nieva. rápida. Por tanto, antes de autorizar el acceso y uso de
nuestra información, es imprescindible leer detenidamen-
te los términos y condiciones de uso.
2. CONFIGURAR LAS OPCIONES “El pilar fundamental de una estrategia de ciberseguridad
DE PRIVACIDAD en general, y en redes sociales en particular, es el sentido
común”, enfatiza Eusebio Nieva. “Desde Check Point nos
Además de la contraseña, que es un nivel primario, las esforzamos por recordar a los internautas que la cautela
redes sociales ofrecen sus propias medidas de seguridad, es la mejor compañera a la hora de navegar por la red o
las cuales pueden configurarse a gusto del usuario. Sin utilizar sus perfiles en redes sociales, ya que la mayoría de
embargo, es frecuente que los internautas apenas dedi- los ataques por malware requieren de la complicidad del
quen tiempo a esta práctica, o incluso la pasen por alto, usuario para ser efectivos. Por tanto, dudar ante la menor
por lo que no sacan todo el partido a las herramientas de señal de alerta es una de las mejores barreras de seguri-
protección que tienen a su disposición. dad”, concluye Nieva.

127
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS

7 CONSEJOS
PARA PROTEGER
MIS DATOS
EN LAS REDES
SOCIALES
Hoy casi la mitad de la población mundial utiliza las re-
des sociales según los últimos datos del informe ‘Digital
2019’. Facebook ocupa la primera posición con más de
2.400 millones de usuarios activos al mes, seguido de
WhatsApp (1.600). En España, la opción preferida por
los usuarios es YouTube (89%), por delante de WhatsApp
(87%) y Facebook (82%).

A pesar de su popularización, las redes sociales suponen Presta atención a la letra pequeña como términos
una amenaza para la seguridad del usuario, no sólo porque y condiciones de políticas de privacidad y cookies
toda la información relacionada con el mismo se ha con- Por regla general, los usuarios las aceptan sin tener en
vertido en un valor al alza, cada vez más codiciado por las cuenta las consecuencias. Según los datos de Privacy-
empresas, sino también porque le hace vulnerable frente Cloud, el 83% de las páginas web más visitadas cuentan
a terceros que quieran aprovechar esta información con con políticas de privacidad abusivas para el usuario, por
fines maliciosos. PrivacyCloud aconseja ser precavido con lo que es recomendable leer éstas con detenimiento. Ade-
la información que se publica (incluidos fotos y vídeos), más, según los mismos datos de la compañía, la mayoría
ya que ésta nunca se elimina, y seguir las siguientes re- de las webs analizadas (el 99%) incumplen la obligación
comendaciones con el objetivo de mantenerse protegido. de permitir al usuario rechazar directamente las cookies
con la misma facilidad con la que se aceptan, mientras
En palabras de Sergio Maldonado, CEO de PrivacyCloud, que un 9% equiparan la cesión de datos (a través de su
“a pesar de que existe la creencia generalizada de que aceptación) a un peaje de acceso, dado que no permiten
sólo aprovechan el nombre, datos de perfil o las fotos, la al usuario visitar el sitio web si no acepta las cookies.
realidad es que esto es solo la punta del iceberg, pues se
registra desde el tiempo que el usuario está conectado Evita desvelar información privada en las redes
hasta el número de publicaciones y su contenido, pasan- La sobreexposición en redes sociales es un problema
do por los ‘me gusta’ y los contenidos ante los que reaccio- real y los usuarios no siempre son conscientes del ries-
na. No rebasar ciertos límites y establecer unas medidas go que implica compartir tanta información de su vida
de seguridad básicas son suficientes para reducir la visi- privada. Cuando suben cientos de fotos cada día de sus
bilidad y la exposición de tus datos a terceras personas”. vacaciones en Instagram, o comparten información en
Facebook no solo muestran al mundo lo bien que se lo
Por ello, PrivacyCloud recomienda al usuario tener en están pasando, sino que también están dando una valiosa
cuenta los siguientes consejos: información.

128
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS

Revisa la configuración de privacidad Vigila las aplicaciones que se conectan con los
Además de no difundir más datos de los estrictamente ne- perfiles en redes sociales
cesarios, es importante que se aprendan a configurar las Existen multitud de juegos y aplicaciones en las redes
opciones de privacidad del perfil en las redes y activar los sociales, desarrollados por terceras empresas, que para
límites en cada una de ellas, por que suelen venir desacti- utilizarlas, el usuario debe aceptar ciertas condiciones y
vadas por defecto. Así, sólo tendrán acceso a los datos las permisos de acceso a su perfil.
personas que establezca el usuario, reduciendo el riesgo
de que pudiera ser utilizados con fines malintencionados. Suele suceder que muy pocos leen en detalle lo que im-
plica la descarga sin tener en cuenta que podría estar
Sé cauteloso con la gestión de los contactos brindando acceso a sus datos personales a través de la
Es importante decidir y controlar qué usuarios van a ver aplicación como acceso al correo electrónico, fotografías,
las publicaciones y pueden enviar solicitudes de amistad. información de nuestros contactos, etc.
¿Compartirías en el mundo offline una foto tuya con al-
guien que no conoces? Parece sensato aplicar este sen-
tido común también a las redes: si alguien solicita ser tu Utiliza un gestor de datos personales
amigo, deberías conocerlo en la vida real antes de agre- Una de las herramientas para proteger los datos persona-
garlo a tu cuenta o, al menos, revisar su perfil antes de les de los usuarios son los gestores de datos personales.
permitirle tener acceso a tus datos personales. Este tipo de soluciones le permite al usuario tener una
visión clara y detallada sobre qué riesgos corre su priva-
Asegúrate de cerrar siempre la sesión cidad al usar cada una de las aplicaciones que descarga,
Dejarse abierta la sesión en las redes sociales es uno de con el fin de entender a qué riesgos se expone si acepta
los riesgos más comunes de la actualidad. Esto es espe- las condiciones de descarga y uso.
cialmente importante si se utilizan ordenadores comparti-
dos o redes wifi-abiertas.

129
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS

3 FORMAS
DE SABER
SI TU MÓVIL
HA SIDO
HACKEADO
Si sientes que tu teléfono ha estado funcionando de forma
extraña últimamente, podría ser un indicio de que has sido
víctima de un hacker. Algunas de las señales más comu-
nes son el consumo excesivamente rápido de la batería,
que el terminal se caliente más de lo habitual, que no apa-
rezca el teclado o tarde mucho en hacerlo y que tus datos
se acaben inexplicablemente.

Diego Barrientos, experto en seguridad informática e ins- pequeño vidrio color rojo, y en algunos modelos está cerca
tructor de Udemy revela 3 sencillas formas para determi- del conector de los auriculares). Si al hacer esto la cámara
nar si tu móvil ha sido hackeado: logra captar un destello de luz, es recomendable que acu-
das a un técnico para que evalúe el estado de tu equipo.
Cierra todas las aplicaciones y activa el modo avión. Acto
seguido, introdúcelo a un microondas(sin encenderlo) que Por último, asegúrate de que el móvil esté conectado a
se encuentre conectado. Esto creará una Jaula de Faraday Internet, cierra todas las aplicaciones en uso y ve al ico-
evitando que salga cualquier tipo de señal de tu móvil. Si no de configuración. Saca de tu dispositivo la tarjeta SD
el smartphone ha sido intervenido, intentará emitir alguna (memoria), si aparece algún tipo de advertencia indicando
señal elevando la potencia, de modo que el equipo se ca- que no se puede realizar la operación porque está corrien-
lentará más de lo normal. Si esto sucede, es probable que do un proceso, existe la posibilidad de que tu móvil haya
alguien más esté manipulando tu teléfono. sido hackeado.

Junta dos móviles, el que supuestamente ha sido hackea- Ahora solo queda mantenerte alerta a posibles operacio-
do y uno en condiciones normales. Abre la cámara de este nes anormales en tu teléfono, si logras identificar alguna,
último y apunta hacia el sensor infrarrojo del primero (está ya cuentas con algunas herramientas para averiguar si se
en la parte de arriba del dispositivo, por lo general tiene un debe a un hacker.

130
CEPYMENEWS | LAS NOTICAS MÁS LEÍDAS

EL 67% DE LOS
EMPLEADOS NUNCA
COMPRUEBA SI SUS
DISPOSITIVOS DE
ALMACENAMIENTO
TIENEN ALGÚN VIRUS
La tendencia de utilizar dispositivos BYOD (BringYourOwn-
Device) en entornos corporativos ofrece muchas ventajas,
pero también supone un importante riesgo en caso de pér-
dida o robo de información.

Un estudio realizado por Kingston señala que un 60% de Smartphones: se estima que, en la actualidad, alrede-
los empleados en España han perdido algún dispositivo de dor del 87% de los teléfonos móviles en España son smar-
almacenamiento con datos corporativos en los últimos 12 tphones. Acceder al correo electrónico, descargar archivos
meses. Conscientes de este hecho, la compañía aconseja y consultar información son sólo algunas de las acciones
proteger los dispositivos más utilizados. que se llevan a cabo con mayor asiduidad, por lo que los
smartphones cada vez almacenan más información. Des-
Ordenadores portátiles: según un estudio llevado a de Kingston señalan importancia de realizar copias de se-
cabo por la consultora Frost & Sullivan, 7 de cada 10 per- guridad de todos los datos almacenados en el dispositivo
sonas ve el portátil como una herramienta estrictamente con el objetivo de no perder información.
de trabajo. Por tanto, proteger la información que este tipo
de dispositivos contiene es fundamental, por lo que Kings- “La movilidad de los datos, así como la necesidad de po-
ton destaca como solución óptima el cifrado de datos, tan- der trabajar en cualquier entorno y lugar más allá de la
to por hardware como por software. oficina ha derivado en un auge en el uso de dispositivos
portables como ordenadores portátiles, USBs y smartpho-
USB: el 73% de los empleados utiliza 2 o más memorias nes”, indica Pedro González, desarrollador de negocio de
USB para trabajar. Sin embargo, uno de cada cuatro em- Kingston en España.
pleados no toma ninguna medida de seguridad para pro-
teger los datos de su memoria USB. Kingston recomienda “Estas estrategias BYOD ofrecen muchas ventajas a los
no sólo implementar el cifrado de datos, sino que también empleados, pero al mismo tiempo también suponen un
contar con un software de gestión que permita llevar a gran riesgo para la seguridad de los datos corporativos,
cabo funcionalidades en remoto. De esta forma, en caso por lo que es imprescindible que estos productos cuenten
de robo o pérdida, se puede bloquear el dispositivo deján- con los niveles de seguridad necesarios para garantizar
dolo inutilizable, e incluso formatear el USB en remoto al que la información que almacenan esté protegida,inclu-
conectarse a cualquier ordenador portátil o de sobremesa so en caso de robo o pérdida del dispositivo”, concluye
conectado a Internet. González.

131
CIBERSEGURIDAD | VERSIÓN ORIGINAL

CIBERSECURITY
FOR THE
MODERN ERA
If you’re like most IT leaders, you’re invested heavily in the latest
security tools. Yet you’re still inundated with ransomware and other
advanced malware, credential phishing, email fraud and more.
You’re spending more time dealing with a growing volume of threats.
And you’re seeing a shrinking return from your security investments.
That’s because most of today’s attacks play off human weaknesses:

1. A distracted user who clicks on a link or opens an email atta-


chment without thinking.

2. An employee who falls victim to an email believed to come


from a company executive, with a seemingly reasonable request
to transfer money.

3. A customer eager to take advantage of an online discount.

PROOFPOINT, INC.

132
CIBERSEGURIDAD | VERSIÓN ORIGINAL

133
CIBERSEGURIDAD | VERSIÓN ORIGINAL

People, not technological weaknesses or vulnerabilities,


are at the center of most attacks. Firewalls, intrusion de-
tection and prevention systems (IDS/IPS), network defen-
ses, endpoint antivirus software and the like are all impor-
tant. But none of them address today’s real security issue:
people. It’s time to turn the focus to humans, the principal
risk factor.

Some 90% of targeted attacks start with email. These are


generally phishing attacks: the email purports to come
from a reputable person or company, and its apparent
validity persuades the recipient to disclose personal infor-
mation such as passwords or credit card numbers. Most
email attacks require the victim to take some sort of ac-
tion: open an attachment, allow a macro to run, click a ma-
licious link or respond to a fraudulent request to transfer
money.

Because today’s attacks are aimed at people, defenses


need to focus on protecting people, educating them and
doing everything possible to ensure they are not tricked,
exploited or compromised. How can companies put people
at the heart of cybersecurity?

Here are tips on how to choose tools and solutions to im-


prove behaviors and outcomes.

1. DEPLOY A LAYERED EMAIL DEFENSE


More than 90% of targeted attacks reach victims through
email. The goal: sneak into your environment and gain ac-
cess to other important assets. You need a layered defen-
se to:
• Detect known, new and emerging email attacks.
• Take action as soon as a threat is discovered.
• Address both malware and non-malware threats.
• Protect against spoofed and lookalike domains.

Email-borne malware
Malicious attachments and links to credential-stealing
web pages get most of the media attention. But lately
ransomware has stolen the spotlight. And its scope is ex-
panding. No longer content to encrypt files and demand
a ransom for decryption, newer variants render the entire
device unusable. In any type of email malware attack, peo-

134
CIBERSEGURIDAD | VERSIÓN ORIGINAL

ple are the trigger: they must open the email for the attack
to succeed.

An effective defense should:


• Continually assess local and global IP addresses to
determine whether to accept an email connection.
• Recognize potentially malicious emails (such as those
with links to spoofed domains).
• Block malware-carrying email before it hits the user’s
inbox.
• Take evasive action, such as rewriting the URL so it
doesn’t point to a malicious site.
• Use email authentication to block emails with spoofed
sender domains

Payload-free threats
Emails without attachments or links can be just as dange-
rous: they can fool the recipient into disclosing sensitive
information or carrying out fraudulent activities like bank
transfers. Email fraud or BEC cost businesses more than
$5.3 billion from October 2013 to December 2016.1 And
these threats are hard for most security products to de-
tect. The best defense against non-malware threats is to
use a tool that:
• Analyzes a wide variety of email attributes, such as
sender/recipient.
• relationship and sender reputation.
• Conducts the analysis in multiple languages.
• Quarantines incoming email by type.

SENDING A MALICIOUS MESSAGE TO YOUR


JUNK FOLDER ISN’T ENOUGH TO PROTECT
YOU AND YOUR COMPANY. THE ONLY WAY
TO REMOVE DANGER IS TO QUARANTINE
THE SUSPICIOUS MESSAGE OR REMOVE IT
ENTIRELY VIA AUTOMATION

Personal email at work


Organization have no visibility into or control over cloud-ba-
sed personal email services that users access from their
work computer. Short of blocking personal email altoge-
ther—a solution that is not likely to be popular among em-
ployees—securing this outside channel is difficult.

135
CIBERSEGURIDAD | VERSIÓN ORIGINAL

Spoofed domains 2. GET VISIBILITY INTO CHANNELS YOU


Spoofed domains, which look almost identical to legiti-
mate domains, are often used in email or social media DON’T OWN
scams. Because the “From” address domain looks legiti-
mate, users click on links and go to copycat sites. A strong web and social media presence is a necessity for
business: companies spend billions to ensure customers
An automated email fraud defense system can accurately can engage easily through the corporate website, Twitter,
detect who is sending email on an organization’s behalf so Facebook, mobile apps and other channels. Unfortunately,
legitimate senders can be authorized and fraudulent emai- the same visual cues that help customers recognize your
ls blocked. This type of system, built on top of email au- brand can be hijacked by cyber criminals. It’s hard to de-
thentication, provides a full view of inbound and outbound tect or monitor bogus communication on digital channels
email traffic. that aren’t controlled, much less protected, by your tradi-
tional security infrastructure.

HOW CAN YOU KNOW THE SENDER OF A


Lookalike domains, again
MESSAGE IS WHO THEY SAY THEY ARE? Lookalike domains and domain spoofing are not used so-
IMPLEMENT EMAIL AUTHENTICATION lely for phishing campaigns. Cyber criminals may set them
STANDARDS LIKE SPF, DKIM AND DMARC up for other nefarious purposes, such as to:
• Sell counterfeit goods.
• Infringe on trademarks.
• Post negative information or protest against the brand
Lookalike domains • Prepare for a future attack (“parking” the domain
Spoofed domains are only part of the story. Criminals also name for later use).
register domain names that are similar to that of a known A domain discovery tool can be invaluable for finding ma-
brand, for example, “rea1domain.com” instead of “realdo- licious domains and rendering them inoperable. Consider
main.com.” They commandeer your brand and goodwill to using a social media moderating service to automatically
hijack advertising traffic or steal intellectual property. And remove malicious or hateful content.
they may use lookalike domains in phishing email attacks.
Organizations need a detection system based on real-time
threat intelligence feeds to combat this problem by: Lookalike social media accounts
It’s very easy to create a lookalike social media account
1. Discovering newly registered domains on a daily that will fool all but the savviest users while defrauding
basis. customers or damaging your brand.
2. Monitoring threat intelligence feeds for clues to im-
poster sites. Social media phishing is the fastest-growing social media
3. Updating information on bad IP addresses and threat, with a 150% increase from 2015 to 2016.2 One
URLs constantly. of the most alarming new trends in fake social media ac-
counts is angler phishing: using a fake “customer support”
account that closely resembles the real corporate account
A REAL-TIME THREAT DETECTION to siphon off sensitive information and credentials. [See
the “Digital Fraud” section in Chapter 1].
SYSTEMBASED ON THREATINTELLIGENCE
CAN IDENTIFY NEW THREATS AND Use automated tools to monitor social networks for frau-
INTEGRATE MINUTE-BY-MINUTE IP dulent accounts.

AND URL INFORMATION WITH SECURITY Look for a tool that scans continually, alerting you when it
TOOLS TO BLOCK ATTACKERS finds an account using elements of your brand.

136
CIBERSEGURIDAD | VERSIÓN ORIGINAL

SOCIAL MEDIA PHISHING IS THE FASTEST- SAAS apps: risky or safe?


Ubiquitous SaaS apps are easily downloadable and insta-
GROWING SOCIAL MEDIA THREAT, WITH A llable without direct involvement of the IT department. Are
150% INCREASE FROM 2015 TO 2016 they safe, or do they introduce risk? Even well-protected
SaaS infrastructures can be compromised by apps that ac-
cess corporate data with little oversight.
APPS
Customers, employees and business partners use a multi- Compliance issues can be introduced when they collect,
tude of mobile apps in their daily lives. Most are safe, but store or retain corporate data accessed by the user—some-
many are malicious. Customers trust that when they down- times even after the person who installed it stops using it.
load your company app, they are getting what they expect.
However, more than 16,000 developers worldwide are Fortunately, there are tools that assess the risk for apps in
hard at work creating imposter apps that look like yours popular thirdparty markets (including unlisted and custom
but steal data or send information to an unknown server 3 OAuth clients), considering:
• Permission levels.
• Types of data and objects accessed by the app.
IMPLEMENT A CLOUD APP DEFENSE • Trustworthiness of the vendor.
• Trustworthiness of the app behavior.
SYSTEM THAT SCORES APPS BASED ON
THEIR RELATIVE RISK AND EMPOWERS
YOU TO RESTRICT RISKY APP BEHAVIOR Auth is an open standard that grants access without spe-
cifically sharing credentials. It has proven so vulnerable to
AND QUARANTINE OR DENY ACCESS TO phishing because it exploits the trust between users and
ENTERPRISE SERVICES UNTIL MALICIOUS well-known service providers like Google.
APPS ARE REMOVED

137
CIBERSEGURIDAD | VERSIÓN ORIGINAL

Cloud App
Security Broker

Advanced Threat Cloud Account


Protection Defense
ion Info
rotect rm
P a

tio
eat

nP
Thr

rote
Email Social

ction
Security Media
ection

Com
rot

pli
rP anc
Use e
Digital Risk Training

Phishing
Simulation

Security awareness training


3. MAKE USERS RESILIENT, NOT Training users to quickly spot and report unsafe email can
also help integrate security into their normal workflow.
FRUSTRATED
Some security tools create big stumbling blocks for users— Phishing simulations—fake email attacks launched by your
and for IT as well. Look for solutions that integrate own security team—are a good way to spot users most
seamlessly with the normal workflow of users and IT staff open to attack. Once you know who’s more likely to bite,
alike. An intuitive UI and good performance make life ea- you can reduce their risk through:
sier, not harder, for users. • More training.
• Tighter security controls.
At the same time, avoid creating unnecessary barriers that • Monitoring more closely for signs of account compro-
offer few security benefits and make users less productive. mise.

That means tailoring security measures to individual users’


risk. For this, you’ll need insight into their unique risk fac- THE BEST SIMULATIONS MIMIC REAL-
WORLD ATTACK TECHNIQUES. LOOK FOR
tors, such as:
• How often are they targeted?
• What data and resources do they have access to? SOLUTIONS THAT TIE INTO CURRENT
• How meticulous they are when it comes to following TRENDS AND THE LATEST THREAT
INTELLIGENCE
• security policies?

138
CIBERSEGURIDAD | VERSIÓN ORIGINAL

Web and personal email isolation ment. They can convince users to wire money or part with
Let’s face it: most people use their work PC and the corpo- sensitive data. And they can access your critical data, such
rate network for some personal business. Web email and as intellectual property or customer data.
personal browsing can expose your organization to risks
that are harder to control. Fortunately, you can keep your Modern people-centered security means protecting these
environment safe without placing stringent constraints on accounts from compromise.
personal browsing.

Web isolation technology keeps personal browsing traffic,


including webbased email, separate from your network.
NEXT STEPS
Web pages are rendered in the cloud and streamed to a Defending against today’s advanced attacks means put-
secure browser on the users’ PC. So if someone visits a ting people at the center of your cybersecurity and com-
sketchy website or opens an unsafe attachment, the threat pliance strategy.
never enters your environment.
Attackers are the ultimate adapters, learning what works
and what doesn’t, and changing their tactics to present
Cloud app security a moving target. But one thing is consistent: they attack
Businesses are flocking to cloud-based services such as people, not technology. That’s why you need to shift your
Microsoft Office 365, G Suite and others. These platforms focus away from technical exploits and place it squarely
can make workplaces more flexible and reduce barriers to on people.
teamwork. But even amid this shift, people remain the bi-
ggest security risk. Any organization that takes active steps to put people front
and center in its security program is a step ahead of the
That’s why you need visibility into how people are using bad guys.
cloud apps and any third-party add-ons that connect to
them. Look for a solution that can correlate user-specific Make sure your solution covers all the bases. It should be
risk factors with rich threat intelligence to spot and help based on solid TI that matches your specific needs. And it
resolve potential threats. must take human nature into account. You can’t change it,
so you need to work with it.
Look for cloud security solutions that can:
• Provide contextual data, such as the users’ location, Don’t just hope for the best: combat people-centered at-
device, network and login time. tacks with people-centered solutions.
• Use behavioral analytics to spot unusual or suspicious
activity such as excessive login attempts. These may
point to brute-force attacks, where attackers try to
guess the users’ credentials again and again.
• Draw on global threat intelligence to check whether the
IP address used in an attempted login can be trusted.
• Correlate threat activity across email and the cloud
to connect the dots between credential phishing and
suspicious logins.

Protecting cloud accounts


It’s no exaggeration to say that users’ credentials are the
key to your kingdom.

When cyber criminals compromise Office 365 credentials, PROOFPOINT, INC.


they can launch attacks inside and outside of your environ- proofpoint.com

139
CIBERSEGURIDAD

140
CIBERSEGURIDAD

LAS AMENAZAS
PARA LA
SEGURIDAD,
¿DENTRO O FUERA?
Daniel Puente
CISO Wolters Kluwer Tax & Accounting España

En seguridad informática hace años acuñamos el mantra de que “el


peor enemigo para la seguridad es el propio usuario”. Este era el cul-
pable de casi todos los males de la empresa, por él entraban las más
variopintas amenazas ya convertidas en problemas para la organiza-
ción, él era el causante de que un virus se propagara por la organiza-
ción, porque, ya se sabe, “hay usuarios muy ociosos navegando por
vete tú a saber dónde y descargándose vete tú a saber qué”. Pero
esto puede estar cambiando, puede que se esté inclinando la balanza
hacia el otro lado y la mayor cantidad de amenazas y peligros vengan
del “mundo exterior”.

PUEDE QUE SE ESTÉ INCLINANDO LA BALANZA HACIA


EL OTRO LADO Y LA MAYOR CANTIDAD DE AMENAZAS
Y PELIGROS VENGAN DEL “MUNDO EXTERIOR”

141
CIBERSEGURIDAD

Este decremento del riesgo asociado al usuario inter-


no puede deberse al trabajo que están realizando mu-
chas compañías con sus campañas de sensibilización
(awareness, si queremos ir al término anglosajón y más
usado), ya que las grandes empresas fabricantes de este
tipo de software ofrecen suites completas para que se
pueda poner a prueba al usuario enviándole un correo de
phishing para que, acto seguido y si ha caído en la trampa,
se le incluya en acciones formativas y, semanas o meses
después, volver a comprobar su capacidad de ser cazado.

La madurez del usuario es otro aspecto que claramente


ha hecho mejorar las cifras, y es que ya es difícil que los
usuarios acaben creyendo que un príncipe nigeriano les
va a dar parte de su fortuna, que constantemente han ga-
nado un iPad o que hay personas del otro sexo deseando
conocerlos. Esta madurez ha hecho que los “malos” ten-
gan que esforzarse mucho más en sus tácticas, y fruto de
ello cometan errores muy visibles como, por ejemplo, las
frases faltas de toda coherencia que encontramos en mu-
chos de estos correos trampa.

que pudiera surgir, el usuario ya no es tan relevante y se


LA MADUREZ DEL USUARIO ES OTRO generan auténticas granjas de desarrolladores en busca
de crear xploits cada vez más efectivos.
ASPECTO QUE CLARAMENTE HA HECHO
MEJORAR LAS CIFRAS, HA HECHO QUE Si a todo esto sumamos que la industria del cibercrimen
LOS “MALOS” TENGAN QUE ESFORZARSE es la número uno en ingresos, superando a la venta de
droga, prostitución, etc., caemos en la cuenta de que no
MUCHO MÁS EN SUS TÁCTICAS únicamente las empresas son los objetivos de estos ciber-
delincuentes. Cada vez más se está viendo como se están
robando bitcoins a pequeños inversores, se está extorsio-
Si prestamos atención a los mayores incidentes de segu- nando y chantajeando a personas tras haber conseguido
ridad ocurridos en estos últimos meses, casi ninguno ha acceso a las fotos que guardaban en sus servicios cloud
sido ocasionado por un usuario interno, la mayoría de ellos favoritos, etc.
son aprovechando errores en el código de las aplicacio-
nes, utilizando técnicas como la inyección SQL, el Cross Es por esto que tal vez sea el momento de no solo mirar
Site Scripting y demás malabarismos que una persona hacia dentro, sino también reforzar la visión hacia fue-
con suficientes conocimientos y la motivación necesaria ra que habíamos planteado inicialmente para nuestra
son capaces de explotar. estrategia y, tal vez, decir aquello de “más vale malo co-
nocido….”.
En un momento de la historia y de la tecnología como
es el actual, en el que incluso se han acuñado términos
como Xploit as a Service para generar auténticos super-
mercados de explotación de vulnerabilidades, en el que
es posible comprar un ataque especialmente dirigido a
la aplicación o web que queramos, pero no solo eso, sino
que incluso dentro del paquete comprado se nos incluye DANIEL PUENTE
un servicio de asistencia 24x7 para cualquier problema a3.wolterskluwer.es

142
CIBERSEGURIDAD | INFORME

INCIDENTES DE
CIBERSEGURIDAD
INDUSTRIAL
EN SERVICIOS
ESENCIALES
DE ESPAÑA
Durante 2018, se han registrado mas de 33.000 incidentes de ci-
berseguridad en entidades del sector público y empresas de interés
estratégico para España, una cuarta parte más que el año anterior,
según el Centro Criptológico Nacional, dependiente del Centro Na-
cional de Inteligencia (CNI). De dichos ataques, alrededor de 1.600
han sido calificados de peligrosidad muy alta.

CCI | CENTRO DE CIBERSEGURIDAD INDUSTRIAL


CHECK POINT | SOFTWARE TECHNOLOGIES LTD

144
CIBERSEGURIDAD | INFORME

DURANTE 2018, SE HAN REGISTRADO


MAS DE 33.000 INCIDENTES DE
CIBERSEGURIDAD EN ENTIDADES DEL
SECTOR PÚBLICO Y EMPRESAS DE INTERÉS
ESTRATÉGICO PARA ESPAÑA

La Directiva NIS (Directiva de la UE 2016/1148) del Parla-


mento Europeo y sus correspondientes transposiciones al
ordenamiento jurídico español, así como la RGPD y el real
decreto-ley 12/2018, de 7 de septiembre de seguridad de
las redes y sistemas de información promulgan la gestión
de incidentes de ciberseguridad como una imposición le-
gal para todas las organizaciones públicas y algunas priva-
das de España que prestan servicios esenciales. El Con-
sejo Nacional de Ciberseguridad de España ha aprobado
recientemente la Guía Nacional de Notificación y Gestión
de Ciberincidentes, la primera de toda la Unión Europea.
Esta guía incluye una descripción detallada del proceso
de notificación, con 38 tipos de ataques, agrupados en 10
clases y 5 correspondientes a niveles de peligrosidad, así
como 6 de impacto.

La Guía Nacional de Notificación y Gestión de Ciberinci-


dentes permitirá a las entidades públicas y privadas cono-
cer a quién se tienen que dirigir y los pasos a seguir, así
como a implementar conceptos de Gestión de Incidentes,
de forma equivalente a como se establece en la norma
ISO 27035.

Esta guía elaborada de forma conjunta por los Equipos


de Respuesta a Incidentes de Seguridad del Gobierno de
España: CCN-CERT, del Centro Criptológico Nacional del
Centro Nacional de Inteligencia; Incibe-CERT, del Instituto
Nacional de Ciberseguridad de España; CNPIC (Centro
Nacional de Protección de Infraestructuras y Ciberseguri-
dad); y Espdef-CERT del Mando Conjunto de Ciberdefensa
contiene la información necesaria para la contención y re-
solución de incidentes de Seguridad a través de las corres-
pondientes herramientas de notificación y ticketing.

145
CIBERSEGURIDAD | INFORME

Este estudio analiza los incidentes de ciberseguridad en res, reputación pública) son objetivos a los que debe dar
operadores de servicios esenciales en base a los resul- respuesta el Centro de operaciones de seguridad (SOC)
tados de 18 entrevistas realizadas en 2019 a represen- gracias a las tareas ejecutadas por los diferentes equipos
tantes de operadores de cinco sectores estratégicos. Las que lo conforman.
preguntas de las entrevistas han sido diseñadas para ob-
tener una visión precisa de cuál es el estado de situación
en la gestión de incidentes en las empresas que operan MÁS DEL 50% DE LOS ENTREVISTADOS
servicios esenciales.
CONOCEN INCIDENTES OCASIONADOS POR
MALWARE O ATAQUES DIRIGIDOS
17% 22%

En cuanto a la tipología de incidentes conocidos en ser-


vicios esenciales, los datos obtenidos señalan que más
del 50% de los entrevistados conocen incidentes ocasio-
nados por malware o ataques dirigidos, en cambio solo
el 7% conoce incidentes que han comprometido informa-
ción y un 4% conoce incidentes por fraude en servicios
22% 17%
esenciales.

22%
TIPOLOGÍA DE INCIDENTES CONOCIDOS EN SERVICIOS
Eléctrico Agua ESENCIALES
Gas y petróleo Salud
Transporte 6
9

2
Gráfico 1 – Porcentaje de Sectores Participantes.

TIPOLOGÍA DE INCIDENTES 6
¿Qué tipo de incidentes tecnológicos conoce en la 14
operación de servicios esenciales con alto impacto?
5
Los incidentes pueden ser intencionados o no. La mayoría
son provocados por fallos del software o un error humano Ataques dirigidos Compromiso de Información
por falta de concienciación o formación. Malware Fraude
Dos o DDoS Violación de normas
En los incidentes intencionados es muy importante enten- Intrusión

der bien los pasos ejecutados por un malware o por los


atacantes, ser conscientes de los equipos comprometidos Gráfico 2 – Operadores de servicios esenciales: Tipo de incidentes conocidos.

y los procesos afectados, saber quién es el responsable


del ataque, cuales ha sido las vías de entrada (paciente
cero) y de propagación, sí la amenaza está acotada o si-
gue extendiéndose, y los riesgos identificados (operativo,
financiero, medioambiental, seguridad de los trabajado-

146
CIBERSEGURIDAD | INFORME

SECTOR ELÉCTRICO SECTOR GAS Y PETRÓLEO


1 1 1

1 3
1

1 3
1

Gráfico 3 – Operadores del sector Eléctrico: Tipo de incidentes conocidos. Gráfico 4 – Operadores del sector Gas y Petróleo: Tipo de incidentes conocidos.

SECTOR AGUA SECTOR SALUD

2 2 2

1
2 3

Gráfico 5 – Operadores del sector Agua: Tipo de incidentes conocidos. Gráfico 6 – Operadores del sector Salud: Tipo de incidentes conocidos.

SECTOR TRANSPORTE
Separada la información de las encuestas por sectores
2 2 podemos observar que los responsables de sectores don-
de más tipos distintos de incidentes se conocen son del
sector Eléctrico, Gas & Petróleo, y los responsables que
menos incidentes conocen son del sector agua y salud.

1
Ataques dirigidos Compromiso de Información
2 Malware Fraude
Dos o DDoS Violación de normas
Intrusión
Gráfico 7 – Operadores del sector Transporte: Tipo de incidentes conocidos.

147
CIBERSEGURIDAD | INFORME

FUTUROS INCIDENTES INCIDENTES FUTUROS

DE CIBERSEGURIDAD 6%
12%
¿Qué incidentes en la operación de servicios esencia-
les espera que se produzcan en los próximos años?
21%

Un 41% de las organizaciones que han participado en la


encuesta están convencidos de que en un futuro próximo
un número importante de los incidentes que se producirán
serán debidos a que los dispositivos IoT serán comprome-
tidos.
41%
Esto ya está ocurriendo según algunos estudios que in-
20%
dican que España fue el objetivo de más del 70% de los
ciberataques a dispositivos IoT en la primera mitad de
2018 o que ha sido el país que más ciberataques ha sufri-
do a través de dispositivos IoT durante varios meses. Ataques mediante IA Ataques multivector
Compromiso disp. IoT Desinformación
Según un informe reciente de Check Point , a medida que Ramsomware operación
el ecosistema de IoT se expande, también lo hace la su-
perficie de ataque para los delincuentes cibernéticos. En
otras palabras, cuanto más dependemos de la tecnología Gráfico 8 – Operadores de servicios esenciales: Incidentes futuros.

conectada en nuestras vidas diarias, más vulnerables so-


mos a las amenazas que cada vez se adaptan más para
explotar las vulnerabilidades y fallos en el diseño de segu-
ridad en dispositivos IoT.

148
CIBERSEGURIDAD | INFORME

SECTOR ELÉCTRICO SECTOR GAS Y PETRÓLEO

22%
34%
33%

50%

22%

17%
22%

Gráfico 9 – Operadores del sector Eléctrico: Incidentes futuros. Gráfico 10 – Operadores del sector Gas y Petróleo: Incidentes futuros.

SECTOR AGUA SECTOR SALUD

17% 20%

33%

17%

20%
60%

33%

Gráfico 11 – Operadores del sector Agua: Incidentes futuros. Gráfico 12 – Operadores del sector Salud: Incidentes futuros.

SECTOR TRANSPORTE
13% De todos los sectores analizados, podemos destacar que
25% los representantes de todos los sectores consideran que
el compromiso de dispositivos IoT será la principal causa
de incidentes en un futuro, también se puede destacar
que todos consideran en menor porcentaje los ataques
25% multivector y el ramsomware de operación será tipos de
incidentes futuros.

37%
Ataques mediante IA Ataques multivector
Compromiso disp. IoT Desinformación
Gráfico 13 – Operadores del sector Transporte: Incidentes futuros. Ramsomware operación

149
CIBERSEGURIDAD | INFORME

INCIDENTES CONOCIDOS DEL SECTOR TIPOLOGÍA DE INCIDENTES EN SU SECTOR ESENCIAL


¿Cuál es el tipo de incidentes en operadores de
su sector que conoce?
13%

Las organizaciones están incorporando cada vez mejores 25%


medidas de Ciberseguridad; entre las medidas técnicas,
más habituales están los antivirus, firewalls convenciona-
les, IDS/ IPS, auditorias de seguridad internas y gestión de 16%
respuesta a incidentes.

La tipología de incidentes varía en función del sector como


podemos apreciar dentro de los apartados de diferentes
sectores, pero se puede concluir que los incidentes causa- 12%
dos por malware son los más habituales. 34%

LOS INCIDENTES CAUSADOS POR Ataques dirigidos


Malware
Compromiso de Información
Fraude
MALWARE SON LOS MÁS HABITUALES Dos o DDoS Violación de normas
Intrusión

Gráfico 20 – Operadores de servicios esenciales: Incidentes del propio sector.

150
CIBERSEGURIDAD | INFORME

SECTOR ELÉCTRICO SECTOR GAS Y PETRÓLEO

29% 25% 25%

43%

13%

28% 37%

Gráfico 21 – Operadores del sector Eléctrico: Incidentes del propio sector. Gráfico 22 – Operadores del sector Gas y Petróleo: Incidentes del propio sector

SECTOR AGUA SECTOR SALUD

14%

33%
43%

50%

43%

17%

Gráfico 23 – Operadores del sector Agua: Incidentes del propio sector. Gráfico 24 – Operadores del sector Salud: Incidentes del propio sector.

SECTOR TRANSPORTE

25%

50%

25%
Ataques dirigidos Compromiso de Información
Malware Fraude
Dos o DDoS Violación de normas
Intrusión
Gráfico 25 – Operadores del sector Transporte: Incidentes del propio sector.

151
CIBERSEGURIDAD | INFORME

SISTEMAS AFECTADOS POR INCIDENTES


EN EL SECTOR
¿Cuáles son los sistemas afectados por incidentes
en operadores de su sector que conoce?

Según el 80% de los encuestados los sistemas que suelen


verse afectados en los Servicios Esenciales son los siste-
mas de supervisión y las infraestructuras de comunica-
ciones.

De las gráficas por sectores se puede destacar que en los


sectores eléctrico, oil & gas y transporte, también los sis-
temas de control suelen verse afectados por incidentes
de ciberseguridad.

SISTEMAS AFECTADOS EN SU SECTOR

15
15
14

12

2
0
0
Control Básico Control Avanzado Supervisión Gestión de proceso Cloud industrial Infraestructura de
(SCADA,…) comunicaciones

Gráfico 26 – Operadores de servicios esenciales: Sistemas afectados del sector.

152
CIBERSEGURIDAD | INFORME

SECTOR ELÉCTRICO SECTOR GAS Y PETRÓLEO

3 3 3 3
3 3

2 2
2 2

1 1
1 1

0 0 0 0
0 0
Control Control Supervisión Gestión de Cloud Infraestructura de Control Control Supervisión Gestión de Cloud Infraestructura de
Básico Avanzado (SCADA,…) proceso industrial comunicaciones Básico Avanzado (SCADA,…) proceso industrial comunicaciones

Gráfico 27 – Operadores del sector Eléctrico: Sistemas afectados del sector. Gráfico 28 – Operadores del sector Gas y Petróleo: Sistemas afectados
del sector

SECTOR AGUA SECTOR SALUD

4 4 3 3
4 3

3
2

1 1
1
0 0 0 0 0 0 0
0 0
Control Control Supervisión Gestión de Cloud Infraestructura de Control Control Supervisión Gestión de Cloud Infraestructura de
Básico Avanzado (SCADA,…) proceso industrial comunicaciones Básico Avanzado (SCADA,…) proceso industrial comunicaciones

Gráfico 29 – Operadores del sector Agua: Sistemas afectados del sector. Gráfico 30 – Operadores del sector Salud: Sistemas afectados del sector.

SECTOR TRANSPORTE

4
4
LOS SECTORES ELÉCTRICO, OIL & GAS
3 Y TRANSPORTE, TAMBIÉN LOS SISTEMAS
2
2 2 2 DE CONTROL SUELEN VERSE AFECTADOS
POR INCIDENTES DE CIBERSEGURIDAD
1
0 0
0
Control Control Supervisión Gestión de Cloud Infraestructura de
Básico Avanzado (SCADA,…) proceso industrial comunicaciones

Gráfico 31 – Operadores del sector Transporte: Sistemas afectados del sector.

153
CIBERSEGURIDAD | INFORME

CONSECUENCIAS DE INCIDENTES EN EL CONSECUENCIAS DE LOS INCIDENTES

SECTOR 13%
¿Cuáles considera que son las consecuencias de
los incidentes en su sector? 27%
4%

Casi un 30% de los profesionales encuestados consideran


que la perdida de un servicio esencial es una de las princi- 10%
pales consecuencias de los incidentes de ciberseguridad.

Esto es debido principalmente a que las tecnologías in-


dustriales que operan servicios esenciales no han incor- 6%
porado requisitos de ciberseguridad lo cual les hace muy
vulnerables frente a comportamientos no esperados. 21% 6%

13%
LA PERDIDA DE UN SERVICIO ESENCIAL ES Pérdida de servicio Consecuencias ambientales
UNA DE LAS PRINCIPALES CONSECUENCIAS Acceso ilicito a equipos Consecuencias físicas

DE LOS INCIDENTES DE CIBERSEGURIDAD


Pérdida de control de sistemas Incumplimiento regulatorio
Pérdida de visibilidad Impacto reputacional

Gráfico 45 – Operadores de Servicios Esenciales: Consecuencias de


incidentes en el sector.

154
CIBERSEGURIDAD | INFORME

SECTOR ELÉCTRICO SECTOR GAS Y PETRÓLEO


10% 10%

10% 30% 30%


20%

10%

10% 10% 10%


20%
20% 10%

Gráfico 46 – Operadores del sector Eléctrico: Consecuencias de Gráfico 47 – Operadores del sector Gas y Petróleo: Consecuencias de
incidentes en el sector. incidentes en el sector.

SECTOR AGUA SECTOR SALUD

13% 12%
20% 20%

25% 10%

20%

50%

30%

Gráfico 48 – Operadores del sector Agua: Consecuencias de incidentes Gráfico 49 – Operadores del sector Salud: Consecuencias de incidentes
en el sector. en el sector.

SECTOR TRANSPORTE
10%

10%
40%

10%

10%

Pérdida de servicio Consecuencias ambientales


20% Acceso ilicito a equipos Consecuencias físicas
Pérdida de control de sistemas Incumplimiento regulatorio
Gráfico 50 – Operadores del sector Transporte: Consecuencias de Pérdida de visibilidad Impacto reputacional
incidentes en el sector.

155
CIBERSEGURIDAD | INFORME

ESTRUCTURA PARA GESTIONAR ción. La estructura y tamaño del SOC debe corresponder-
se con su alcance equilibrando tres necesidades:
INCIDENTES
¿Cuál es la estructura de su organización para ges- • Tener un equipo cohesionado de especialistas en se-
tionar los incidentes de ciberseguridad OT? guridad o equipos adecuadamente coordinados.

El elemento más importante de un SOC son las personas. • Mantener la proximidad lógica, física y organizacional
Un SOC es un equipo compuesto principalmente por espe- a los activos que se monitorizan.
cialistas tecnológicos, analistas, ingenieros de seguridad
y profesionales de inteligencia que estarán organizados • Disponer de un presupuesto previamente aprobado
para detectar, analizar, responder, informar y prevenir in- por la Alta Dirección; acorde al tipo de negocio, servi-
cidentes de ciberseguridad. cio o infraestructura crítica soportada.

Según la gráfica general no existe actualmente una estruc-


EL ELEMENTO MÁS IMPORTANTE DE UN SOC tura dominante en un SOC para gestionar incidentes, la
SON LAS PERSONAS
mitad de los encuestados han indicado que la gestión es
propia y la otra mitad que la gestión es externa.

Tampoco existe una respuesta determinante entre gestión


Los SOC pueden variar desde pequeños centros de cinco IT y OT integrada o independiente, siendo ligeramente en
personas, hasta grandes centros nacionales de coordina- más casos la gestión independiente.

ESTRUCTURA ORGANIZATIVA EN LA GESTIÓN DE INCIDENTES

8
8

7
7 7

6
6

3
7

1
1 1

Gestión propia Gestión externa Gestión interna Gestión interna (N1) Gestión interna (N1 Gestión independiente Gestión integrada
(Dirección) y externa y externa (N2 y N3) y N2) y externa ( N3) Inciden IT y OT Inciden IT y OT

Gráfico 51 – Operadores de Servicios Esenciales: Estructura para gestionar incidentes.

156
CIBERSEGURIDAD | INFORME

SECTOR ELÉCTRICO SECTOR GAS Y PETRÓLEO

3 3

2 2 2
2 2

1 1 1 1 1
1 1

0 0
1 2 3 4 5 6 7 1 2 3 4 5 6 7

Gráfico 52 – Operadores del sector Eléctrico: Estructura para gestionar incidentes. Gráfico 53 – Operadores del sector Gas y Petróleo: Estructura para
gestionar incidentes.

SECTOR AGUA SECTOR SALUD

3 3 3 3
3 3

2 2

1 1
1 1

0 0
1 2 3 4 5 6 7 1 2 3 4 5 6 7

Gráfico 54 – Operadores del sector Agua: Estructura para gestionar incidentes. Gráfico 55 – Operadores del sector Salud: Estructura para gestionar incidentes.

SECTOR TRANSPORTE

3
3
Analizando los datos de forma sectorizada podemos com-
probar que los sectores gas y petróleo, agua y transpor-
2 2
2 te tienen claramente una gestión propia, mientras que el
sector eléctrico y salud tienen gestión externa.
1
1

0 1 Gestión propia 4 Gestión interna (N1) y externa (N2 y N3)


1 2 3 4 5 6 7 2 Gestión externa 5 Gestión interna (N1 y N2) y externa ( N3)
3 Gestión interna 6 Gestión independiente Inciden IT y OT
(Dirección) y externa
Gráfico 56 – Operadores del sector Transporte: Estructura para gestionar incidentes. 7 Gestión integrada Inciden IT y OT

157
CIBERSEGURIDAD | INFORME

CAPACIDADES PARA DAR RESPUESTA A


INCIDENTES
¿Qué capacidades tiene su organización para dar
respuesta a incidentes de alto impacto en la opera-
ción de servicios esenciales?

Según este estudio, al preguntar sobre las capacidades de


respuesta distinguiendo entre tecnologías de información
(IT) y tecnologías de operación (OT) se ve claramente que
las capacidades de respuesta en entornos IT es alta se-
gún un 50% de los encuestados, lo que contrasta con el
un 20% de capacidad de respuesta en un entorno OT. Es
cierto, que actualmente las organizaciones que han parti-
cipado en la encuesta están inmersas en un proceso de
adecuación de su SOC para gestionar incidentes, lo cual
indica que un alto porcentaje de organizaciones indus-
triales están gestionando o empezando a gestionar los
riesgos tecnológicos.

CAPACIDADES DE RESPUESTA

10

9
9

8
8

6
6

5
5

3
3

2
2

1
1

0
Bien preparado en IT Bien preparado en Bien preparado en OT Preparación media Bien preparado en Poco preparado en Preparación media en
IT y OT (Todos los niveles) nivel 2 y poco nivel 1 algunos servicios servicios esenciales servicios esenciales
esenciales

Gráfico 63 – Operadores de Servicios Esenciales: Capacidades de respuesta a incidentes.

158
CIBERSEGURIDAD | INFORME

SECTOR ELÉCTRICO SECTOR GAS Y PETRÓLEO

3
3 3

2 2 2
2 2

1 1 1 1 1
1 1

0 0
1 2 3 4 5 6 7 1 2 3 4 5 6 7

Gráfico 64 – Operadores del sector Eléctrico: Capacidades de respuesta Gráfico 65 – Operadores del sector Gas y Petróleo: Capacidades de
a incidentes. respuesta a incidentes.

SECTOR AGUA SECTOR SALUD

3 3 3
3 3

2 2

1 1 1 1
1 1

0 0
1 2 3 4 5 6 7 1 2 3 4 5 6 7

Gráfico 66 – Operadores del sector Agua: Capacidades de respuesta a Gráfico 67 – Operadores del sector Salud: Capacidades de respuesta a
incidentes. incidentes.

SECTOR TRANSPORTE

4
4

2
2
1 Bien preparado en IT
1 2 Bien preparado en IT y OT
1
3 Bien preparado en OT (Todos los niveles)
0 4 Preparación media nivel 2 y poco nivel 1
1 2 3 4 5 6 7
5 Bien preparado en algunos servicios esenciales
6 Poco preparado en servicios esenciales
Gráfico 68 – Operadores del sector Transporte: Capacidades de
7 Preparación media en servicios esenciales
respuesta a incidentes.

159
CIBERSEGURIDAD | INFORME

PARTICIPACIÓN DE DISTINTAS ÁREAS DE redes de comunicaciones industriales y su seguridad a los


departamentos de TI, sin entender que aunque se emplee
LA ORGANIZACIÓN tecnología similar, su aplicación es a un entorno industrial
¿Como participan las distintas áreas de la organi- muy heterogéneo donde las consecuencias, los requeri-
zación en los aspectos de ciberseguridad (Calidad, mientos y sus características son muy diferentes.
HSE, …)?

La responsabilidad de proteger los sistemas de control in- PARTICIPACIÓN OTRAS ÁREAS


dustrial sigue recayendo de manera muy nítida en el área
de TI corporativa -sigue contemplándose la responsabili-
7% 8%
dad de estos riesgos en el área tecnológica-.

La participación de otras áreas, como Calidad, Compras, 15%


HSE, es de momento muy baja, aumentando levemente 22%
(33%) solo cuando se trata de proyectos estratégicos, lo
que podemos interpretar, que continúa existiendo una fal-
ta clara de madurez organizativa en las compañías en las
que la asignación de responsabilidades no se hace aten-
diendo a un proceso formal y definido, sino que se atiende 4%
a meros aspectos regulatorios, al historial de la organiza-
ción, al carisma de los interesados o, en el mejor de los
11% 33%
casos, a las necesidades reales, fruto de un análisis de
las actuales amenazas, todo lo cual suele terminar pola-
rizando las responsabilidades en ciertos departamentos. Activamente No participan
Puntualmente Integración en proceso de compras
Otra de las causas posibles, y que durante los últimos me- Solo en proyectos estratégicos Hay un comité
ses hemos podido constatar a través de entrevistas con Solo en proyectos nuevos
responsables de organizaciones industriales es la falta de
conocimiento y concienciación de la Dirección, que fre- Gráfico 69 – Operadores de Servicios Esenciales: Participación de áreas de
cuentemente asigna cualquier tema relacionado con las la organización.

160
CIBERSEGURIDAD | INFORME

SECTOR ELÉCTRICO SECTOR GAS Y PETRÓLEO

20% 20%
25% 25%

20% 20%

25% 25%

20%

Gráfico 70 – Operadores del sector eléctrico: Participación de áreas de Gráfico 71 – Operadores del sector Gas y Petróleo: Participación de
la organización. áreas de la organización.

SECTOR AGUA SECTOR SALUD


20%

38% 40%

50%

40%
12%

Gráfico 72 – Operadores del sector Agua: Participación de áreas de la Gráfico 73 – Operadores del sector Salud: Participación de áreas de la
organización. organización.

SECTOR TRANSPORTE

20% 20%

20% 20%

Activamente No participan
20% Puntualmente Integración en proceso de compras
Solo en proyectos estratégicos Hay un comité
Gráfico 74 – Operadores del sector Transporte: Participación de áreas Solo en proyectos nuevos
de la organización.

161
CIBERSEGURIDAD | INFORME

PETICIÓN Y EVALUACIÓN DE REQUISITOS


DE CIBERSEGURIDAD
¿Cómo se realiza la petición y evaluación de requi-
sitos de ciberseguridad en nuevos proyectos para
servicios esenciales que presta su organización?

La mayoría de las organizaciones industriales empiezan


a contemplar, al menos, requisitos básicos de Cibersegu-
ridad Industrial en sus nuevos proyectos. Siendo los co-
rrespondientes a las infraestructuras de comunicaciones
donde se contempla mayor exigencia, tanto en las redes
WAN (conexiones y accesos a redes remotas) y LAN (re-
des locales).

PETICIÓN DE REQUISITOS DE CIBERSEGURIDAD

11
11

10
10

2
2

1 1 1
1

0
Petición muy general Basado en estándares Basado en Basado en Mediante plataforma Acuerdo entre
procedimiento propio metodología fabricante y operador

Gráfico 75 – Operadores de Servicios Esenciales: Petición de requisitos de ciberseguridad.

162
CIBERSEGURIDAD | INFORME

SECTOR ELÉCTRICO SECTOR GAS Y PETRÓLEO

3 3

2 2 2
2 2

1 1 1 1
1 1

0 0
1 2 3 4 5 6 1 2 3 4 5 6

Gráfico 76 – Operadores del sector Eléctrico: Petición requisitos Gráfico 77 – Operadores del sector Gas y Petróleo: Petición requisitos
ciberseguridad. ciberseguridad.

SECTOR AGUA SECTOR SALUD


4 4
4 2

1 1 1 1
2 1

0 0
1 2 3 4 5 6 1 2 3 4 5 6

Gráfico 78 – Operadores del sector Agua: Petición requisitos Gráfico 79 – Operadores del sector Salud: Petición requisitos
ciberseguridad. ciberseguridad.

SECTOR TRANSPORTE Como muestra la estadística anterior, a la hora de con-


templar requisitos de ciberseguridad en los proyectos de
automatización y control de servicios esenciales, estos
3
se basan en estándares y procedimientos propios. Pero
hasta el momento, salvo algunas excepciones, las organi-
zaciones que prestan servicios esenciales no tienen una
2 2
2 herramienta que permita incorporar los requisitos de ci-
berseguridad en los proyectos de automatización indus-
1
trial de forma ordenada, ni tampoco mecanismos adecua-
dos para comprobar las capacidades de los proveedores
en estos proyectos.
0
1 2 3 4 5 6 1 Petición muy general 4 Basado en metodología
2 Basado en estándares 5 Mediante plataforma
Gráfico 80 – Operadores del sector Transporte: Petición requisitos
3 Basado en procedimiento propio 6 Acuerdo entre fabricante
ciberseguridad.
y operador

163
CIBERSEGURIDAD | INFORME

CONCLUSIONES Así mismo, obliga a los Estados miembros a dotarse de


los medios para supervisar el cumplimiento de estas obli-
La prestación de los servicios esenciales en España está gaciones y a velar por que existan equipos de respuesta
cada vez más ligada a las redes y sistemas de información a incidentes de seguridad con capacidad para proteger a
por el tratamiento tan intenso de los datos (personales las empresas de la propagación de estos incidentes. Un
o no) y por la creciente automatización de los procesos incidente de seguridad puede ser visto como un fracaso,
internos de producción y gestión económica. puesto que la medida para responder a la amenaza no era
adecuada o ni siquiera se había contemplado.
Ello implica, a su vez, una mayor exposición a los ries-
gos que existen en el empleo de una red abierta y glo- Además, un incidente se puede convertir en un fracaso si
bal, como Internet, canal por el cual también se difunden no lo analizamos y aprendemos para evitar que vuelva a
infecciones de virus y programas maliciosos que pueden suceder, pero sobre todo si no nos preparamos para redu-
llegar a interferir en la prestación de servicios esenciales, cir sus consecuencias.
provocar fugas de datos personales, comprometer infor-
mación confidencial de valor comercial y afectar, en fin, al Este estudio demuestra que todavía las organizaciones
funcionamiento de dicho mercado interior. que operan servicios esenciales no están suficientemen-
te preparadas para dar respuesta a los incidentes de ci-
La Directiva NIS impone a las entidades gestoras de servi- berseguridad, pero están haciendo grandes esfuerzos por
cios esenciales, así como a los prestadores de ciertos ser- mejorar sus capacidades.
vicios digitales considerados clave en el funcionamiento
de Internet, la obligación de establecer sistemas de ges-
tión de la seguridad de la información en sus organiza-
ciones y de notificar a las autoridades los incidentes que CCI | CHECK POINT
tengan especial gravedad. cci-es.org checkpoint.com

164
CIBERSEGURIDAD

166
CIBERSEGURIDAD

EL NUEVO
PARADIGMA
EMPRESARIAL
EMPRENDEDORES
Y EL ECOSISTEMA
DE LAS START-UPS
Mapfre

Uno de los fenómenos económicos más relevantes de la última déca-


da ha sido el intenso desarrollo de las vocaciones emprendedoras.
A lo largo de la historia, la humanidad ha evolucionado a través de la
innovación y la tecnología, pero en la actualidad el mundo se enfrenta
a un cambio global como nunca antes se había visto, una transforma-
ción digital que perfila un nuevo escenario para los agentes económi-
cos, globalizado y altamente competitivo, en el que el emprendimiento
llevado de la mano de la innovación son las principales referencias.

El fenómeno emprendedor ha experimentado una importante evolu-


ción en los últimos años.

167
CIBERSEGURIDAD

La crisis económica de 2008 y el alto nivel de desempleo 2017 y que prueba que cada vez son más los emprende-
ha hecho que muchas personas hayan decidido poner en dores que apuestan por crear empresas con estas carac-
marcha nuevos proyectos en todos los ámbitos. Es por terísticas, debido entre otras cosas a sus posibilidades de
ello, que el ecosistema emprendedor esté adquiriendo crecimiento en el medio y largo plazo.
más importancia y suscitando un enorme interés desde
el ámbito empresarial, administrativo y académico.
ACTUALMENTE EN ESPAÑA HAY 4.115
STAR-UPS, SEGÚN EL INFORME START-UP
DESAFÍOS PARA EMPRENDER UN ECOSYSTEM OVERVIEW 2019,
PROYECTO UN 20% SUPERIOR AL DEL 2017
El proceso de puesta en marcha de cualquier empresa,
es complicado. Y esta dificultad se puede reducir a dos
factores, el tiempo y el coste. En España se puede tardar Las start-ups españolas están revolucionando a su paso
hasta un año en crear una empresa, entre las gestiones todos los sectores en los que operan, resolviendo proble-
de constitución, el alta de actividad, el registro mercantil, mas y creando nuevas vías de negocio. Según datos de
la obtención de la licencia y la aprobación de la actividad, 2018, España es el sexto país europeo con mayor número
entre otros. de perfiles digitales disponibles en el mercado laboral y
ha sido considerada como el tercer país que capta más
Un elemento esencial para decidir emprender es que el talento europeo, tan solo por detrás de Reino Unido y
individuo sienta que tiene las capacidades y habilidades Alemania, en el último ranking Atomico’s State of Euro-
necesarias para hacerlo realidad. En España, aunque se pean Tech.
perciba una oportunidad puede que decida no emprender
porque no se ve ni capacitado ni apoyado para llevarlo a En 2018, la cifra de volumen de inversión del sector ha
cabo. A pesar de haber adquirido un gran capital humano crecido un 63,7% respecto al año anterior y ha superado
a lo largo de su vida ya sea a través de la educación o por primera vez los mil millones de euros.
por experiencia propia a la hora de tomar la decisión de
emprender lo relevante no es solo que tenga esos conoci- En un contexto donde los activos tradicionales están dan-
mientos, sino que realmente lo perciba como tal. do rentabilidades mínimas, los inversores buscan nuevos
activos en los que invertir con mayor potencial de rentabi-
Además, hay que tener en cuenta que asumen un riesgo lidad a la vez que asumen más riesgo.
muy grande, ya que sus ingresos están sometidos a im-
portantes fluctuaciones a lo largo del año. Por lo tanto, se Entre las más destacadas se encuentran la Inteligencia
deduce que los emprendedores son personas tolerantes artificial + machine learning, el big data y la innovación
al riesgo y sin miedo al fracaso. disruptiva. Sin duda una gran oportunidad para que los
emprendedores se lancen a investigar estos terrenos

¿QUÉ OCURRE CON LAS START-UPS?


En el ecosistema de desarrollo tecnológico surgen las lla-
MAPFRE CON LA INNOVACIÓN
madas start-ups. Empresas de nueva creación, que pre- DISRUPTIVA: UN ELEMENTO CLAVE PARA
sentas posibilidades de crecimiento y marcadas por un
fuerte componente tecnológico relacionadas con el mun-
EL DESARROLLO
do de Internet y de las TICs.
Según el Índice de Evolución Digital 2018, publicado por
Actualmente en España hay 4.115 empresas de este tipo, el Foro Económico Mundial, España se encuentra en la
según el informe Start-up Ecosystem Overview 2019. Se posición número 25 de la transformación digital a nivel
trata de un dato que es más de un 20% superior al del global. El imparable avance de la digitalización ha he-

168
CIBERSEGURIDAD

cho que MAPFRE sitúe la innovación en el centro de sus dura y necesitan apoyo para consolidar su empresa. Así,
prioridades, tratando de liderar la revolución digital que se busca atraer empresas interesadas en realizar un piloto
está viviendo el sector de los seguros. En este contexto real con productos o servicios comerciales  en colabora-
aparece insur_space, una plataforma de innovación que ción con las unidades de negocio de MAPFRE y tendrán
busca potenciar la colaboración entre MAPFRE y el ecosis- la oportunidad de acceder a distintos recursos como una
tema de insurtech a escala global. asesoría con la red de expertos de la compañía y el mundo
de los seguros.
Las estrategias disruptivas permiten desarrollar negocios
que conectan ideas que no se han conectado antes para Un aspecto que puede resultar crucial para los candidatos
acceder a un mercado completamente nuevo. En este en- es el acceso a datos reales de negocio proporcionados por
torno, insur_space actúa como una aceleradora de star- la compañía para realizar los pilotos, en todos los países
tups cuyo objetivo principal es el de impulsar nuevas solu- donde MAPFRE está presente.
ciones para atender las necesidades de los distintos tipos
de clientes, que puedan incorporarse en el medio plazo al Del mismo modo, los pilotos lanzados por las compañías
negocio estratégico de la compañía. serán asesorados por parte del equipo de alta dirección
de la aseguradora. Una vez finalizado el programa, los pilo-
“Aspiramos a convertirnos en uno de los referentes mun- tos podrán contar con inversión a través de los diferentes
diales en innovación en insurtech y avanzar hacia los nue- instrumentos financieros de MAPFRE.
vos modelos de negocio y soluciones que surgen de los
cambios digitales y tecnológicos que estamos viviendo”. En la Industria 4.0, las empresas tienen que moverse a
Antonio Huertas, Presidente de MAPFRE. gran velocidad para adaptarse a los nuevos tiempos, un
gran reto no solo para el sector asegurador, sino para to-
Actualmente, son 19 startups las que están trabajando dos los negocios.
en insur_space dentro de dos programas de desarrollo:
aceleración y adopción. El primero se centra en ayudar a “Una de las metas de insur_space es crear nuevas siner-
emprendedores con una idea innovadora a iniciar el desa- gias de colaboración entre el ecosistema emprendedor.”
rrollo de su modelo de negocio, mientras que el segundo Josep Celaya, director global de Transformación y respon-
está dirigido a startups que ya tienen una propuesta ma- sable de insur_space.

169
CIBERSEGURIDAD

MAPFRE ACOMPAÑA A SUS CLIENTES EN Por otra parte, el seguro multirriesgo empresarial es para
negocios más complejos, que pueden conllevar procesos
LAS DISTINTAS FASES DE SU PROYECTO de transformación y requerir mayores sumas aseguradas
y garantías.
Ofrecer protección a las principales necesidades de los
autónomos, es una prioridad para MAPFRE que trata de Asimismo, ofrece la cobertura de protección digital para
minimizar los riesgos a los que se exponen. los comercios y autónomos, que incluye las siguientes
prestaciones: la localización y bloqueo del dispositivo mó-
Con el objetivo de facilitar a la empresa su gerencia de vil en caso de robo o pérdida; la elaboración de un infor-
riesgos, la herramienta “Empresas 360º” proporciona al me con detalle de evidencias digitales como el fraude o
cliente un estudio gratuito y detallado de los riesgos a los la fuga de datos; o la protección de la imagen del negocio
que puede verse sometida su empresa, según sus circuns- mediante la búsqueda y borrado de datos que puedan per-
tancias y la actividad que desarrolla. judicar a éste.

De esta forma las compañías pueden conocer de forma En este seguro se encuentra incluido el servicio de “Bri-
específica los desafíos a los que se enfrentan y las cober- comercio” una cobertura que ofrece asistencia básica en
turas que pueden habilitarse para minimizar su impacto. averías y reparaciones de bricolaje, electricidad, fontane-
Así, en función de la tipología de empresa, se realiza un ría, cerrajería, e informática, entre otros.
mapa de riesgos que determinará las necesidades asegu-
radoras del cliente en función del tamaño y actividad, su
situación actual y deseable, teniendo un servicio de ase- ANTES DE LLEGAR A EXISTIR, LAS
soramiento de primer nivel en la materia. Este informe per-
sonalizado y confidencial, se elabora en base al análisis de EMPRESAS EMERGEN COMO PROYECTOS
cuatro dimensiones que impactan en el mapa de riesgos EMPRENDEDORES A TRAVÉS
de una empresa (Patrimonio, Responsabilidad frente a DE UN PROCESO DE IDENTIFICACIÓN,
terceros, Cuenta de resultados y Personal de la empresa).
EVALUACIÓN Y EXPLOTACIÓN
DE OPORTUNIDADES DE NEGOCIO
MINIMIZAR LOS RIESGOS
DE LOS AUTÓNOMOS Es por ello que MAPFRE quiere acompañar a sus clientes
en todas las fases del emprendimiento de una empresa,
El mercado asegurador actual está teniendo un incremen- así como ofrecerles protección y soporte durante el desa-
to gradual en la sensibilización de los trabajadores autó- rrollo de su actividad.
nomos en cuanto a las coberturas de sus riesgos. Debido
fundamentalmente a las especiales circunstancias de
este tipo de trabajadores, es esencial un profundo conoci-
miento de su perfil para poder diseñar las soluciones ase-
guradoras más adaptadas a sus necesidades.

Por eso, MAPFRE ofrece dos productos específicos que


cumplen a la perfección este cometido: El seguro auto-em-
prendedor, es el único producto del mercado que engloba
en una sola póliza la cobertura integral de los riesgos del
autónomo, ofreciéndole protección de su patrimonio fren-
te a reclamaciones, cobertura para los bienes asegurados
(equipamiento, local, etc.), y le garantiza los ingresos si
éste se ve obligado a suspender su actividad a causa de MAPFRE
un siniestro. mapfre.es

170
JOSÉ MIGUEL TABARÉS CUADR ADO

JOSÉ MIGUEL Vicedecano

TABARÉS
COLEGIO DE REGISTRADORES

“Nuestro objetivo es buscar un servicio cómodo que se ajuste a las nuevas necesi-
dades de las empresas”

¿Cuál es la función del Colegio de Registradores?


El Colegio de Registradores es una corporación de derecho público que presta a los
registradores, que están colegiados obligatoriamente, varios servicios muy impor-
tantes para el adecuado desarrollo de sus funciones. Por ejemplo, garantiza la inter-
conexión telemática de los registros a la vez que permite la remisión por los usuarios
del registro de documentos por esta vía, también asume la defensa del colegiado en
el ejercicio de sus funciones, gestiona la celebración de jornadas y congresos sobre
materias de interés para los colegiados…

172
JOSÉ MIGUEL TABARÉS CUADR ADO

173
JOSÉ MIGUEL TABARÉS CUADR ADO

¿En qué consiste la profesión de registrador? siempre es necesario mantener una adecuada actualiza-
El registrador de la propiedad asume la función de con- ción de las tecnologías utilizadas.
trolar la legalidad de los documentos presentados en el
Registro, ya sean notariales, judiciales, administrativos o Puede parecer que este objetivo se repite año tras año,
privados, comprobando que se ajustan a las formas legal- pero lo cierto es que siempre tenemos como objetivo tener
mente establecidas, que las partes tienen capacidad para el mejor sistema registral del mundo y, para ello, solo hay
suscribirlos, que son válidos y que no existen otros obstá- un camino mejorar día a día, pero sin perder nada en el
culos derivados del contenido del registro. Pero, además, camino.
garantiza la adecuada aplicación de las normas urbanís-
ticas, de medio ambiente, de protección de patrimonios
públicos… Hace tres meses se clausuró el V Congreso Nacional de
Registradores. Durante dos días, los expertos en nuevas
tecnologías y derecho europeo y los registradores deba-
EL REGISTRADOR DE LA PROPIEDAD tieron en diferentes mesas de trabajo. En el apartado
de innovación tecnológica se trataron diversos temas
ASUME LA FUNCIÓN DE CONTROLAR de actualidad, como los retos y posibilidades del bloc-
LA LEGALIDAD DE LOS DOCUMENTOS kchain así como la prueba e identidad en el blockchain
PRESENTADOS EN EL REGISTRO jurídico, las novedades tecnológicas en las administra-
ciones públicas y los retos de la innovación en el ámbito
inmobiliario, los medios de comunicación y las tecno-
logías, o la inteligencia artificial. ¿Qué conclusiones
En este sentido, la función del registrador se ha visto am- sobre tecnología e innovación podemos sacar de este
pliada para ir desde un limitado examen con arreglo a las Congreso?
normas civiles del documento, hasta un examen integral La conclusión principal es que las nuevas tecnologías de-
del conjunto de normativas que pudieran resultar de apli- ben aplicarse a la gestión de los registros pero respetando
cación. Gracias a todo ello es posible obtener información los principios hipotecarios (legalidad, prioridad, tracto su-
fiable y segura sobre la titularidad y cargas de un inmue- cesivo…), deben ser un auxilio para los registradores en la
ble que es emitida por los registradores bajo la forma de prestación de su servicio público, haciendo más sencillo
nota simple o certificación. no sólo el desempeño de su labor sino también la interac-
ción con los usuarios de los registros, sin que por ello se
Además, en virtud de convenios con las administracio- pierda un ápice de seguridad jurídica, en suma, las nuevas
nes públicas asume funciones en materias fiscales, de tecnologías son un medio pero no un fin en sí mismas, y
tal modo que se encarga de la gestión de determinados deben ser integradas para mejorar el sistema.
tributos autonómicos o municipales. En cuanto a los regis-
tradores mercantiles su función de control de legalidad
alcanza la totalidad de la vida de una sociedad, desde su LAS NUEVAS TECNOLOGÍAS DEBEN
constitución hasta su liquidación, permitiendo así obtener
una información mercantil actualizada on line. También APLICARSE A LA GESTIÓN DE LOS
asumen funciones relacionadas con el desenvolvimiento REGISTROS PERO RESPETANDO LOS
de la vida societaria, como la legalización de libros, de- PRINCIPIOS HIPOTECARIOS
pósito de cuentas anuales, nombramiento de auditores y
expertos, convocatorias de juntas generales…

La tecnología es un medio que nos permite a los registra-


¿Cuáles son los grandes retos de los registradores en dores servir de una manera más eficaz y eficiente a los
2020? ciudadanos, dando una seguridad al tráfico inmobiliario y
Los retos para este ejercicio se centran en la aplicación de mercantil de excelencia para garantizar los derechos de la
las innovaciones tecnológicas al desarrollo de la función sociedad. Otra importante conclusión es que la tecnolo-
registral que, pese a ser una institución de vanguardia, gía es un medio más, pero no es en ningún caso el único.

174
JOSÉ MIGUEL TABARÉS CUADR ADO

La tecnología da la seguridad electrónica pero la seguri- Prueba de esta actividad internacional es nuestra parti-
dad jurídica es un aspecto mucho más complejo que viene cipación en la Asociación Europea de Registros de la Pro-
determinado por la capacitación, la profesionalidad y el piedad (ELRA), en la Asociación Europea de Mercantiles
criterio de los registradores. La alianza entre la tecnología (EBRA), en el Centro Internacional de Derecho Registral
y el registrador es la mejor garantía para una prestación (IPRA-CINDER) y en otras actividades internacionales en
de calidad del servicio público que ejerce el Registro a la los que se estudian los Registros como instrumento para
sociedad. la garantizar la seguridad jurídica y potenciar el desarrollo
económico.

¿Qué servicios online ofrece el Colegio de Registradores?


Además de la posibilidad de solicitar notas simples o certi- ¿Qué papel juega el Centro Registral Antiblanqueo en la
ficaciones, tanto de fincas como de actos mercantiles, en lucha contra este delito?
la página web www.registradores.org es posible el inicio, El CRAB es un órgano centralizado para la lucha contra
con firma electrónica, de varios procedimientos como: el blanqueo de capitales. En el ejercicio de sus funcio-
nes recibe alertas de los registradores sobre operaciones
• Legalización de libros mercantiles y Depósito de sospechosas, más de 22.000 al año y, a partir de ahí, las
cuentas aglutina y compara para preparar expedientes sólidos que
• Rectificación de descripción de una finca con una remitir al SEPBLAC. Sin esta labor de centralización de
base gráfica alertas sería imposible conectar unos indicios con otros e
• Rectificación de superficie igual o inferior al 10% con impediría la adecuada persecución de este tipo de delitos.
base en el Catastro Se trata, por tanto, de un órgano esencial en la lucha con-
• Cancelación de hipoteca prescrita tra estas lacras sociales porque al poder coordinar todas
• Cancelación de condición resolutoria en garantía de estas operaciones permite realizar una tarea de detección
precio aplazado prescrita del fraude excelente a la vez que ahorra recursos a las
• Nombramiento de auditores y expertos independientes administraciones públicas.
• Consultas al Registro de Condiciones Generales y pre-
sentación de documentos en el mismo.
• Solicitudes de inscripción de administradores, entre EN EL EJERCICIO DE SUS FUNCIONES
otras
RECIBE ALERTAS DE LOS REGISTRADORES
Como se puede ver, se trata de un conjunto de actuacio- SOBRE OPERACIONES SOSPECHOSAS,
nes tanto civiles como mercantiles que se pueden llevar MÁS DE 22.000 AL AÑO
a cabo desde el lugar de trabajo de los profesionales y
empresas sin necesidad de desplazamientos.

A la vez se encarga de desarrollar una labor de formación


¿Qué actividad internacional tiene el Colegio de Regis- de los registradores y del resto de personas que trabajan
tradores? ¿En qué organizaciones participa? en los registros para que puedan detectar indicios de es-
Los registradores siempre hemos tenido una clara voca- tos delitos en el ejercicio de sus funciones.
ción internacional. A nuestras oficinas llegan numerosos
documentos otorgados fuera de España, las adquisicio- ¿Qué papel desempeñan los registradores en las hipo-
nes de viviendas por ciudadanos extranjeros prácticamen- tecas tras la entrada en vigor de la Ley de Contratos de
te alcanzan el 13% de la cantidad total de transacciones Crédito Inmobiliario (LCCI)?
inmobiliarias y, en definitiva, estamos completamente in- La reciente LCCI ha reforzado la labor de los registradores
tegrados en el ordenamiento jurídico europeo. Además, en su función de controladores de la legalidad pues, por
compartimos una cultura jurídica común con Iberoamérica un lado, en la fase previa a la firma de los contratos se ha
y colaboramos con la Agencia Española de Cooperación y establecido la obligación de que los formularios y mode-
Desarrollo en la celebración de seminarios para intercam- los de las hipotecas se depositen en el Registro de Bie-
biar experiencias con los colegas iberoamericanos. nes Muebles y, por otro, ha establecido que la resolución

175
JOSÉ MIGUEL TABARÉS CUADR ADO

del registrador que constituya la hipoteca, junto con el


contenido del asiento registral, se remita a los deudores
para su conocimiento, lo que es muy importante porque
la hipoteca tiene el contenido que resulta del registro y
puede diferir del de la escritura cuando hay cláusulas cuya
inscripción se rechaza.

Ambos pasos, a los que hay que añadir la consolidación


del control de las cláusulas abusivas o contrarias a las
leyes, son evidentemente una buena dirección para ga-
rantizar la plena protección de los consumidores en estos
productos, en suma el trabajo de los registradores ha au-
mentado pero lo vemos con satisfacción, ya que entende-
mos que esto va en beneficio de la seguridad jurídica de
los contratos de hipoteca, pues no hay que olvidar que
la hipoteca es un derecho que se constituye cuando se
inscribe en el registro y que haya un mayor control registral
evitará abusos y nulidades.

¿Qué significa el hashtag #ValoresRegistradores?


Con esta campaña, queríamos de una manera visual, cuáles son su misión, visión y valores, conectando con los
mostrar los distintos valores (10 en la campaña) con los que tenga la sociedad.
que el Colegio de Registradores y los registradores en ge-
neral nos identificamos y queremos que se nos asocie.
Recientemente ha firmado un acuerdo con CEPYME
Entre ellos no podían faltar la seguridad jurídica, el servi- para acercar los servicios de los registradores a los
cio público, la confianza o la transparencia, y a su lado la empresarios ¿Creen que la empresa es conocedora del
innovación, la excelencia, la sostenibilidad, la ilusión, la papel de los registradores? ¿Cómo pueden ayudar a las
cercanía y el compromiso. En cada uno de ellos se seña- pymes?
la cómo asumimos estos diferentes valores el Cuerpo de Estamos al inicio de esta colaboración y es normal que
Registradores. todavía no se conozcan las distintas posibilidades que se
ofrecen a los empresarios, por eso es especialmente im-
portante que esta relación sea en un doble sentido, por un
MOSTRAR LOS DISTINTOS VALORES lado, a través del ofrecimiento de los servicios que presta
en los registradores y por otro a través de las comunicacio-
(10 EN LA CAMPAÑA) CON LOS QUE EL nes de las demandas y necesidades de los empresarios
COLEGIO DE REGISTRADORES Y LOS para así poder mejorar en la prestación de los servicios.
REGISTRADORES EN GENERAL Como antes comentaba los servicios on line a través de la
página www.registradores.org creo que serán valorados
NOS IDENTIFICAMOS Y QUEREMOS positivamente ya que permiten ahorrar no sólo costes ma-
QUE SE NOS ASOCIE teriales sino especialmente tiempo, nuestro objetivo debe
ser buscar un servicio cómodo que se ajuste a las nuevas
necesidades de las empresas.
El hashtag y la campaña de #ValoresRegistradores, tuvie-
ron mucho éxito en las redes sociales y nos permitió trans-
mitir los valores e ideas con los que estamos firmemente
comprometidos, ya que es muy importante para cualquier JOSÉ MIGUEL TABARÉS CUADRADO
organización o entidad, poder comunicar a la sociedad registradores.org

176
CONOCE
A LAS 500 EMPRESAS
ESPAÑOLAS
QUE SON LÍDERES
EN CRECIMIENTO
EMPRESARIAL

Acceso directo a las webs


de las empresas CEPYME500,
datos económicos, presencia
en mercados internacionales,
enlaces de interés, etc

DESCÁRGATE LA APP
VI PREMIOS CEPYME

178
VI PREMIOS CEPYME

INMUNOTEK
PREMIO PYME DEL AÑO

VI PREMIOS
CEPYME
La Confederación Española de la Pequeña y Mediana Empresa
(CEPYME) entregó sus Premios anuales en una ceremonia que contó
con la participación de la vicepresidenta tercera del Gobierno y mi-
nistra de Asuntos Económicos y Transformación Digital de España,
Nadia Calviño.

En su intervención en el acto, Nadia Calviño destacó la calidad de las


pymes españolas, que son “motor de crecimiento, de creación de em-
pleo y de innovación”. Calviño señaló que, en “un contexto complica-
do, la economía española se está comportando mejor que otras eco-
nomías gracias a las empresas, uno de los activos más importantes”.

Por su parte, el presidente de CEPYME, Gerardo Cuerva, señaló que


“pyme es sinónimo de empresa fuerte, empresa líder”, como las
empresas premiadas en esta edición y reivindicó el “orgullo de ser
pyme”, “especialmente porque son las casi tres millones de peque-
ñas y medianas empresas y autónomos que hay en España las que
cada mañana ponen en marcha el país”.

En el acto intervino también el consejero delegado de Santander Es-


paña, Rami Aboukhair, que destacó el apoyo que Banco Santander
presta a las pymes.

179
VI PREMIOS CEPYME

EL PREMIO CEPYME A LA PYME


DEL AÑO 2019 PYME INNOVACIÓN
Patrocinado por Banco Santander,  TECNOLÓGICA
recayó en la empresa  Patrocinado por Facebook

INMUNOTEK ALGAENERGY
Empresa madrileña especializada en el Empresa madrileña de biotecnología, fun-
desarrollo y producción de vacunas, que dada en 2007, dedicada al cultivo de mi-
tiene sus orígenes en un negocio familiar. croalgas para sectores como la agricultura,
Inmunotek presenta un fuerte componen- cosmética, acuicultura, nutrición, etc. Des-
te de innovación científica y el 50% de su taca por su innovación y desarrollo de nue-
producción se dirige al exterior, principal- vos productos y los medios destinados a la
mente a países de la Unión Europea, pero I+D+i, que la han convertido en un referente
también a otros de los cinco continentes. mundial en el cultivo y aprovechamiento de
Actualmente, la empresa cuenta con 250 las microalgas.
profesionales de alta cualificación.
inmunotek.com algaenergy.es

180
VI PREMIOS CEPYME

PYME DESARROLLO PYME CREACIÓN DE EMPLEO


INTERNACIONAL Patrocinado por Randstad
Patrocinado por UPS
GRUPO R QUERALTÓ
GPA INNOVA Empresa de Sevilla, cuyos orígenes se re-
Empresa de Barcelona, creada en 2013, montan a 1898, especializada en suminis-
especializada en el desarrollo, producción tros médicos, productos y servicios para la
y comercialización de soluciones de pulido salud. Distribuye sus productos en toda Es-
de metales para los sectores médico, den- paña y en más de 30 países. Desde 2016
tal, automoción y aeronáutica, entre otros. hasta 2018 ha incrementado su plantilla
Está presente en los cinco continentes y un 196%, pasando de 27 empleados a 80,
tiene una red de distribuidores en más de más del 50% de ellos en el último año.
20 países.

gpainnova.com queralto.com

181
VI PREMIOS CEPYME

PYME PROYECTO PYME O EMPRESARIO


EMPRENDEDOR AUTÓNOMO POR LA INCLUSIÓN
Patrocinado por Securitas
LABORAL DE LAS PERSONAS
ECAPTURE3D CON DISCAPACIDAD
Empresa de Badajoz, cuya actividad se cen- Patrocinado por Inserta-Fundación Once
tra en la generación de modelos 3D desde
cualquier dispositivo y para todo tipo de ALBERTO MUÑOZ PALACIO
usuarios, de manera fácil ya precios asequi- Restaurante Pájaros en la Cabeza
bles a través de una plataforma web. Empresa de Zaragoza, que nació en 2014,
cuenta con el apoyo de Fundación Down
Zaragoza y es el primer establecimiento de
Aragón que ofrece un contrato laboral a jó-
venes con síndrome Down.

ecapture3d.com restaurantepajarosenlacabeza.com

182
VI PREMIOS CEPYME

PYME POR LA IGUALDAD PYME TRANSFORMACIÓN


Patrocinado por Visa DIGITAL
Patrocinado por Orange
OION BUSINESS SUPORT
Empresa de Zaragoza, especializada en so- NORTEÑA DE APLICACIONES Y OBRAS
luciones de externalización de servicios y Empresa de Burgos del sector auxiliar de
procesos a nivel global, centrados en tres la industria, rehabilitación y construcción,
áreas: atención multicanal, gestión docu- que se dedica a las impermeabilizaciones.
mental y digitalización y marketing. En 2017 Desde hace años se han centrado en la es-
pusieron en marcha un Plan de igualdad de pecialización y desarrollo de la tecnología
oportunidades que se integra en el cuadro necesaria para una gestión completamente
de mando de la compañía y es el medio digital en este sector.
para alcanzar los objetivos en materia de
acceso al empleo, clasificación profesional,
formación y promoción y retribuciones.
oion.es nortena.es

183
VI PREMIOS CEPYME

PYME EFICIENCIA ENERGÉTICA PYME CON MEJORES


Y SOSTENIBILIDAD PRÁCTICAS DE PAGO
Patrocinado por Endesa Patrocinado por Informa

MIXER & PACK NORMADAT


Empresa de Madrid, especializada en la fa- Empresa de Madrid, especializada en la ex-
bricación de perfumería y cosmética para ternalización de servicios relacionados con
terceras marcas. Sus productos llegan a la gestión de información, digitalización,
más de 120 países. Su actividad se basa custodia y destrucción de fondos documen-
en un proceso sostenible y respetuoso con tales. Desarrolla una estrategia de pagos
el medio ambiente y una gestión energética basada en ofrecer el pago más inmediato o
eficiente. el menor tiempo de espera para los provee-
dores, con una media de 15 días.

mixerpack.es normadat.es

184
VI PREMIOS CEPYME

Además de estos galardones, se hizo en esta edición un


reconocimiento especial para el expresidente de CEIM,
Juan Pablo Lázaro y para la empresa Mercadona.
AUTÓNOMO DEL AÑO
Patrocinado por Peugeot Por su parte, Iberia-On Business, como empresa colabora-
dora en estos Premios obsequió a la empresa reconocida
JESÚS ESTEBAN BARRIO como Pyme del Año con dos billetes en Business a Europa.
TicandBot La edición de este año contó con el patrocinio de Banco
Ubicada en La Rioja, TicandBot es una es- Santander y la colaboración de Inserta-Fundación Once;
cuela de pensamiento lógico en la que ni- Facebook, Randstad; Orange; UPS; Endesa; Visa; Peugeot,
ños de 4 a 16 años aprenden a resolver Informa, Securitas, Iberia-On Business, Wolters Kluwer
problemas a través de herramientas infor- y Vocento.
máticas, programación, robótica, impresión
3D y drones. Creada en 2015, cuenta ade-
más de con su propia sede con 25 centros
educativos y presencia en tres Comunida-
des Autónomas.

ticandbot.com

185
QUÉ LEER

THE SECRET TO
CYBERSECURITY 
FOREFRONT
BOOKS
SCOTT AUGENBAUM
Cybersecurity
192 páginas | Inglés

The Secret to Cybersecurity  is the simple and


straightforward plan to keep you, your family, and
your business safe. Written by Scott Augenbaum,
a 29-year veteran of the FBI who specialized in
cybercrimes, it uses real-life examples to educate
and inform readers, explaining who/why/how so
you’ll have a specific takeaway to put into action
for your family. Learn about the scams, methods,
and ways that cyber criminals operate—and learn
how to avoid being the next cyber victim.

186
QUÉ LEER

MALWARE
DATA SCIENCE
RANDOM HOUSE
LCC US
JOSHUA SAXE
Seguridad informática
272 páginas | Inglés

Security has become a “big data” problem. The


growth rate of malware has accelerated to tens of
millions of new files per year while our networks
generate an ever-larger flood of security-relevant
data each day. In order to defend against these ad-
vanced attacks, you’ll need to know how to think
like a data scientist. In Malware Data Science, se-
curity data scientist Joshua Saxe introduces ma-
chine learning, statistics, social network analysis,
and data visualization, and shows you how to apply
these methods to malware detection and analysis.

187
LA PALABRA DE HACKER

PALABRA
de
HACKER

188
LA PALABRA DE HACKER

Los hackers están rompiendo los sistemas para La ingeniería social se ha convertido en aproxima-
obtener ganancias. Antes, se trataba de curiosidad damente el 75% del conjunto de herramientas de
intelectual y búsqueda de conocimiento y emoción, un hacker promedio, y para los hackers más exito-
y ahora piratear es un gran negocio.  sos, alcanza el 90% o más.
Kevin Mitnick John McAfee
___________________________________________ ___________________________________________

Es un secreto bastante público que casi todos los Enfrentamos amenazas cibernéticas de piratas
sistemas pueden ser pirateados, de alguna mane- informáticos patrocinados por el estado, piratas
ra. Es un secreto menos público que tal piratería se informáticos contratados, sindicatos cibernéticos
ha vuelto bastante convencional.  mundiales y terroristas.  Buscan nuestros secretos
Dan Kaminsky de estado, nuestros secretos comerciales, nuestra
___________________________________________ tecnología y nuestras ideas, cosas de un valor in-
creíble para todos nosotros. Buscan golpear nuestra
Estupidez humana, por eso los hackers siempre ganan. infraestructura crítica y dañar nuestra economía. 
Med Amine Khelifi James Comey
___________________________________________ ___________________________________________

“Durante décadas nos preocupamos por las armas Ser capaz de superar la seguridad no te convierte en
de destrucción masiva. Ahora es el momento de un hacker, de la misma forma que hacer un puente
preocuparse por un nuevo tipo de armas de destruc- a un coche no te convierte en ingeniero mecánico.
ción masiva: Armas de interrupción masiva. ” Eric S. Raymond
John Mariotti ___________________________________________
___________________________________________
Si crees que la tecnología puede solventar tus pro-
“De hecho, sí, eran infalibles. El problema es que no blemas de seguridad, entonces no entiendes los
tienes que protegerte contra los tontos. Tienes que problemas y no entiendes de tecnología.
protegerte contra personas como yo. ” Bruce Schneier
Jeffery Deaver ___________________________________________
___________________________________________
El único sistema completamente seguro es aquel
Somos anónimos. Somos legión. Nosotros no perdo- que está apagado, encerrado en un bloque de ce-
namos. No olvidamos. Espéranos. mento y sellado en una habitación rodeada de
@Anon Group 7 alambradas y guardias armados.
___________________________________________ Gene Spafford
___________________________________________
Las empresas invierten millones en firewalls, cifrado
y dispositivos para acceder de forma segura, y es di- Los hoaxes utilizan  debilidades en el comporta-
nero malgastado, porque ninguna de estas medidas miento humano, para asegurarse de ser replicados
corrige el nexo más débil de la cadena. y distribuidos. En otras palabras, los hoax atacan el
Kevin Mitnick sistema operativo humano.
___________________________________________ Stewart Kirkpatrick
___________________________________________
Si bien la gran mayoría de los piratas informáticos
pueden no estar dispuestos a la violencia, solo se Las contraseñas son como la ropa interior: no dejes
necesitarían unos pocos para convertir el ciberterro- que otros las vean, cámbialas con frecuencia y no
rismo en realidad.  las compartas con desconocidos.
Dorothy Denning Chris Pirillo
___________________________________________ ___________________________________________

189
THE NATIO
PL AYLIST | THE NATIONAL

190
ONAL
PL AYLIST | THE NATIONAL

Murder Me Rachael Terrible Love


Sad Songs for Dirty Lo- High Violet | 2010  
vers | 2003  
Lemonworld
All the Wine High Violet | 2010  
Cherry Tree | 2004  
I Should Live in Salt
About today Trouble Will Find Me |
Cherry Tree | 2004   2013

Looking for Astronauts Don’t Swallow The Cap


Alligator | 2005   Trouble Will Find Me |
2013
Mr. November
Alligator | 2005   Day I Die
Sleep Well Beast | 2017
Baby We’ll Be Fine
Alligator | 2005  
Walk it Back
Sleep Well Beast | 2017
Secret Meeting
Alligator | 2005  
Guilty Party
Sleep Well Beast | 2017
Mistaken for Strangers
Mistaken for Strangers |
2007   Dark Side Of The Gym
Sleep Well Beast | 2017
Slow Show
Boxer | 2007   Hey Rosey
I Am Easy to Find | 2019
Fake Empire
Boxer | 2007   Rylan
I Am Easy to Find | 2019
Brainy
Boxer| 2007   Light Years
I Am Easy to Find | 2019
Vanderlyle Crybaby
Geeks Hairpin Turns
High Violet | 2010   I Am Easy to Find | 2019

CINCINNATI, OHIO, EEUU


INDIE ROCK
ROCK ALTERNATIVO
POST-PUNK REVIVAL
1999 - actualmente

191
plan

ORGANIZACIONES
EXPONENCIALES
Nº16|ABRIL2020

También podría gustarte