Rosa Ortuño, experta en ciberseguridad: "Se enseña mucho a 'hackear' pero no a concienciar"
La experta analiza el estado actual de la seguridad informática empresarial, algo que va más allá de la tecnología y que pone el foco en la cultura, la conciencia y la buena gobernanza de datos en el sector industrial
11 junio, 2024 00:00Noticias relacionadas
La ciberseguridad es un tema que está a la orden del día. Semana tras semana se escuchan casos de entidades que sufren ataques en sus sistemas informáticos, constantes robos de información, suplantaciones de identidad, secuestros y un largo etcétera. ¿Pero por qué sucede todo esto?
Este medio ha contactado con Rosa Ortuño Melero, experta en ciberseguridad y fundadora de OptimumTIC, compañía catalana dedicada a la seguridad empresarial e industrial. Desde los ataques más comunes hasta los problemas estructurales, pasando por los hábitos y la cultura del dato, se ha elaborado un "estado del arte" para comprender mejor cuál es el escenario actual.
Los ataques más comunes
Aunque este aspecto no es el problema de raíz, es necesario conocer cuáles son los ataques informáticos más comunes. Del mismo modo, las causas de por qué se dan, y cómo se puede a acceder a la información para después llevar a cabo un uso malicioso.
Ortuño explica que la información es la materia prima para perpetrar un ataque. No obstante, los datos que se extraen en realidad son un combustible para cometer delitos como el phishing o las suplantaciones de identidad. "El timo del CEO es uno de los clásicos. Se hacen pasar por la directiva de una empresa para contactar con proveedores y pedir pagos. La gente se fía, ya que incluso la dirección de contacto es la misma, y acaban cayendo en la trampa".
El riesgo de la inteligencia artificial
Antes de seguir con los ataques, la experta recalca el papel incipiente de la inteligencia artificial (IA) para cometer delitos. El modus operandi que se detalla con esta herramienta es el siguiente: "Normalmente alguien se cuela en los servidores y rastrea todo tipo de información, pero se fijan en la manera de escribir y de expresarse. Se utiliza un algoritmo de lenguaje generativo, el cual se entrena a partir de la información que se roba. De esta manera, se mimetiza la manera de escribir de quien se suplanta la identidad para así dar más credibilidad a la estafa", explica.
Por qué se ataca a empresas
Volviendo a los ataques cibernéticos como tal, una de las preguntas que se plantea es "¿por qué?". Realmente, esto abre todo un ecosistema en sí mismo, en el cual hay inconmensurables variables que entran en juego.
Para hacerse a la idea, Ortuño detalla escenarios tan variopintos como "por casualidad, alguien descubre que el router de una fábrica no está actualizado, se cuela y empieza a jugar"; también habla de "empleados que ya no trabajan en el sitio, pero que siguen teniendo acceso con sus credenciales antiguas y nadie se ha dado cuenta"; e incluso, en un nivel superior, cuando el objetivo es atacar a alguien de dentro de la empresa, para ir a hacer daño, o simplemente, "porque saben que ahí hay mucho dinero" y se puede sacar un rédito suculento.
Por dónde entran los ataques
¿Cómo es posible que se "ciberataque" a una empresa? ¿Cuáles son los agujeros de seguridad? No, no suele ser "el iPad del CEO". Pero sí puede serlo, en palabras de la experta, "el ordenador que lleva 15 años con el mismo programa, porque les funciona, sigue conectado a la red y tiene Windows XP".
Sí, hay ordenadores que usan software obsoleto, porque los programas que se usan en determinadas plantas o cadenas de montaje rinden bien y no funcionan en equipos o sistemas más modernos. A veces el principio de "no tocar lo que no está roto" tiene consecuencias inesperadas.
Los equipos obsoletos que siguen conectados a la misma red que los demás terminales son uno de los principales agujeros "porque su software hace años que no se actualiza, y todo lo que no está actualizado es vulnerable y automáticamente queda expuesto", explica. No obstante, este "ordenador con XP" no es la única barrera de entrada.
El 'router' y la nevera
¿Qué tienen en común un router wifi y una nevera? Podría ser el inicio de un chiste, pero lo cierto es que ambos tienen software conectado. De hecho, los swicth (puentes de conexión a internet, como se llama en el argot) son otro de los "puntos calientes" más expuestos.
"El funcionamiento es simple. Se pueden detectar los códigos con los que funcionan los routers y, si estos son accesibles, se pueden reventar gracias a que el software no está actualizado. Entonces ocurre que se puede entrar hasta el fondo, y se rastrea toda la información que tiene acceso a internet", explica Ortuño.
La nube da igual
"Es un problema de estructura", dice. "Da igual que una empresa funcione con servidores propios o en la nube. El puente de conexión entre la entidad e internet va a ser el mismo. Por lo que, en realidad, el punto de ataque se va a explotar de la misma manera", añade.
Las empresas del sector industrial, a pesar de la digitalización en proceso que están llevando a cabo, no entienden de nubes, ya que el problema radica en algo que va más allá de los "cacharritos", como explica la experta.
Es cultura
El método de trabajar con equipos informáticos ha quedado atrás en muchos aspectos. "En la cultura de la empresa industrial, el director de planta no era el director de informática. Y los informáticos no pisaban las cadenas de producción", dice.
Las infraestructuras informáticas de muchas empresas han quedado obsoletas y muchas de ellas están sin supervisión. "Este es el verdadero agujero", afirma. Con el paso de los años, todo se ha ido interconectando, y estos ordenadores que no deberían estar conectados a internet (o al menos, estar en una red separada), se integran en el mismo ecosistema.
Logística
"La mejor manera de prevenir un ataque informático no es, para nada, sexy: control de inventario", afirma. ¿Pero qué tiene que ver esta frase con la cultura de empresa y los ordenadores? De acuerdo con su experiencia, la experta explica que "muchas empresas no tienen ni idea de los equipos conectados que tienen. Realizar un control de inventario para saber el software que tienen y actualizar todo a la última versión disponible del sistema operativo es el primer paso para prevenir ataques".
"En España, el control de la seguridad informática es algo que no ha estado encima de la mesa, como sí ocurre en otros países y en empresas multinacionales", lamenta. Achaca este problema a la falta de formación y de la concepción pobre de lo que supone tener equipos conectados a internet. "Aunque hay formaciones subvencionadas en ciberseguridad, hoy en día se enseña mucho a hackear, pero no a ser conscientes de la seguridad en entornos empresariales o industriales", añade.
Las empresas más atacadas en España
Otra de las cuestiones que se han planteado es: ¿hay algún tipo de empresa que sea más vulnerable que otra? La respuesta es que sí. Ortuño destaca las entidades públicas, las universidades y algunos hospitales. "Durante años no se ha llevado un control, se han subcontratado muchos proveedores y todo ha quedado muy disperso".
Por otro lado, también explica que las pequeñas y medianas empresas son las que reciben más ataques. Una de las razones es la falta de conocimientos de muchos profesionales a niveles más especializados. Otra, la propia infraestructura a nivel de hardware que se usa para trabajar. Pero en este último escenario, la responsabilidad de la seguridad es un terreno más pantanoso.
La cara oculta del fabricante
"Tú te compras una nevera con wifi. El proveedor te recomienda que la tengas siempre actualizada a la última versión del sistema. Pero puede que tú no sepas cómo actualizar, o tan siquiera si hay actualización disponible. Tú eres el responsable del uso que se le da al producto. ¿Ha venido alguien de la empresa a tu casa para que te diga que has de actualizar la nevera? No. Pues eso se aplica a la empresa", ilustra.
Esto, en el sector industrial, se traduce en todos y cada uno de los equipos conectados a internet. Desde los routers hasta los enchufes, pasando por los teléfonos móviles. La problemática de llevar a cabo un control de qué es lo que está actualizado, y lo que no, es lo que lleva a un "caos". Por eso, la importancia de llevar a cabo un control de inventario.
La práctica del buen dato
Ante este panorama, quizás quien lea este artículo se pregunte: "¿y cómo arreglo yo todo esto?". Se ha planteado la pregunta, y la respuesta es más elemental de lo que parece: "Actualizar, actualizar, actualizar y actualizar", afirma tajantemente Rosa Ortuño.
Los sistemas operativos cuentan con parches de seguridad y medidas de protección que repelen los ataques más nuevos que puedan salir. Por ello, es de vital importancia que no sólo se actualice todo a la versión más reciente, sino que se tenga un control de los equipos que hay conectados a la red, para que estos también puedan quedar protegidos.