Entrevista con el responsable de Ciberseguridad de INCIBE
¿Están los españoles preocupados por los riesgos cibernéticos? ¿Qué tipo de ciberataques son más frecuentes en España y cómo puede protegerte el seguro ante estas situaciones? En una entrevista con Estamos Seguros, el responsable de Ciberseguridad en INCIBE-CERT, Jorge Chinea, responde a estas y otras cuestiones.
¿Cómo han evolucionado los ciberataques en España en los últimos años?
Tomando como referencia la taxonomía de la Guía nacional de notificación y gestión de ciberincidentes, los incidentes más frecuentes durante los últimos años han sido de tres tipos:
- Fraude: uso no autorizado de recursos empleando tecnologías y/o servicios por usuarios no autorizados, como la suplantación de identidad, la violación de derechos de propiedad intelectual u otros engaños.
- Malware: cualquier pieza de software que lleve a cabo acciones, como extracción de datos u otro tipo de alteración de un sistema.
- Sistema vulnerable: fallos o deficiencias de un sistema que pueden permitir que un usuario no legítimo acceda a la información o lleve a cabo operaciones no permitidas de manera remota.
En relación a Tu Ayuda en Ciberseguridad, el servicio nacional, gratuito y confidencial que INCIBE pone a disposición de la ciudadanía y el sector privado para resolver sus dudas acerca de esta temática, las consultas que más han preocupado a los usuarios a lo largo de 2022 han sido:
- Fraudes online relacionados con el phishing y su variante smishing, sobre todo, de empresas de paquetería o del sector bancario, técnica mediante la cual los atacantes envían mensajes que contienen enlaces o aplicaciones maliciosas para estafar a sus víctimas con la idea de robarles datos personales, información financiera, o credenciales almacenadas,
- Consultas relacionadas sobre suplantación de identidad en redes sociales, donde un atacante se hace pasar por otra persona para cometer fraudes, ciberacosar o realizar sextorsión.
- Consultas relacionadas con llamadas fraudulentas donde se ofrecen falsos servicios de soporte técnico sobre los dispositivos, a los que, si se consiente el acceso remoto, se les da acceso libre a todos los datos del dispositivo, incluidos los personales o financieros, si los hubiera.
Relacionado con empresas, cabe detacar la recepción de consultas relacionadas con fraudes BEC (Business Email Compromise), en las que a través de correos electrónicos comprometidos y, en ocasiones, suplantando directivos de la empresa, consiguen obtener beneficios principalmente economicos.
La irrupción del Covid-19 trajo consigo la explosión del teletrabajo y las compras online. ¿Ha supuesto esto algún cambio en la ciberdelincuencia?
En los últimos meses, se ha notado un aumento de las consultas referidas a la privacidad de las cuentas, solicitando información sobre medidas para proteger y mejorar la seguridad de la información personal en la red y cómo actuar en caso de estar afectados por una filtración de datos.
Los ciberdelincuentes aprovechan el contexto social y reorientan sus ataques en función del contexto. Durante la pandemia, todo lo que tenía que ver con COVID-19 como señuelo
No era una técnica nueva. Antes y después se han hecho cosas parecidas con la muerte de alguna celebridad, con el black friday, los Juegos Olímpicos, el mundial de futbol, la Eurocopa, etc. Los delincuentes saben qué es lo más sensible en un determinado momento y buscan persuadir al usuario para que haga una determinada acción: pinchar en un enlace, facilitar datos…
Si al principio de la pandemia vimos incidentes relacionados con fraude de productos sanitarios, ERTE o relacionados con servicios de mensajería u otros utilizados masivamente durante el confinamiento, posteriormente se pudieron observar algunos casos relacionados con las medidas restrictivas o la vacunación. En cualquier caso, el porcentaje de incidentes frente al total fue totalmente residual.
¿Qué tipo de empresa está más expuesta a los ciberataques?
Más allá de las organizaciones a las que les afecta algún tipo de regulación de ciberseguridad (operadores de servicios esenciales, proveedores de servicios digitales u operadores críticos), no podemos hablar de un sector específico, sino de diferentes grados de madurez en materia de ciberseguridad. Una organización, por pertenecer a un sector o ser de un determinado tamaño, no necesariamente tiene por qué ser una empresa más expuesta. Lógicamente, los recursos de una mediana o gran empresa serán mayores, pero también serán muchos mayores los procesos de negocio en los que se deban implantar medidas.
Según el último estudio realizado en 2017 por parte del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI), bajo el título Encuesta sobre confianza digital en las empresas 2017, las empresas españolas están bastante concienciadas en referencia a los incidentes de seguridad y las consecuencias negativas que se pueden derivar de ellos. En este mismo estudio, se refleja que las empresas medianas y las grandes han indicado haber implantado medidas de ciberseguridad en mayor proporción que las microempresas y pequeñas empresas.
A veces, la prevención no basta y el riesgo cibernético se materializa. ¿Qué valor tienen los seguros frente a riesgos cibernéticos en estos casos?
Cuando dentro de una organización se realiza una gestión de riesgos adecuada, junto con aceptar, evitar, eliminar o mitigar el riesgo, siempre tenemos la opción de transferirlo.
Es justamente en este punto donde los seguros tienen un importante valor. La contratación de un ciberseguro ayuda a las empresas a tratar las consecuencias negativas de la materialización de la amenaza.
La aseguradora evaluará previamente a la firma del contrato todos los aspectos técnicos y de ciberseguridad que tiene la empresa en sus infraestructuras tecnológicas. Tras detectar vulnerabilidades, como configuraciones inseguras, sistemas no actualizados o falta de procedimientos o formación, exigirá las correcciones y mejoras necesarias para alcanzar un mínimo de seguridad antes de ofrecernos el seguro.
Deberemos tener en cuenta las condiciones que establezca la aseguradora, ya que no estarán cubiertos los incidentes que sean atribuibles a nuestra empresa por comportamientos ilícitos o intencionados, como puede ser la vulneración de las normativas en vigor en materia de comercio electrónico o de protección de datos.