Cortafuegos, VPN, IDS, malware, phishing, spyware, troyanos, hacking… Trabajar en un entorno digital ha rodeado la actividad diaria de peligros e incertidumbres que pueden ir desde un simple robo de datos al vaciado total de los fondos de una compañía. Las empresas relacionadas con el Business Travel y el MICE no son ajenas, máxime cuando se manejan datos, divisas, transacciones… Según los expertos, la mejor arma es, en muchas ocasiones, el sentido común.
La seguridad en internet tiene ante todo un componente personal. «Debemos actuar en digital, pero pensar en analógico», afirma con rotundidad Ángel Bahamontes, presidente de la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (ANTPJI). Este experto en investigar delitos informáticos se refiere a que muchas veces la protección —avanzados sistemas tecnológicos aparte— se basa en el simple y llano sentido común.
«Es necesario extremar las precauciones cuando se habla de seguridad informática, puesto que los delincuentes tienen muchos más medios y tiempo para actuar que nosotros», añade. Y tanto que actúan pues, según Bahamontes, el casi medio millar de peritos informáticos que componen su asociación llevan a cabo una medida de cuatro intervenciones al día. El cibercrimen no descansa y crea nuevas formas, más sutiles y avanzadas, de llevar a cabo sus delitos. Ahora, con la IA, todavía más.
Además, si consiguen su objetivo, en muchas ocasiones se produce la tormenta perfecta: o bien el afectado no se puede permitir el lujo de denunciar (por cuestiones de intimidad o de publicidad), o bien no se puede identificar al infractor (amparado por la privacidad de internet, incluso a miles de kilómetros), o bien, como en el caso de los delitos relacionados con la IA, no hay una legislación al efecto. Por tanto, en materia de ciberseguridad, siempre es mejor prevenir que curar.
Datos y MICE
La gestión de los datos y la ciberseguridad en el MICE supone unos desafíos importantes, sobre todo desde la entrada en vigor de la Ley de Gobernanza de Datos de la Unión Europea, en septiembre de 2023. Tal es así, que se está solicitando ya una certificación de seguridad de datos en eventos, por ejemplo, la otorgada por Eventsost. «La certificación de seguridad de la información está ganando un papel crucial en el ámbito de los eventos, y con razón. La gestión de eventos implica el manejo de una gran cantidad de información confidencial, desde direcciones de domicilios hasta cuestiones sanitarias, como intolerancias alimentarias, entre otros. Estos datos sensibles deben manejarse de manera segura y protegida. En este contexto, contar con un sistema certificado para su protección se ha convertido en un aspecto de vital importancia», explica Alberto Gómez Castillo, coordinador general de Eventsost.
Para analizar esta realidad, Global MICE Forums organizó hace un tiempo la mesa «Ciberseguridad, gestión del dato y modelos de colaboración en los eventos asociativos», que contó con diversos expertos, entre ellos Guillermo Obispo, socio fundador de ProtAAPP. En su opinión, las cinco dimensiones de la seguridad de la información son: confidencialidad, es decir, que la información esté disponible solamente para las personas que tengan que acceder a ella; integridad, que se modifique únicamente por quien debe hacerlo; disponibilidad, que esté accesible en el momento en que se requiera y viceversa; autenticidad, que sea veraz; y trazabilidad, o rastreo de las acciones hechas sobre una determinada información. Cada una de estas dimensiones tiene su nivel de riesgo.
Según los especialistas de Kaspersky, si se produce un robo de datos y su exposición en público, hay que tomar una serie de medidas. En primer lugar, cambiar las claves lo antes posible. En segundo, si la información bancaria se ha visto expuesta, bloquear todas las tarjetas y cambiar datos de acceso. Y si es necesario, la cuenta hackeada ha de ser eliminada y abrir una nueva.
Pero como siempre, lo mejor es prevenir. Los técnicos de esta compañía abogan por compartir lo menos posible datos personales, usar la autenticación de doble factor, ser cuidadoso al elegir las empresas con las que compartir información sensible y, sobre todo, tener cuidado con la suplantación de identidad en correos o mensajes. Ahora, con la inteligencia artificial, las prevenciones tienen que ser aún mayores con ciertas comunicaciones muy directas y personalizadas.
Tendencias
Precisamente, entre las tendencias de ciberseguridad detectadas en 2024 se encuentra la mencionada irrupción de la IA y su utilización para cometer delitos. Tradicionalmente, los ataques de phishing (suplantación) se han basado en técnicas de ingeniería social para engañar a las personas y conseguir que divulguen información sensible. Sin embargo, «con la llegada de la IA los ciberdelincuentes han adquirido una ventaja alarmante en sus actividades maliciosas. Aprovechando los algoritmos de aprendizaje automático, los atacantes pueden analizar grandes cantidades de datos para elaborar mensajes personalizados y convincentes que burlen las medidas de seguridad tradicionales», explica Luke Noonan, de Meta Compliance.
El caso más extremo sería el Deepface Menace, falsificaciones profundas en las que los atacantes crean contenidos de audio y vídeo realistas que suplantan la identidad de personas y organizaciones. Ha habido casos de este tipo realmente preocupantes en grandes empresas, asegura Noonan.
Hay que tener en cuenta que, como indica la consultora tecnológica Gartner, la superficie de posible ataque se ha incrementado en los últimos años. Muchos trabajadores que manejan datos sensibles trabajan de forma remota, el volumen de datos alojados en la nube es mucho mayor, las cadenas de suministro están más conectadas que nunca… Esto supone mejores vías de entrada para los delincuentes, con una creciente vulnerabilidad de las empresas, expuestas a todo tipo de robo de datos, acceso a fondos, simulación de identidad o secuestro de los sistemas a cambio de una remuneración económica.
Otra de las tendencias señaladas por Gartner, relacionada ahora con la IA, es la defensa de las identidades, que se ven permanentemente atacadas para tratar de acceder al corazón de las organizaciones. Es lo que los profesionales del sector denominan ITDR (Identity Threat Detection and Response), un factor crítico que tiene múltiples caras. Por ejemplo, la señalada por Kaspersky, que hace mención a casos en los que se suplanta la personalidad de un superior para solicitar algo de sus empleados. Si estos tienen acceso a los fondos, los delincuentes pueden llegar a ellos hackeando sus mensajes. Si el trabajador no tiene acceso, normalmente buscan hacerse con datos y contraseñas.
Relacionado con la defensa está el concepto de ‘malla de ciberseguridad’, un elemento de la estrategia de protección digital que permite a la empresa desplegar la seguridad en sus elementos de manera integral, ya sean instalaciones, centros de datos o la nube. A mayor densidad en la malla, menos riesgo de problemas.
Pero al final, y esto es una realidad permanente, la mayoría de los problemas se producen por fallos humanos, como indica Ángel Bahamontes, de ANTPJI. Hay que apostar por personal de ciberseguridad, que curiosamente, muchas veces se externaliza. «En ocasiones, los problemas vienen por ese personal de fuera, que no sabemos qué hace con nuestros datos», advierte. La clave es la concienciación de que la seguridad informática es vital para prevenir problemas que luego es muy difícil solucionar. Además, tiene que ser una protección global y común a todos los empleados. «De nada sirve —insiste este experto— tener un gran sistema si luego hay empleados que en una simple llamada telefónica facilitan a personas indeseables datos críticos».
Precisamente por esa necesidad de ir todos a una frente a esta amalgama de riesgos y ataques, se impone la tendencia Zero Trust Security, un enfoque estratégico que exige la verificación de cada persona y dispositivo que intente acceder a los recursos de la red, con independencia de que se hallen dentro o fuera de su perímetro. Cada vez más empresas están apostando por esta filosofía.
Legislación necesaria
Pero las empresas y los particulares no pueden combatir solos, necesitan de un apoyo legislativo que combata la ciberdelincuencia. Paulatinamente, los gobiernos van aplicando normas y requisitos más estrictos. Una de las directrices más recientes es la Directiva NIS2 o Directiva de Seguridad de las Redes y de la Información que, como explican desde Meta Compliance, mejorará la ciberseguridad y permitirá proteger las infraestructuras críticas en toda la UE. La idea es exigir a las organizaciones que apliquen prácticas de gestión de riesgos y notifiquen los principales incidentes. Además, propone medidas de supervisión más estrictas y sanciones más elevadas.
Otro gran paso ha sido —de nuevo- el concerniente a la IA. La Ley de Inteligencia Artificial es una propuesta de reglamento europeo, la primera normativa exhaustiva sobre este asunto de un regulador importante del mundo. La norma clasifica las aplicaciones basadas en esta tecnología en tres categorías de riesgo. En primer lugar, se prohíben las aplicaciones y los sistemas que crean una amenaza inaceptable, como los sistemas de puntuación social gestionados por el gobierno, como los que se utilizan en China. En segundo, las aplicaciones de alto riesgo, como una herramienta de escaneo de CV que clasifica a los solicitantes de empleo, están sujetas a requisitos legales específicos. Por último, las aplicaciones que no están explícitamente prohibidas o catalogadas como de alto riesgo quedan en gran medida sin regular.
Riesgos para el usuario
Si lo anterior hace especial mención a las empresas, los particulares no se quedan atrás en su exposición al riesgo. La industria del viaje y el turismo depende en gran medida de internet, con unas cifras que ronda los 8 de cada 10 viajes contratados en el entorno virtual, según datos de la OMT. «Los usuarios compran billetes de avión, reservan habitaciones de hotel o un coche en todo tipo de webs y proporcionan su tarjeta de crédito, su DNI o demás información altamente confidencial», advierte Daniel Markuson, de experto en privacidad digital en NordVPN, compañía proveedora de redes privadas virtuales.
El especialista incide en cuatro graves riesgos. En primer lugar, la creación de páginas web falsas para ofrecer paquetes o servicios de transporte muy llamativos. Cuando el cliente intenta hacer la reserva, se hacen con sus datos bancarios. «Hay que desconfiar de lo que no haríamos directamente en nuestra vida diaria. Si nos ofrecen descuentos exagerados cara a cara, desconfiamos; sin embargo, nos creemos ofertas extraordinarias en plataformas online que no conocemos», explica el presidente de ANTPJI.
El segundo riesgo viene por los correos electrónicos, que abren la puerta al denominado phishing. Son correos falsos con apariencia normal, en los que se pide información personal, se invita a concursos online, se ofrecen viajes baratos… NordVPN recomienda comprobar siempre la dirección del emisor, los elementos de la página, etc. Ante cualquier duda, hay que contactar con la agencia de viajes o la compañía del servicio del que se trate.
Otra vía de entrada para posibles estafas son las redes de wifi inseguras. Para ahorrar tarifas en el extranjero, multitud de viajeros usa las redes públicas. Por desgracia, estas son una gran amenaza para la información confidencial. «También es muy frecuente el robo de sesión: los hackers se conectan a una red pública y rastrean toda actividad online de los usuarios en otra red», explica Markuson. «Se da el caso en que los delincuentes crean una red pública, y el usuario, si no ha configurado bien su dispositivo —ordenador, tablet o smartphone—, al entrar en su radio de acción automáticamente se conecta, y por ahí se accede a todos sus datos sin que se sepa».
Finalmente, otro problema para el viajero en internet está relacionado con la imposibilidad de acceder a todo aquello que desea. En determinados países, es posible que algunas redes sociales, plataformas de streaming, aplicaciones, etc., estén censuradas, por lo que no se podrá acceder a no ser que se trate de una red privada. Una vez más, la prudencia en estos casos es fundamental para evitar males mayores.
MICE, EL ORDENADOR MÁS INFECTADO DEL MUNDO
VirusTotal es una compañía española de ciberseguridad que, por motivos de investigación, ha creado el ordenador más infectado del mundo. Pese a ello, sigue siendo operativo. Tiene una treintena de virus y puede funcionar hasta 24 horas. Curiosamente, este pc se denomina mice, siglas de Most Infected Computer Ever, y el objetivo de la compañía que lo ha creado es descubrir cuántos troyanos de distintas familias se pueden ejecutar al mismo tiempo antes de que el ordenador quede inutilizado. Además, se ha convertido en una pieza para conocer la historia de la ciberseguridad, pues incluye virus como el Ambulance, detectado hace más de veinte de años en Alemania, y que atacaba a los vetustos sistemas dos.
ALGUNOS CONSEJOS BÁSICOS
Según la ANTPJI, muchos de los problemas que se producen a diario en el entorno digital se podrían evitar con una simple rutina de siete consejos, si se opta por no contratar a un experto en seguridad informática:
- Instalar un antivirus eficaz. Resulta beneficioso para todo tipo de problemas asociados al uso del ordenador.
- Cerrar siempre la sesión en todas las cuentas cuando termine de usarlas, sobre todo si el ordenador se comparte.
- Usar un firewall (cortafuegos) para tener acceso seguro a internet.
- Hacer copias de seguridad.
- Utilizar servidores VPN, redes privadas o páginas https para hacer transacciones. Nunca usar las públicas.
- Realizar copias de seguridad periódicamente.
- Mantener el software y los sistemas actualizados, pues mejoran su seguridad.
Por el contrario, Kaspersky señala varios «vicios» que se pueden convertir en puerta de entrada de un ataque:
- Descargar aplicaciones, sobre todo de ocio, sin comprobar la información.
- No bloquear el ordenador cuando nos levantamos del puesto.
- Ignorar las actualizaciones del sistema operativo, que sirven para actualizar los sistemas de defensa.
- Realizar muchas tareas al mismo tiempo, que pueden distraernos y llevarnos a aceptar mensajes fraudulentos por falta de atención.
- Entrar por curiosidad en enlaces llamativos, ofertas fabulosas, etc.
- Aceptar los términos de servicio sin leerlos.
- Registrarse en webs utilizando el nombre de usuario en redes sociales.
AUTENTICACIÓN EN LOS PAGOS
Los pagos y su posible fraude es otro de los campos de batalla de la seguridad de las empresas. De forma paralela a su sofisticación, se ha avanzado en la protección y en la legislación para garantizar la máxima protección. Como indica Sipay Plus, pasarela de especializada en transacciones seguras, la entrada en vigor de la nueva normativa de pagos europea (PSD2) ha supuesto un gran cambio en las reglas de juego. Establece la obligatoriedad de exigir al usuario la autenticación reforzada o SCA, basada en el uso de dos o más factores de identificación. Estos se basan en el conocimiento, como un PIN o contraseña; la posesión, como una tarjeta; y la inherencia, como la huella o el iris.
Este último aspecto hace referencia a la biometría, que se está extendiendo entre las compañías de viajes —la última en adoptarla ha sido Iberia—. Su ventaja es que es inherente, propia del usuario, no se puede perder como una tarjeta o robar como un PIN. Además, es mucho más rápida, lo que permite fidelizar al cliente en su uso.
ALGUNOS TÉRMINOS FUNDAMENTALES
El Instituto Nacional de Seguridad (incibe) ha elaborado un completo glosario de términos para entender la realidad de la seguridad informática. Quince de los elementos claves son:
Adware
Software que se apoya en anuncios como parte del propio programa. En algunos casos se les considera malware. Común en las versiones gratuitas en las aplicaciones.
Ataque combinado
Es uno de los ataques más agresivos, ya que se vale de métodos y técnicas muy sofisticadas que combinan distintos virus informáticos, gusanos, troyanos y códigos maliciosos, entre otros. Utiliza el servidor y vulnerabilidades de internet para iniciar, transmitir y difundir el ataque, que se extiende rápidamente y ocasiona graves daños.
Brecha de seguridad
Violaciones de la seguridad que causan destrucción, pérdida o alteración, accidental o deliberada, de datos personales al ser transmitidos, cuando están almacenados o son objeto de otros tratamientos.
Captcha
Acrónimo de Completely Automated Public Turing test to tell Computers and Humans Apart; en español, «Prueba de Turing completamente automática y pública para diferenciar ordenadores de humanos». Es un tipo de medida de seguridad que consiste en la realización de pruebas desafío-respuesta controladas por máquinas que sirven para determinar cuándo el usuario es un humano o un bot, según la respuesta a dicho desafío.
Cortafuegos
Sistema de seguridad compuesto o bien de programas (software) o de dispositivos hardware situados en los puntos limítrofes de una red que tienen el objetivo de permitir y limitar el flujo de tráfico entre los diferentes ámbitos que protege sobre la base de un conjunto de normas.
Cracker
Ciberdelincuente que accede de forma no autorizada a sistemas informáticos para menoscabar la integridad, la disponibilidad y el acceso a la información en un sitio web o en un dispositivo electrónico.
Dropper
Es un fichero ejecutable que instala un malware en el equipo donde se ejecuta. Este puede estar contenido en el programa, aunque lo normal es que lo descargue desde internet.
Gusano
Es un programa malicioso caracterizado por su alto grado de «dispersabilidad», o rapidez de propagación. Mientras que los troyanos dependen de que un usuario acceda a una web maliciosa o ejecute un fichero infectado, los gusanos realizan copias de sí mismos, infectan a otros ordenadores y se propagan automáticamente, independientemente de la acción humana.
IDS
Intrusion Detection System, un sistema para detectar accesos no autorizados a un ordenador o una red.
Malware
Es un tipo de software para dañar o infiltrarse sin el consentimiento de su propietario en un sistema de información: virus, gusanos, troyanos, backdoors, spyware, etc. La nota común a todos estos programas es su carácter dañino o lesivo.
Phishing
Técnica o tipo de ataque en el que alguien suplanta a una entidad o servicio mediante un correo electrónico o mensaje instantáneo para conseguir las credenciales o información de la tarjeta de crédito de un usuario. Suele tener un enlace (o fichero conteniendo el mismo) a un sitio web que suplanta al legítimo y que usan para engañarlo.
Ransomware
Malware cuya funcionalidad es «secuestrar» un dispositivo (en sus inicios) o la información que contiene de forma que, si la víctima no paga el rescate, no podrá acceder a ella.
Spyware
Malware que recopila información de un ordenador y después la envía a una entidad remota sin el conocimiento o el consentimiento del propietario del ordenador.
Troyano
Malware con múltiples utilidades. La más común es crear una puerta trasera en el equipo infectado para poder descargar actualizaciones y nuevas funcionalidades. Los ordenadores infectados con un troyano se denominan bots o zombis.
Virus
Malware que tiene como característica principal que infecta ficheros ejecutables o sectores de arranque de dispositivos de almacenamiento.