Juntos día a día UN BLOG DE REALE SEGUROS

Ciberseguridad: lo que necesitas saber.

17 May 19

La nueva era digital conlleva beneficios para las empresas y las organizaciones, pero también muchos riesgos que debemos conocer para saber cómo mitigarlos o cómo actuar ante ellos. En este post te contamos qué es la ciberseguridad, cuáles son sus objetivos, cual es la normativa actual, las sanciones por incumplimiento en esta materia o los tipos más habituales de ciberataques.

Ciberseguridad ¿Qué es y cuáles son sus objetivos?

Hasta hace poco nadie hablaba de ciberriesgo o del riesgo que tienen las grandes, medianas y pequeñas empresas al usar Internet como un canal de comunicación, o de transacción con sus clientes. Hoy en día millones de datos sensibles  viajan cada día a través de correos electrónicos o son guardados en bases de datos alojadas en la red, quedando expuestos a uno de los 1.000 ciberataques que se produjeron en España en 2018, según podemos leer en el siguiente artículo.

¿Qué es?

El término ciberseguridad o seguridad informática hace referencia a los sistemas, herramientas, protocolos, medidas y reglas que tienen relación directa con la protección de los servidores y los equipos informáticos,

Todas estas acciones trabajan como una capa de seguridad, actuando en cuatro momentos:

  • Acciones encaminadas a la prevención que tratan de evitar que se produzca un ataque.

  • Acciones encaminadas a neutralizar un ataque una vez que este se produce.

  • Acciones encaminadas a reducir las consecuencias o efectos de un ataque, si el ataque tiene éxito: restablecimiento de sistemas, recuperación de información, etc.

  • Acciones encaminadas a la mejora continua de las tres primeras.

¿Cuáles son sus objetivos?

Hoy en día estamos cada vez más conectados, vivimos en un mundo global, móvil y digital, en el que los riesgos se han multiplicado exponencialmente. La cada vez mayor peligrosidad consecuencia de la digitalización de prácticamente todo, ha dado pie a un nuevo auge de esta disciplina que trabaja principalmente en evitar dos tipos de peligros:

  • Los daños en las infraestructuras informáticas y por tanto la caída de los servicios con componente tecnológico que ofrecemos a nuestros clientes. Es decir, tratan de evitar que no podamos continuar con nuestro trabajo o con nuestro negocio.

  • Robo de datos. Estos pueden ser de muy distinta índole. Datos de nuestros clientes, datos de patentes o información referente a nuestro negocio como beneficios, inversiones, planes de expansión u otro tipo de información sensible, personal o empresarial.

Para lograr estos objetivos se trabaja desde dos frentes:

  • Desde el ámbito nacional e internacional. Trabajando en la creación de estándares y en el desarrollo de políticas comunes entre los miembros de la unión europea y entre estos y el resto de organizaciones competentes a nivel internacional.

  • Desde el ámbito empresarial. Trabajando para adaptar los estándares a las necesidades concretas de cada organización, e impulsando el uso de herramientas, procesos y acciones concretas para prevenir, parar o minimizar los efectos de  estos ataques.

Cada vez más la seguridad en el ciberespacio es un objetivo común y se ha convertido por derecho propio en parte integrante de las agendas de los estados, cooperando estrechamente entre ellos para crear una base normativa que regule derechos, obligaciones y sanciones. Las principales normas a nivel comunitario y nacional sobre la materia son:

  1. NORMATIVA EUROPEA

  1. NORMATIVA NACIONAL.

  • Código penal, hace referencia en varios de sus artículos a aquellas actividades tipificadas como delitos informáticos, entre ellas, la intrusión informática, interceptación de transmisión de datos informáticos, los relacionados con la propiedad intelectual e industrial,  fraudes informáticos, sabotajes, posesión de software informáticos para cometer delitos, etc.

  • Real Decreto-ley 12/2018, que regula la seguridad de las redes y sistemas de información para la provisión de servicios esenciales y digitales, y establecer un sistema de notificación de incidentes.

  • Código de Derecho de la Ciberseguridad, que busca logar la seguridad del ciberespacio a través del desarrollo y aplicación de una política de ciberseguridad nacional.

  • Ley Orgánica de Protección de Datos personales y garantía de los derechos digitales que regula el tratamiento de los datos personales como derecho fundamental y las sanciones derivadas de un uso incorrecto de estos por las empresas y organizaciones.

Infracciones y sanciones en materia de ciberseguridad.

En el Artículo 36 del Real Decreto-ley 12/2018, de 7 de septiembre, publicado en el Boletín Oficial del Estado se recogen las siguientes infracciones, por omisión en la adopción de las medidas necesarias para protegerse frente a estos:

  • Sanciones muy graves: son muy graves aquellas que conlleven la falta de adopción de medidas para subsanar los incumplimientos detectados previamente, no notificar los incidentes o no tomar las medidas necesarias para futuros incidentes en la prestación de servicios digitales tanto en España como en otros Estados miembros. En este caso, la sanción económica por incumplimiento puede oscilar entre los 500.001 € hasta los 1.000.000 €.

  • Son graves: cuando, en el plazo de 5 años, el operador no adopta unas medidas mínimas tras requerirle por tercera vez la adopción de las mismas, no notificar incidentes, el desinterés para resolver estos incidentes, proporcionar información falsa o engañosa al público sobre los estándares de ciberseguridad que posee el operador y poner obstáculos cuando se le realicen auditorías. La sanción económica por incumplir estas medidas puede oscilar entre los 100.000 € hasta los 500.000 €.

  • Son faltas leves: aquellas que no estén recogidas en las dos anteriores, así como aquella que impediente la recolección de información por parte del CSIRT o la autoridad competente. Y en este caso, la sanción económica puede oscilar entre una simple amonestación  hasta los 100.000 €.

Estas cuantías varían dependiendo de diversos criterios que pueden ser, entre otros: el grado de culpabilidad o intencionalidad, el perjuicio causado, si se es reincidente, el número de usuarios afectados o el grado de implicación consecuencia de la infracción.

En 2017, los ministros de Asuntos Exteriores de la UE, durante un consejo en el que se discutía el posible ciberataque ruso contra la Organización para la Prevención de las Armas Químicas, coincidieron en crear un marco sancionador en respuesta a ciberataques y actividades cibernéticas maliciosas, sin embargo, la intención se quedó ahí.

Tipos de ciberataques: 

Qué es un “Malware”

Este término es la unión de las palabras “malicious software”. Se trata de programas que buscan infectar un dispositivo, móvil, ordenador, servidores, etc con la finalidad de que un tercero pueda extraer la información alojada en el mismo como: imágenes personales, contraseñas, etc. La principal forma de infección es a través de la descarga de archivos o la  instalación de aplicaciones.

Qué es el “Pishing”

Se conoce como  una suplantación de identidad, normalmente de una marca o persona que conozcamos o que sea reconocida. Esta suplantación se lleva a cabo a través de correos electrónicos o páginas web de marca para obtener información o claves de acceso a tarjetas o cuentas bancarias.  Funcionan haciéndonos cambiar las contraseñas de nuestras tarjetas o cuentas, o haciéndonos instalar una nueva aplicación de nuestro banco, aseguradora u operadores de suministros como agua, electricidad o gas.

Qué es un malware de rescate o “Ransomware”

Este ataque consiste en que, sin darnos cuenta, los hackers consiguen que nos instalemos un software implantado en un documento, un archivo adjunto o en los correos electrónicos que nos va a impedir volver a  acceder a nuestro dispositivo o a algún archivo del mismo. La persona u organización que está detrás de esta actividad, nos pedirá que le hagamos un pago para que podemos recuperar el control y uso de nuestro dispositivo.  En ocasiones, estos “secuestros” de dispositivos y documentos son falsos, aunque podemos encontrarnos en situaciones en los que tengamos que acudir a la autoridad competente por tratarse de un ataque real.

Qué es un Ataque de intermediario  o” MitM” 

Un “ataque de intermediario o MitM (man in the middle) consiste en introducirse entre la comunicación que tienen dos equipos para controlar dicha comunicación y/o que ese tráfico de datos pase por el que lo efectúa y así poder desencriptarlos para obtener contraseñas, mensajes privados, etc.

Qué es un ataque “DDoS”

Al igual que el malware Ransomware, este ataque contra la ciberseguridad se encarga de inhabilitar el acceso a un servicio,  una aplicación, un servidor o una infraestructura. ¿Esto por qué ocurre? Cada servidor web posee una capacidad de resolver un número limitado de peticiones o conexiones de los usuarios, este ataque se centra en enviar múltiples conexiones de forma simultánea para ralentizar esa conexión y detener el servicio.

Qué es la inyección de código SQL o “SQL inyection”

Este método se encarga de infiltrar un código intruso en una base de datos aprovechándose de la vulnerabilidad informática para acceder a la información de las cuentas y contraseñas alojadas en dicha base. El atacante puede obtener así nombres de usuarios y contraseñas, números de la Seguridad Social, tarjetas de crédito, etc., para leerlos, modificar o eliminarlos a su antojo.

Qué es un Ataque de día cero

Este ataque se centra en aquellos programas y aplicaciones que son relativamente nuevas  y que aún no han sido atacadas con anterioridad, por lo que no existen revisiones ni parches que arreglen posibles problemas de intrusión de malwares. Estos nuevos programas tienen “brechas” que pueden ser explotadas por los hackers instalando malwares para conseguir así contraseñas bancarias, acceder a información confidencial, etc.

Consejos para fortalecer la ciberseguridad

Tanto a nivel usuario como a nivel empresarial, es importante tener una cultura de seguridad para evitar estos problemas. La ciberseguridad no sólo atañe a sistemas tecnológicos, sino que también se enfoca en las prácticas y procesos de los propios empleados y usuarios.

 consejos ciberataques

Dispositivos protegidos

Es importante mantener todos los dispositivos que utilicemos (ordenadores, móviles, tablets, etc.) protegidos mediante cortafuegos y antivirus que deberás tener siempre actualizados, ya que cada actualización incluye nuevas soluciones para los nuevos tipos de  ataques.

Protocolos de seguridad.

Son el conjunto de políticas, procesos y recomendaciones que las empresas y los particulares debemos  seguir para mantener nuestra información y nuestros sistemas protegidos y que suelen incluir puntos como: instalación y actualización de “antivirus”  control de copias de seguridad, limpiezas rutinarias, cambios de contraseñas, etc.

Contraseñas.

Entendemos que mantener un sistema de contraseñas dinámico es muy engorroso para todas las cuentas que actualmente tenemos activas, sin embargo, puedes hacer un filtrado de cuáles pueden contener la información más sensible de ser utilizada por un ataque contra la ciberseguridad.

Utilizar contraseñas complejas puede ayudarnos a que sea más difícil su descifrado, así como ser muy celoso del conocimiento de las mismas por parte de nuestros conocidos.

Softwares de protección.

Como ya os hemos comentado, utilizar sistemas de antivirus, antimalwares, firewalls, anti-pishing, etc, es muy importante para poner una barrera ante estos ataques. Además, debido a la nueva Ley de Protección de Datos LOPD, es importante utilizar algún software para protegerlos y evitar la sustracción de los mismos.

Asesores expertos en ciberseguridad.

Es aconsejable ponerse en manos de especialistas en estos temas, aunque no todo el mundo tiene la necesidad de hacerlo porque no manejan un volumen de datos importantes, como os hemos comentado antes, a nivel usuario bastaría con utilizar algún software de protección.

Inventario de activos.

Tener un inventariado de todos los recursos que posee la empresa es muy importante, tanto físicos, de información, software, documentos, servicios, personas, etc,. Es quizás uno de los protocolos de ciberseguridad más importante ya que es uno de los primeros pasos que se debe hacer en la cadena de seguridad.

Es importante que exista un equipo de seguridad que se encargue de gestionar y mantener actualizado este inventario, así como el de categorizar los mismos dependiendo de su alcance. Esta clasificación puede ser según:

  • Datos: todos aquellos que se creen, se recojan, se transmitan, etc., independientemente de su formato.

  • Personal: tanto la plantilla, como el personal subcontratado y el que tenga acceso a la empresa.

  • Tecnología: todos aquellos equipos necesarios para desarrollar el trabajo de la empresa.

  • Aplicaciones: aquellos software utilizados para gestionarla.

  • Hardware industrial: en este caso se refiere a programas específicos para desarrollar labores más específicas.

  • Red: todos aquellos dispositivos que estén conectados a la una red, como routers, concentradores, swtiches, etc.

  • Instalaciones: los lugares donde se alojan éstos aparatos.

  • Equipamiento auxiliar: todos aquellos elementos que se consideren auxiliares que no se hayan inventariado en ninguno de los apartados anteriores.

Organismo regulador en España. 

¿Quién regula la aplicación de esta normativa y quién se encarga de ser el contacto con sus homólogos europeos? En España, será el Consejo de Seguridad Nacional (a través del Departamento de Seguridad Nacional) el que se encargue de aplicar el Código de Derecho de la Ciberseguridad.

La Autoridad de Protección de Datos (APD) son aquellas autoridades públicas encargadas de supervisar y aplicar la legislación vigente del Reglamento General de Protección de datos RGPD. Tanto si eres ciudadano como empresario, en él se recogen las obligaciones para las empresas, administraciones y otras entidades y los derechos de los ciudadanos en materia de protección de datos personales.

Cómo y dónde notificar un ciberataque.  

Tanto las Administraciones públicas como las empresas del sector público y empresas privadas están obligadas a notificar este tipo de incidentes.

La Administración pública y las empresas públicas deben notificar al Centro Criptológico Nacional (CNN) aquellos incidentes que puedan suponer un impacto significativo a la seguridad de la información que manejan y que puedan poner en riesgo los datos de sus clientes y/o usuarios.

Con la aplicación del nuevo Reglamento General de Protección de Datos (RGPD), sea cual sea el sector en el que se opere, se deberán notificar estas violaciones ante la Agencia Española de Protección de Datos en un plazo máximo de 72 horas, ante el Departamento de Delitos Telemáticos de la Guardia Civil o a la Brigada de Investigación Tecnológica de la Policía Nacional,  así como a los afectados y a los empleados. En caso de transcurrir más tiempo desde su detección hasta la notificación, se deberá notificar la causa de la dilación o el retraso.

Además de estos organismos, el Instituto Nacional de Ciberseguridad (INCIBE), organismo dependiente del Ministerio de Economía y Empresa de España, se encarga de mejorar la ciberseguridad de los ciudadanos y las empresas a través del equipo de más de 100 profesionales que trabajan para él. Entre sus funciones, por un lado se encargan de ofrecer soporte e información a los ciudadanos para que puedan evitar y resolver problemas de seguridad, y por otro lado, prevenir y paliar incidentes informáticos en el ámbito empresarial.

Si eres una pequeña o mediana empresa, conoce como Reale puede ayudarte a protegerte frente a  estos ciberataques, con su Ciberseguro para PYMEs, o busca tu mediador más cercano en el siguiente buscador de agencias.