"Esperemos que 'La jungla de cristal 4' no sea una película premonitoria": así ha transformado la pandemia la ciberseguridad en las empresas

Bruce Willis en la presentación de La Jungla 4 en Alemania.
Bruce Willis en la presentación de La Jungla 4 en Alemania.

REUTERS/Hannibal Hanschke

  • Una empresa sufrió un ciberataque en plena pandemia y un ransomware cifró todos los archivos en la oficina: a los trabajadores en remoto no les afectó de ninguna manera.
  • Varios expertos españoles debaten en un webinar cómo el teletrabajo ha reordenado algunas prioridades de la ciberseguridad para las empresas españolas.
  • Reconocen que Contagio (2011) fue una película premonitoria de la crisis del COVID-19, y esperan que no ocurra lo mismo con la cuarta entrega de La jungla de cristal.
  • Descubre más historias en Business Insider España.

Un ransomware accede a una empresa y consigue en plena pandemia cifrar todos los archivos de sus ordenadores. Cuando el CISO informa al CEO, le detalla que los empleados de la firma no se han visto afectados, ya que están trabajando desde casa por la pandemia del COVID-19. 

Cuando el CEO acude al Consejo de Administración para informar, la respuesta que recibe es la esperada: "¿No podríamos tener todo en la oficina como si estuviésemos siempre teletrabajando?".

El teletrabajo ha supuesto un desafío para los expertos en seguridad informática, aunque también una oportunidad. Es lo que se deduce de este ejemplo que propone Santiago Moral, responsable de Innovación y Ciberseguridad en OpenSpring España, y CISO del BBVA durante más de 16 años, hasta 2018. 

Lo ha hecho este jueves en un webinar organizado por Barcelona Tech City, una asociación privada que quiere impulsar a la Ciudad Condal como un hub tecnológico de referencia para todo el mundo.

Los expertos piden atajar los puntos débiles del teletrabajo para evitar ciberataques

Al evento, además de Moral, acudieron Carlos Manchado, el CISO de Naturgy; Pablo Bernad, socio responsable de Advisory de KPMG; y Álvaro del Hoyo, miembro del Centro Europeo de Competencia en Ciberseguridad de IBM. La charla estuvo moderada por Miguel Planas, empresario e impulsor de, entre otras firmas, Tranxfer.

Muchos de los ciberataques que las compañías españolas sufren se podrían evitar aplicando el Zero Trust a las redes que conectan sus dispositivos. Zero Trust o "cero confianza" implica que cada dispositivo está mucho mejor protegido, ya que es difícil que el malware se pueda propagar con la misma facilidad que cuando lo hace en una red TI convencional.

Volver a lo básico

Moral insistió en esta idea. "Es volver a la base de a lo que siempre nos hemos dedicado la gente de cíber. Ya no me dedico a gestionar incidentes de ransomware, pero en esta pandemia he ayudado a un par de amigos y lo que he visto ha sido paradigmático". Volviendo al ejemplo que exponía al principio, la explicación es sencilla: los trabajadores en remoto no se vieron afectados por el ciberataque a la firma porque sus dispositivos estaban aislados en otras redes.

"El Zero Trust son varias cosas. Una de ellas es que si las máquinas no se ven entre ellas, se dificulta mucho el contagio. Son casi como mascarillas para el PC. La pandemia ha demostrado que el teletrabajo es viable, que se puede hacer, y que estas redes se pueden construir sin problemas", ha remachado.

"Como en los 90", han confirmado algunos de sus compañeros, como el propio Planas. "Además de los SOC (centros de operaciones de seguridad) es importante revisar que tus configuraciones están bien, que los PC están actualizados. Revisar que tu seguridad está operativa".

Varias empresas han contratado al equipo de hackers de élite de IBM para vigilar a sus empleados mientras teletrabajan con el objetivo de acabar con los malos hábitos de ciberseguridad

"Hablamos de la seguridad antes de que le pusiesen el prefijo cíber. Cuando éramos los chicos del antivirus y del cortafuegos y no éramos C-level (directivos)". "Hay que volver a lo básico y a las empresas le hago una recomendación: en esto de la ciberseguridad hay mil cosas que hacer. Pero por favor, sacad esta misma noche una copia de seguridad de todo".

El propio Moral reconoce que el teletrabajo tiene sus inconvenientes. "Hemos perdido la parte humana, el tomar el café con los compañeros, las sinergias". Pero en el ámbito de la operatividad, "estamos 100% operativos", ha enfatizado.

No se puede confiar a ciegas ni en proveedores

Expertos como Pablo Bernad o Álvaro del Hoyo enfatizaron en los pasos que progresivamente se están dando desde el punto de vista legislativo. Y una cosa quedó clara: la responsabilidad apunta cada vez más a los consejos de administración de las empresas. Responsabilidades incluso penales.

"Necesitamos poner énfasis en los proveedores críticos. A mí, si soy un servicio esencial, me exigen responsabilidad como CISO asegurarme de que el proveedor de servicios con el que contamos tiene un enfoque sobre riesgos acordes con nuestros modelos", detalló Pablo Bernad, de KPMG.

Moral insistió en el tema. "Hablamos mucho del valor de la cadena de suministros. Si nuestra cadena de suministros después subcontrata un proceso y el proveedor utiliza una red virtual privada (VPN) para acceder a nuestra plataforma, en realidad no se trata de ningún ahorro de costes, porque estamos asumiendo una deuda tecnológica", lamentó.

Una startup alemana con sabor español que mira al mercado asiático: así es Build38, una firma de seguridad en móviles en la que ha entrado el brazo inversor de La Caixa

"Con una VPN, todos los riesgos y todas las debilidades de nuestros proveedores llegan a nuestras compañías. Deberían reconfigurarse las redes para que tanto nuestra informática como nuestros aplicativos se puedan usar desde fuera. Por ejemplo, convertirlos en una plataforma web. Webizarlos". 

El dilema de los riesgos de terceros es algo que ya está llegando poco a poco a la legislación, recordó Carlos Manchado, el CISO de Naturgy. Aunque reconoció que muchas compañías no son, en muchas ocasiones, todo lo diligentes que deberían. "Todos deberíamos ser mucho más exigentes, pedir muchos más controles a nivel de procesos, en función de la criticidad del servicio que se nos preste".

La Jungla de cristal 4.0

"La legislación ha ido poniendo el foco en la responsabilidad de los consejos de administración. Lo ha hecho con la protección de datos, con las auditorías internas, con la prevención de blanqueo de capitales y ahora lo hace con temas de ciberseguridad", apostilló Bernad. Pero a los consejos de administración no les va a pillar de nuevas.

El estrés que provoca el teletrabajo implantado de forma apresurada se está traduciendo en más errores humanos que exponen a las empresas a sufrir ciberataques

"En el CEO Outlook que hacemos cada año recogemos cuáles son las principales preocupaciones de los altos ejecutivos y en los últimos 4 o 5 años la ciberseguridad siempre ha estado en los primeros puestos", detalló. "Todo esto no les va a pillar por sorpresa pero desde el punto de vista técnico va a haber mucho desconocimiento. Los CISO y consultores tenemos la función de ejercer esa labor de adoctrinamiento y sobre todo acompañamiento".

Al término del webinar, el propio Bernad recordó que Contagio, la película de 2011 que ha estado muy de actualidad en 2020, fue en cierto modo premonitoria de la crisis del coronavirus. "Hemos tenido SARS, MERS, ébola, gripe aviar, gripe porcina, y no nos habíamos preparado para el coronavirus".

Por esa misma razón, el experto espera que no ocurra lo mismo con La jungla 4, la cuarta entrega de la franquicia La jungla de cristal: la trama arranca con un espectacular ciberataque al Gobierno de EEUU.

Otros artículos interesantes:

Amazon está instalando cámaras con inteligencia artificial para vigilar a sus repartidores "el 100% del tiempo"

Los pagos con tarjeta de más de 30 euros requieren autentificación en dos pasos: por qué podrías tener problemas

6 clases de ciberamenazas a las que se enfrentan los dispositivos IoT que no estén bien protegidos en una industria, según la española Barbara IoT