La ciberseguridad para empresas de comercio electrónico (y de cualquier otro sector, dicho sea de paso) se ha convertido en una prioridad ineludible, ya que se trata del riesgo más importante al que te enfrentas si te dedicas al eCommerce, al comercio físico o (por ejemplo) a la producción de huevos fritos envasados al vacío, negocio este último que, al parecer, tiene un brillante futuro. Sobre la calidad de ese futuro, mejor no hablamos que se me ha acabado el Almax.
Pero si hablamos de ciberseguridad para empresas de comercio electrónico, no hablamos de futuro sino de presente, y muy presente. La cosa es simple: si el negocio deja de ser físico para ser online, los delincuentes hacen lo mismo. Menos riesgo para su integridad física, más facilidad para cubrir el rastro y en lugar de robar en tiendas de una en una lo pueden hacer de cien en cien, y además en todo el mundo. Por eso, los ciberataques se han convertido en el riesgo nº 1 para cualquier empresa, sea del tamaño que sea.
Insisto en esto del tamaño porque una idea muy extendida es la de “nosotros somos demasiado pequeños para despertar el interés de los ciberdelincuentes”. Imagino que quien piensa así, si tiene un negocio físico, prescindirá de gastar dinero en alarmas, rejas, cámaras de seguridad o lo que sea. Total, si mi tienda es pequeña nadie va a querer robarme, ¿no?
Cuando hablamos de ciberriesgos todos nos imaginamos una escena como la que aparece en las películas o series de televisión: Una organización con un nombre tipo SPECTRA o algo así, en la que un grupo de hackers vestidos de negro y con gorros de lana se sientan delante de unos equipazos de la muerte con 6 pantallas mientras teclean frenéticamente líneas de código hasta que uno de ellos dice ¡Estoy dentro! y transfiere 10.000 millones de dólares a una cuenta en un banco de Kuala Lumpur para después dejarlo todo y salir corriendo en un coche de alta gama, perseguido por un pseudo James Bond en las calles de París. No seré yo quien afirme que esas organizaciones no existen, pero desde luego que el 99% de los ciberdelincuentes no tienen ese perfil.
Por cierto, ¿alguien puede explicarme por qué los ordenadores en las películas hacen ruiditos que los ordenadores reales dejaron de hacer hace décadas? ¿Es que todos los directores de cine se han quedado anclados en los 80?
Pero volviendo a lo que nos ocupa: según un informe de la consultora Deloitte, el 94% de las empresas españolas sufrieron al menos un ciberataque grave en 2021, y el 64% dos o más. Otro informe de la aseguradora Hiscox cifra el coste medio de cada ciberataque en 2021 en más de 100.000 euros. Ten clara una cosa: un ciberataque que tenga éxito puedo llevar a tu negocio a la ruina.
Para mayor claridad vamos a dividir este (largo) artículo en tres partes, a saber:
Vamos, nunca mejor dicho, al turrón.
Antes de enumerar los riesgos, vamos con un principio fundamental: la inmensa mayoría de los ciberataques se deben a descuidos y son, por lo tanto, evitables. No, no es que los cibercacos entren en tus ordenadores por la fuerza bruta, es que generalmente eres tú quien les deja la puerta abierta.
Si hablamos de ciberseguridad para empresas, lo primero que piensas es: “virus”. Vale. Pues ni todos los ciberataques son virus ni todos los virus hacen lo mismo.
Para saber cuáles son los riesgos de ciberseguridad para empresas, tenemos que empezar por conocer los tipos principales de ataques. Aquí va una breve lista:
Son probablemente los más conocidos. No hay empresa en este país que no reciba un intento de ataque de este tipo por lo menos una vez por semana. Comenzaron con el phishing: correos electrónicos que simulan ser de una entidad, banco o empresa y que nos indican que debemos hacer clic en un enlace o descargar un archivo adjunto. Ahora han evolucionado y este tipo de ataques se reciben también por SMS (smishing) o mediante una llamada telefónica (vishing). Muchos son muy burdos y se lanzan masivamente para ver si pica alguien, pero si el ciberdelincuente tiene los datos de tu empresa y se ha estudiado un poco tu perfil el riesgo es mucho mayor, ya que puede simular ser un cliente o proveedor.
Estos intentos de ataque suelen tener dos tipos de objetivos:
Uno de los grandes quebraderos de cabeza en materia de ciberseguridad para empresas es el ransomware. Se trata de un software (sí, un virus) que, una vez ha entrado en nuestro sistema, “secuestra” toda la información encriptando los archivos y pidiéndonos que paguemos un rescate por desencriptarlos. El ransomware puede infectar a todos los ordenadores conectados en la red de la empresa y además puede propagarse por correo electrónico utilizando nuestras propias cuentas y el archivo de contactos. Es un tipo de ataque que usa un software más sofisticado, pero que no por ello está fuera del alcance de los pequeños delincuentes (el software malicioso se compra al kilo en el mercado negro).
El gran problema del ransomware es su naturaleza viral. Es decir, que el correo electrónico con el archivo o link malicioso puede proceder de alguien de nuestra absoluta confianza.
El riesgo de ciberseguridad para empresas de comercio electrónico por excelencia: que tiren abajo tu web. Un ataque de denegación de servicio tiene como objetivo bloquear una web o un servidor con un gran número de peticiones de acceso simultáneas. Esas peticiones pueden venir desde un solo ordenador (ataques DoS, de Denial of Service) o, lo que es más común, de muchos ordenadores distribuidos, infectados previamente con un virus (ataques DDoS, de Distributed Denial of Service).
Su objetivo no es económico, sino causar el mayor daño posible, ya que la empresa que lo sufre no puede prestar el servicio online y defenderse de este tipo de ataques cuando ya han conseguido echar abajo un servidor lleva tiempo. Las tiendas online son un objetivo claro, bien por parte de competidores con pocos escrúpulos o de hackers que quieren causar un daño reputacional.
Las empresas que manejan bases de datos de clientes, especialmente si son datos personales, o tienen información confidencial de valor (como diseños, procesos industriales, etc.) son la diana de este tipo de ataques. Normalmente se producen mediante el uso de malware (de nuevo, virus; el correo electrónico es la vía principal) o ‘reventando’ las contraseñas de acceso al sistema en lo que se conoce como ‘ataques de diccionario’. En este tipo de ataques los ciberdelincuentes son sigilosos, puesto que su objetivo es el robo de la mayor cantidad posible de datos sin que se note.
En el caso de los robos de datos de carácter personal, ten en cuenta que tienes la obligación de notificarlo inmediatamente a la Agencia Española de Protección de Datos y a las personas afectadas para que puedan tomar medidas. Además, la AEPD abrirá una investigación y si concluye que ha habido alguna negligencia por tu parte en la protección de esos datos te caerá una multa que puede llegar a poner en riesgo la supervivencia de tu negocio. Poca broma con esto.
Algo que si te dedicas al eCommerce es o una catástrofe, o una desgracia. Para tomar el control de tu web han tenido que averiguar tu usuario y contraseña de acceso. O bien hacerlo con el servidor en el que está alojada, algo bastante menos probable. Para conocer tus contraseñas se pueden usar virus, cierto, pero para qué molestarse cuando hay tantísima gente que usa como nombre de usuario “Admin” y como contraseña “123456*” o aberraciones similares. Luego te cuento más, pero créeme si te digo que en la mayoría de los casos de robos de contraseñas ha habido, cuando menos, cierta negligencia en la creación y administración de las mismas.
Con respecto a las contraseñas de acceso, todo lo del punto anterior es aplicable. Eso de “Noooo, quien ha publicado ese comentario machista/homófobo/racista (táchese lo que no proceda) no he sido yo, es que me han hackeado la cuenta de Twitter” NO cuela. Por supuesto que te pueden robar el acceso a tu cuenta en cualquier red social… si te roban la contraseña de esa red o la de la cuenta de correo electrónico que usas para recuperar contraseñas olvidadas. Pero no te van a hackear la cuenta para poner un tuit que nunca debiste escribir y luego devolvértela alegremente. Así que si metes la pata en las redes no uses el hackeo como excusa o aún quedarás peor.
La contraseña de tus redes sociales también pueden intentar robártela desde la propia red social. Diariamente surgen como setas cuentas falsas que se hacen pasar por administradores de Instagram, Facebook, etc. El truco es simple: recibes un mensaje privado de una cuenta que se llama, por ejemplo, “Seguridad de Instagram” que dice que tu cuenta va a ser bloqueada si no sigues unos pasos de verificación haciendo clic en un enlace que te lleva a una web aparentemente igual a la de Instagram en la que tienes que introducir tus datos de acceso y ¡zas! cuenta secuestrada. Normalmente te pedirán un rescate para liberarla. Adelanto: NO pagues.
Obviamente estas no son todas las posibles amenazas de ciberseguridad para empresas. Hay ciberataques mucho más sofisticados: inyección de código malicioso (HTML, PHP y muchos otros), inyección de SQL, virus de todo tipo: troyanos, gusanos, bombas lógicas… y mucho más. No es habitual que este tipo de ataques se dirijan de forma específica a las pequeñas empresas. Más bien se trata de virus que se difunden con el propósito de causar un daño general, lo que no deja de ser una forma de ciberterrorismo (muchas veces aprovechando vulnerabilidades de los sistemas operativos o del software que tengas instalado) y cuando se utilizan de forma dirigida a un objetivo concreto, éste suele ser un pez más gordo.
Decir: “Yo ya estoy protegido porque tengo un antivirus” es ser tan inocente como pensar “no van a entrar a robar en mi casa porque tengo una puerta blindada”. Obviamente, tienes que tener un antivirus sí o sí, y además uno completo y actualizado, lo que elimina a muchas de las opciones gratuitas. Pero lo más importante de todo es que tengas una política de ciberseguridad estricta, o ni el mejor antivirus del mundo evitará que sufras un ciberataque.
El principio básico de la ciberseguridad para empresas es que el riesgo cero no existe. Partiendo de ahí, añádele una segunda parte: No te fíes ni de tu sombra. La dejadez, el descuido y/o el exceso de confianza están en el origen de muchos ciberataques.
¿Y en qué consiste una estrategia de ciberseguridad para empresas? En tener unas reglas básicas que nadie, y con esto quiero decir nadie, debe saltarse jamás. Veamos cuáles son:
Una contraseña sencilla es muy fácil de robar o averiguar, mientras que una contraseña segura es díficil de recordar. Así que recurrimos al peor enemigo de la ciberseguridad para empresas: el post-it pegado en la pantalla o cualquiera de sus variantes modernas (por ejemplo, pedir al navegador que recuerde usuario y contraseña). Tener una contraseña a la vista de cualquiera en una oficina es una invitación muy tentadora. “Ya, pero la gente que entra en la oficina es de confianza”. También tenían mucha confianza los ingenieros del Titanic y mira cómo acabó. Eso sí, nos regaló una fuente inagotable de memes gracias a la peli.
Las contraseñas tienen que cumplir estos requisitos:
Vale, y cómo narices hago para recordar no una, sino diez contraseñas que son un galimatías, te estarás preguntando con toda la razón. Pues recurriendo a reglas criptográficas.
No, no me refiero a que te hagas con una máquina Enigma. Pero el arte de la criptografía lleva milenios utilizándose para cifrar textos. Desde luego, puedes recurrir a software de cifrado, certificados digitales, etc, pero aquí van un par de ejemplos caseros. Y gratis.
Vamos a utilizar como contraseña “HUEVOS ENVASADOS”.
Paso 1: Como las contraseñas tienen que tener números, letras y caracteres especiales para ser consideradas seguras, lo primero que vamos a hacer es cambiar la agrupación de las letras. Como tiene 15 letras, creamos tres grupos de 5. Es decir, que HUEVOS ENVASADOS se convierte en HUEVO SENVA SADOS
Paso 2: Introducimos caracteres especiales, los que queramos, en los espacios. Esos no los vamos a cifrar. Añadimos un número al final, que tampoco ciframos. Con esto nos quedaría algo así: HUEVO%SENVA_SADOS1
Paso 3: Utilizamos cualquier tipo de cifrado para cambiar las letras. Por ejemplo, podemos usar el cifrado del César, consistente en sustituir cada letra por otra que ocupa X posiciones más en el alfabeto. Usando un cifrado del César en el que X=2, nos sale que HUEVO%SENVA_SADOS1 se convierte en JWGXQ%UGPXC_UCFQU1
Por supuesto, esto tiene un fallo: es un cifrado muy fácil de romper, porque cada letra original tiene siempre el mismo equivalente cifrado. Voy a usar otro método sencillo, pero subiendo un escalón. Pista: También es un método de sustitución alfabética. Con este método, HUEVO%SENVA_SADOS1 se convierte en IWHZT%TGQZF_TCGSX1. Aquí cada letra de texto original no se corresponde con la misma del texto cifrado. Ahora que sabes de qué vá, seguro que descifras el método utilizado sin problema. Te invito a resolverlo (Alan Turing ya lo habría resuelto al llegar a esta parte del párrafo). La idea no es que tus contraseñas resistan los ataques de criptógrafos de la CIA, sino que simplemente lo pongas un poco más complicado, lo suficiente para que el potencial ladrón busque otra víctima.
La idea es sencilla: puedo crear contraseñas aparentemente aleatorias partiendo de palabras que yo recuerde con facilidad, y eso me permite tener contraseñas distintas para cada uno de los sistemas o aplicaciones clave a los que puedo acceder. ¿Y eso por qué? Pues porque usar la misma contraseña para todo, o variantes de ella, es EL MAL. El infierno de la ciberseguridad para empresas se estremece con los lamentos desgarradores de quienes creyeron que si la contraseña es segura, se puede usar en todas partes.
Aparte de lo dicho, activa siempre la autenticación en dos pasos siempre que exista esa opción. No es infalible, pero añade una nueva capa de seguridad a tus contraseñas. Y si puedes sustituir contraseñas por datos biométricos como la huella dactilar, aún mejor. Siempre pueden cortarte un dedo, eso sí.
Si tu web tiene el dominio huevosenvasados.com, está en WordPress y tu tienda en Prestashop, la URL de acceso al back office será huevosenvasados.com/wp-admin o /wp-access. Pero esa URL puede cambiarse y convertirse en, por ejemplo, huevosenvasados.com/alricohuevo. Con algo tan simple ya se lo pones más complicado a los visitantes con intenciones aviesas y/o pérfidas.
Eso incluye también a los mensajes privados en redes sociales, los SMS y servicios de mensajería como WhatsApp, aunque aparentemente vengan de un usuario de confianza o un compañero de trabajo. Sobre todo si tienen un enunciado genérico del tipo “¿Has visto esto?” ,”Factura impagada”, “¿Eres tú el del vídeo?”, “ALERTA: Cuenta comprometida” o cualquier otra cosa que no estemos esperando que nos manden. Ninguna entidad oficial, ningún banco, ninguna empresa grande nos va a enviar un correo electrónico con un link en el que haya que meter contraseñas. Siempre nos pedirán que accedamos a sus webs o aplicaciones oficiales. No olvides que el correo electrónico es la vía principal por la que se propaga el malware de todo tipo.
Jamás te deshagas de un documento que contenga datos personales o confidenciales tirándolo a la basura sin reducirlo a confeti primero. Mucho ojo con las destructoras de documentos clásicas que hacen tiras con el papel, puesto que NO son un sistema seguro. Alguien con mucho interés y mucha paciencia podría reconstruir un documento. Le costaría, pero es posible.
Esto es aún más importante si tienes personas teletrabajando. Nunca deben usar sus propios equipos para acceder a los sistemas de la empresa, sencillamente porque no tienes control sobre esos equipos y podrían tener más virus que tu nariz cuando estás resfriado. Si es necesario, cápalos (a los equipos, no a los trabajadores) para que sólo puedan usarse para las funciones permitidas. Es decir, en los ordenadores de trabajo no se hacen compras online, no se juega, no se entra en webs raras o sospechosas ni se consulta el correo electrónico particular.
Cuanto más complejo es un programa informático, más líneas de código y más errores y vulnerabilidades tiene. Los sistemas operativos tienen, literalmente, millones de líneas de código. Por eso sacan actualizaciones con parches de seguridad con frecuencia. Tanto ordenadores como móviles deben estar siempre actualizados.
Cuando descargas una app móvil súpermegacool que coge tus fotos y te convierte en un pseudoguerrero espacial mediante la IA, pregúntate para qué narices quiere conocer tu geolocalización, activar el micrófono o acceder a tu lista de contactos. Que la ansiedad por verte convertido/a en un personaje de Star Wars no te lleve a darle a “aceptar” a todo sin pensar primero. Luego, como decía mi santa madre, vienen las madresmías.
De hecho, si contienen datos personales, la ley te obliga a que estén en un sitio ignífugo y con control de acceso, incluso control físico si son datos de especial protección.
Destierra el uso de pendrives de tu vida laboral. Sencillamente, no los uses. Piensa que no todos los antivirus lo detectan todo y que en algo tan inocente como un archivo de Excel puede haber un virus escondido. No sabes por qué manos ha pasado un pendrive que alguien te hace llegar “porque el archivo es muy grande”. Para eso tienes sistemas de envío de archivos grandes como WeTransfer que tienen sistemas de detección de virus que tú no te puedes permitir.
Como una cebolla. El antivirus es una de esas capas, pero no la única. Hay muchas otras aplicaciones y recursos de ciberseguridad, pero este es un principio básico. No todas las capas en la ciberseguridad para empresas deben ser de software. Las capas físicas (dónde se guardan según qué cosas y quién puede acceder a ellas, por ejemplo a los servidores) son igual de importantes y a veces son las más difíciles de romper. Tampoco se trata de que te obsesiones, pero lo que carece de sentido es que si tienes una empresa física instales varias capas de seguridad (cierres y cristales blindados, cajas fuertes, cámaras de seguridad, alarmas), pero en la vertiente online lo fíes todo a un antivirus, que los hay muy buenos, pero también los hay de Padrón, a veces detectan y a veces non.
Como la ciberseguridad para empresas perfecta no existe, es más que posible que sufras un ciberataque. Si eso sucede, hay algunas cosas que debes hacer para controlar los daños:
Imágenes: Depositphotos
Publicaciones no relacionadas.
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *
Δ