La importancia de la protección de datos en el entorno empresarial

La tendencia de los ciberataques ha ido en aumento en el entorno del tejido empresarial en España, debido a que, muchas empresas españolas se han quedado atrás en la transformación digital por haber considerado poco rentable invertir en Ciberseguridad por su alto coste económico, a pesar de que, muchos de los bienes y activos empresariales están más conectados que nunca en la red y se encuentren expuestos a una gran variedad de amenazas y vulnerabilidades, tanto internas como externas.

Para ello, hoy en día, las empresas están obligadas a implementar el Plan Director de Ciberseguridad, en la cual se pueda identificar el nivel de riesgo de cada departamento dentro de la organización empresarial y, de ese modo, identificar las vulnerabilidades o puntos débiles del sistema para minimizar cualquier tipo de ciberataque y, en caso de que, la empresa pudiese sufrir un ciberataque habrá que llevar a cabo unas medidas preventivas que solventen la amenaza lo antes posible y este tenga un impacto mínimo dentro de la organización.

Plan Director de Ciberseguridad

Es importantísimo que el entorno empresarial sea capaz de abordar y dar respuesta a los cambios constantes en el mundo tecnológico, garantizando la seguridad de la información, donde, el bien más preciado de una empresa son los datos que maneja, salvaguardando la privacidad de esos datos en el ámbito de la seguridad informática y la ciberseguridad.

Dentro de la organización empresarial, resulta de vital importancia proteger los dispositivos conectados a Internet porque en ellos circulan datos personales, tratándose de cualquier información relativa a una persona física viva identificada o identificable.

Sergio Díaz (Observatorio de Ciberdelitos de Canarias).

Ante esto, según la RGPD-LOPDGDD, independientemente de la tecnología utilizada para su tratamiento, los datos personales deben ser manipulados de forma anónima, cifrados o presentados con un seudónimo; pero que puedan utilizarse para volver a identificar a una persona dentro del ámbito de aplicación de la ley de protección de datos, sujetos a los requisitos de protección establecidos en el RGPD (REGLAMENTO (UE) 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos).

¿Por qué es importante la información que se maneja en la red?

Para determinar la importancia de la información en Internet, debemos señalar que muchas de las empresas actuales tienen su información corporativa expuesta en la nube. Esto es un modelo de almacenamiento de datos basado en redes de computadoras, donde los datos están alojados en espacios de almacenamiento virtualizados. Habitualmente en el entorno empresarial, las utiliza para subir copias de seguridad, documentos o, simplemente, para tener todos sus archivos sincronizados entre varios ordenadores.

Como es evidente, la gran cantidad de información procesada por las empresas deben ser gestionadas por los Centros de Procesamiento de Datos (CPD) conocidas por el nombre de Big Data, en ellos, se procesan una inmensa cantidad de datos que recibe una empresa diariamente, pudiendo tener diversos orígenes: clientes, ventas, compras, producción, marketing, etc. Toda esta información que la empresa posee debiera ser tratado como un verdadero activo, ya que todos los empleados que trabajan allí analizarán estos datos para crear estrategias de mercado más efectivos.

La información en la red, objetivo de los cibercriminales

La cibercriminalidad se ha convertido en unos de los negocios más lucrativos en el mundo por la crisis de la pandemia del COVID-19. Los cibercriminales se han aprovechado de este momento más vulnerable en la sociedad española debido a la desinformación habida durante el confinamiento impuesto por el gobierno español, en la cual los cibercriminales han tenido la oportunidad de desarrollar nuevas metodologías criminales, donde se crean miles de sitios web nuevos cada día para llevar a cabo campañas de correos no deseados (spam) o ataques de phishing, o para propagar malware.

En la pandemia, la mayoría de las empresas han tenido que adecuarse al cambio de teletrabajar y, como es sabido, muchas de ellas no estaban preparadas por la falta de inversión tecnológica a la hora de planificar la forma con que se conectaría sus empleados desde casa para seguir trabajando a través de acceso remoto. Como es evidente, habría que planificar detalladamente la manera de conectarse de los empleados por medio de las Redes Virtuales Privadas (VPN) y analizar las vulnerabilidades de las mismas.

Estas vulnerabilidades irían en aumento por el simple hecho de que los empleados se conectarían a través de sus dispositivos personales para poder trabajar, manejando información sensible de las empresas desde casa. Por tanto, muchos de estos dispositivos utilizados como acceso remoto estaban “comprometidos” por la escasa seguridad que usan los usuarios a la hora de conectarse desde casa, significando que los cibercriminales tratasen de acceder a los equipos corporativos a través de los dispositivos personales de los empleados.

Todavía sigue suponiendo un reto la consolidación del teletrabajo para muchas empresas por la escasez de personal especializado que ayude en esa adaptación.

Ciberataques más utilizados durante la pandemia

Los cibercriminales han aprovechado la crisis del COVID-19 para atacar infraestructuras críticas (son aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor económico en el eficaz funcionamiento en el entorno del tejido empresarial, como así, en las instituciones del Estado y de las Administraciones Públicas) y, de ese modo, sus ataques irían dirigidos al personal de los organismos públicos y empresas que se conectan a través de acceso remoto, explotando el aumento de vulnerabilidades en los dispositivos personales de los empleados, dado que muchos de ellos no han implementado herramientas que minimicen el riesgo de amenazas al acceder a los recursos corporativos.

Los cibercriminales adaptan sus ataques utilizando nuevos métodos y, cooperan entre sí, coordinando ataques complejos contra sus objetivos en cuestión de minutos.

Los cibercriminales adaptan sus ataques utilizando nuevos métodos y, cooperan entre sí, coordinando ataques complejos,

A continuación, nombraremos los ciberataques más utilizados del 2021:

Ransomware. Es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos. El ransomware se centra en la víctima y sus datos, ya que es un tipo de extorsión electrónica usada por los cibercriminales para “secuestrar” los datos de un ordenador, obligando a la víctima a realizar el pago de una determinada cantidad para poder recuperarlos. Esta amenaza está siendo explotado por los cibercriminales para atacar a pequeñas empresas y corporaciones, estaciones de policía e incluso hospitales y, de esa manera, ganar dinero “fácil” gracias a que mantienen la información de las víctimas como rehén hasta que pague el rescate a sus atacantes.

El más reciente, 5 de mayo del 2021, fue el caso de un ciberataque a la empresa de alojamiento en la nube ASAC ha dejado sin conexión a webs y sistemas de varias ciudades de España, entre ellas, Fuenalabrada en la Comunidad Madrid, Oviedo en el Principado de Asturias o Vinaròs en la Comunidad Valencia. La empresa asturiana reconoció que no hubo filtración de información sensible. El ransomware identificado es el Zeppelin, también llamado Buran, tiene su origen en la familia Vega / VegaLocker, un ransomware-as-a-service (RaaS) basado en Delphi observado en foros de hackers de habla rusa en 2019. Según fuentes policiales, los desarrolladores suelen buscar socios para entrar en una red de víctimas, robar datos y distribuir malware de cifrado de archivos. Luego dividen lo conseguido en los rescates.

Del mismo modo, la compañía de telefonía Phone House reconoció que sufrió un ciberataque de ransomware el 11 de abril del 2021 por medio del Ransomware ‘Babuk’, un ransomware de origen supuestamente ruso. Es un tipo de malware que encripta los archivos y genera una nota de rescate para sus víctimas, extorsionándolos a pagar una cuantiosa cantidad de dinero para recuperar los datos. Aún no existe la clave para desencriptarlos, sólo sus creadores, un grupo de cibercriminales autodenominado Babuk, los únicos capaces de recuperar los archivos. Estos cibercriminales se habrían hecho con varias bases de datos de Phone House, exponiendo en la Red Profunda registros de más de 100 gigas con datos personales de clientes y empleados.

El Observatorio de Delitos Informáticos de Canarias ha analizado “insitu” a través de los archivos que se encuentran en la Red Profunda, en los cuales se filtró toda la información de los usuarios que se vieron afectados en España y, por desgracia, nos  encontramos con una preocupante realidad al verse expuesto información sensible, tales como,  identificadores de cliente, DNI, algunos pasaportes, correos electrónicos (muchos de ellos  repetidos y considerados falsos), números de teléfonos móvil (la mayoría correctos), teléfonos fijos, fecha de nacimiento, nacionalidad, direcciones físicas, códigos postales, provincias,  ciudades, cuentas bancarias (IBAN)…; en muchos de los casos, también aparecen las tiendas  desde las cuales se registraron los clientes. Como es evidente, Phone House cumplió con la obligatoriedad de comunicar estos ataques y brechas a la Agencia Española de Protección de Datos (AEPD). Como así, han puesto en conocimiento de los hechos a la Brigada Central de Investigación Tecnológica (BCIT) de la Policía Nacional donde se han denunciado los hechos ante dicho organismo.

Nota Importante: “Cuando una fuga de información afecta a datos personales, la empresa está obligada a notificar el incidente a la Agencia Española de Protección de Datos, autoridades pertinentes u organismos equivalentes, y a las personas cuyos datos se hayan visto afectados para que puedan tomar las medidas oportunas en un plazo máximo de 72 horas desde su conocimiento”.

También hay que recordar que, el Servicio Público Estatal de Empleo (SEPE) sufrió un ciberataque el 9 de marzo del 2021 por medio del Ransomware Ryuk, normalmente este ataque se produce a través del correo electrónico (el mensaje de correo electrónico puede incluir archivos adjuntos, como PDF o documentos de Word. También puede contener enlaces a sitios web maliciosos”). Se envía un mensaje con un malware como el célebre TrikBot, que dispone de módulos que permiten estudiar la infraestructura de red una vez la víctima cae en el engaño para propagarse aprovechando diversas vulnerabilidades en los sistemas Windows que ataca.

El objetivo es el de cifrar los archivos de los equipos que se atacan, salvo en el caso de extensiones como .exe, .dll. Lo que se logra al no cifrar esos archivos es lograr que el sistema pueda seguir funcionando de forma básica en muchos casos, de esa manera, las versiones más recientes de Ryuk adoptan ciertas de los “gusanos” de internet, pudiendo propagarse de forma autónoma a través de las llamadas Remote Procedure Calls (RPC) de Windows.

Los ataques de ransomware, como el que ha afectado al SEPE, son aquellos que secuestran los datos de ordenadores y redes informáticas. Lo más probable en el caso del SEPE es que todo haya sido un robo de credenciales a un empleado a través de un phishing, donde el cibercriminal envía un falso correo y el usuario introduce sus credenciales en un sitio fraudulento parecido al sitio web de confianza. Una vez que los cibercriminales tienen la contraseña, introducen el ransomware.

Las consecuencias del ciberataque al SEPE son las 710 oficinas físicas y las 52 telemáticas de la administración que se encontraron sin actividad. Del mismo modo, aún se desconoce si hubo alguna filtración o pérdida de información durante este ataque, ya que no se envió mensaje de rescate alguno por parte de los cibercriminales.

Sergio Diaz, director del Observatorio de Delitos Informáticos de Canarias (ODIC)

, ,

Pin It on Pinterest

Share This