La llegada de internet a nuestro día a día y a las organizaciones ha provocado que nuestros datos y cierta información sensible, o confidencial, esté en peligro. Los robos masivos de datos están a la orden del día y nadie está a salvo: ni empresas, ni gobiernos ni ciudadanos de a pie. Por poner un ejemplo: mientras que Alemania sufría a principios de este año el mayor ciberataque de su historia con la filtración de datos personales de políticos, Telefónica seguía barajando opciones para evitar un ciberataque como el de 2017… o al menos, minimizar los riesgos.
Cada vez son más compañías las que buscan alternativas para salvaguardar sus datos. Sin embargo, no somos conscientes de que los ataques que seguimos recibiendo a día de hoy, son “heredados” del 2018, motivo por el que hay que buscarles una solución en este 2019.
El desarrollo e implantación de los dispositivos conectados, el Internet of Things y la Inteligencia Artificial (IA) están marcando un antes y un después en nuestra historia y en el campo de la ciberseguridad y, de la unión de la IA y la ciberseguridad han surgido dos tipos de esquemas. Los primeros, definidos por analistas, aplican protocolos y reglas creadas en base a la experiencia de los humanos en el tema, pero que pueden fallar al enfrentarse a vulnerabilidades de día 0. Los segundos, por su parte, han sido definidos por máquinas de acuerdo al machine y deep learning. Estos, en el fondo, también requieren cierta interacción humana y de monitoreo.
Pero, al igual que las nuevas tecnologías nos pueden ayudar a evitar un ciberataque, también pueden ser el punto de ataque del mismo. Las medidas de seguridad de estos son bastante deficientes, comprometiendo cualquier red WiFi a la que se conecten. Además, los dispositivos IoT son atacados de forma habitual para formar parte de botnets y conseguir, así, atacar a las cadenas de suministro. Lo mismo ocurre con la ampliación de la cobertura 5G: a mayor amplitud, mayores posibilidades para perpetrar un ciberataque.
Sin embargo, expertos de la telefonía como Andy Purdy, CSO de Huawei, explican que “los beneficios del 5G superan con creces los riesgos”. Además, Purdy añade que “es críticamente importante que el sector privado, en colaboración con el gobierno, fortalezca los esfuerzos para definir e implementar un marco de seguridad para 5G e IoT que aproveche estándares y mejores prácticas reconocidos internacionalmente”.
La necesidad de una regulación
Para proteger nuestros datos, los Gobiernos se esfuerzan por crear leyes que ayuden a usuarios y empresas a mantener su información a salvo. Entre estas encontramos la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, que tiene como objetivo regular los servicios relacionados con Internet y la contratación electrónica y la Ley de Protección de Datos y Garantía de los Derechos Digitales, además del Reglamento General de Protección de Datos. Estas dos últimas velan por la protección y privacidad de datos personales, datos que son utilizados y almacenados por todo tipo de empresas.
El empleado, en el punto de mira
Aunque a nivel software las empresas están cada vez más preparadas para evitar los ciberataques, las compañías siguen teniendo un punto débil: el empleado, nuevo objetivo de los hackers tal y como han explicado expertos en el último Mobile World Congress de Barcelona. Así, Fernando Anaya, de Proofpoint, explicó durante la feria de telefonía que la tendencia ha cambiado y, a día de hoy, “los ciberdelincuentes ya no se centran en los servidores de las empresas, sino que eligen como objetivo a las personas, en concreto, a las llamadas VAP (very attacked people)”.
Por arrojar un poco más de luz acerca de este término, un VAP es un empleado que tiene acceso a información sensible y que muestra ciertos comportamientos arriesgados en materia de ciberseguridad como hacer click en contenido malicioso, abrir cualquier tipo de correo o realizar conexiones no seguras.
Por ello, es muy importante dotar al empleado de una formación, conocimiento y herramientas para no “caer” en este tipo de trampas e intentar reducir al máximo las vulnerabilidades. También es muy importante el asesoramiento y la figura del experto en ciberseguridad, un perfil profesional muy demandado en las empresas y que puede ayudar en el día a día a los empleados.