Aunque la seguridad cibernética es un topic que lleva en uso desde los años 60, cuando aparecieron las primeras versiones de malware que afectaban a usuarios de todo el mundo, no fue hasta principios de los años 90 cuando comenzó a ser considerada como uno de los pilares fundamentales para la supervivencia y bienestar de las organizaciones de todo el globo.

Desde ese momento, y con la llegada en los años venideros de la salida de la mayor parte a Internet, la transformación digital y la automatización de los procesos de negocio para mejorar la eficacia y eficiencia de sus trabajos, la seguridad ha sido uno de los ejes fundamentales sobre los que debía vertebrarse el diseño de los servicios de las organizaciones.

Sin embargo, no todas las organizaciones están concienciadas en la importancia de la Ciberseguridad, destacando sobre todo un alto índice de desprotección en las empresas de tipo PYME, tal y como presenta un reciente estudio del Instituto Nacional de Ciberseguridad (Incibe), donde indican que el 70% de los ciberataques tienen como destino empresas de este segmento, con menores recursos que las compañías de mayor tamaño.

Estas empresas son más propensas a verse afectadas por ataques que reciben prácticamente todas las organizaciones del mundo, por su menor nivel de protección, como ataques de denegación de servicio distribuida (DDoS) o infecciones por malware.

El pasado mes de Octubre tuvo lugar uno de estos ciberataques, que además tuvo una gran repercusión mediática porque afectó a miles de organizaciones de todo el mundo, e incluso a un gran número de los principales proveedores de servicios en Internet, como Twitter, Spotify, The New York Times, Xbox, Paypal o Tumblr, entre otros.

Este ataque fue enfocado sobre los servidores DNS de la compañía Dyn, que proporciona el soporte a la resolución de nombres de dominio de estas compañías, bloqueando el contacto entre los usuarios y los proveedores. Fue uno de los ataques más potentes de la historia ejecutado por una botnet (conjunto de dispositivos vulnerados y controlados remotamente) y que involucró, según datos de Dyn, a aproximadamente 10 millones de direcciones IP, es decir, 10 millones de dispositivos diferentes realizando peticiones maliciosas de forma sostenida contra su infraestructura.

El ataque ha sido atribuido al grupo hacktivista “New World Hackers”, que estaría detrás de la botnet Mirai, formada por cientos de miles de dispositivos IoT (Internet of Things o Internet de las Cosas) entre sus equipos controlados.

Más recientemente, empresas de todo el mundo, en especial PYMES, fueron afectadas por el malware de tipo Ransomware, WannaCry, que en sus primeras horas se cobró más de 45.000 víctimas en 74 países. El malware, también conocido como WannaCrypt, WannaCry, WanaCrypt0r, WCrypt y WCRY afectó a los sistemas operativos Windows – Vista SP2, Windows 2008 R2, Windows 7, Windows 8.1, Windows 2012 R2, Windows 10 y Windows Server 2016 que no se encontraban parcheados ante el exploit ETERNALBLUE, cuyo parche fue publicado por Microsoft en su boletín MS17-010.

La ausencia de no aplicar los parches a tiempo, y no contar con otras medidas preventivas, como una buena segmentación de red, el uso de sistemas de protección perimetral y de software antivirus actualizado, y la realización de copias de seguridad (backup) aisladas de la red, tuvo entre otras consecuencias la pérdida de toda la información alojada en los sistemas Windows de sus organizaciones, con unos costes millonarios.

¿Qué pueden hacer las compañías para evitar este tipo de problemas?

En primer lugar, la ciberseguridad en ningún caso debe verse como un freno, sino como un facilitador para el negocio. Permite mejorar la calidad, ser más agiles, reducir riesgos y diferenciarse de la competencia.

Es un hecho que el 99% de las organizaciones de todo el mundo que cuentan con una exposición digital en Internet, o utilizan cualquier tipo de tecnología en sus quehaceres diarios, se ven expuestas a riesgos de ciberseguridad de diferentes tipologías. Si no cuentan con medidas de seguridad, es altamente probable que se hayan visto afectados por algún tipo de ataque, y no tengan constancia del hecho, pudiendo encontrarse información interna expuesta de las organizaciones en Internet y pudiendo contar en su infraestructura interna con algún tipo de amenaza desplegada.

Pero… ¿cómo garantizar que no se ha sido atacado, sino se cuenta con ninguna medida de protección y monitorización?
Para poder alcanzar unos niveles de seguridad adecuados, en primer lugar debe realizarse un Plan Director de Seguridad, que marque la línea base y la dirección de la compañía en materia de seguridad. Este plan debe contar con el apoyo de la dirección para que pueda tener el peso suficiente en la organización para tomar todas las decisiones necesarias. En segundo lugar, debe realizarse un análisis para ver el GAP entre el estado actual de la organización, y las mejores prácticas del mercado.

De este trabajo saldrán una serie de líneas de actuación, cómo procesos de revisión de hacking ético, procesos de bastionado, procesos de concienciación a los empleados, etc. que permitirán ayudar a las organizaciones a alcanzar los niveles de ciberseguridad adecuados.