Kernel #164
Claves de ciberseguridad para un teletrabajo protegido
El trabajo remoto necesita más disciplina y nuevas responsabilidades para los empleados y los responsables de todas las empresas.
Los riegos más básicos
Proteger las conexiones e identidades
Confiar en que la responsabilidad de los empleados
El riesgo cero no existe
Tener un plan de acción y respuesta
Qué cubre un seguro en caso de ciberataque
Despedida
00:00
/34:23
El trabajo remoto añade una serie de riegos nuevos que requieren más disciplina y nuevas responsabilidades para los empleados y los responsables de todas las empresas. Hoy contamos con Cristina Brita de invitada. Cristina es Product Manager de Ciberriesgos en AXA, y me ha dado excelentes consejos para todos. Seáis un autónomo desde vuestro escritorio en casa, a una multinacional con empleados por todo el mundo.
Todos tenemos que estar preparados, y tener un plan de acción y respuesta ante un ciberataque que comprometa nuestro día a día. Porque, como bien explica Cristina, es solo cuestión de tiempo que ocurra.
Y como este episodio está realizado en colaboración con AXA, vamos a aprender mucho. Porque es una empresa especialmente preocupada en la ciberseguridad de las empresas. Ellos son expertos en defender negocios contra ciberataques y aportar ayuda a las empresas en estos momentos complicados.
La ciberprotección de AXA es un producto flexible, adaptado a las necesidades de cualquier negocio: desde micropymes y autónomos hasta grandes corporaciones. Aquí tienes toda la información sobre su seguro de ciber-protección para empresas, y el formulario de contacto para hablar con AXA.
Porque en esos momentos tener un servicio de respuesta las 24 horas del día, los 7 días de la semana, en manos expertas ante incidentes cibernéticos, es más que necesario. Hace tiempo que los ciberataques dejaron de ser cosas de películas y las empresas grandes o pequeñas, trabajan cada día con un mayor número de datos, de clientes y proveedores, que son objetivo de delincuentes que opera a escala global y con técnicas cada vez más avanzadas.
Y por eso tienes que contar con coberturas de Responsabilidad Civil por pérdida o daños a datos de terceros, posibles sanciones, actividad multimedia y amenazas de extorsión cibernética. Y si necesitas más, puedes añadir garantías opcionales como la interrupción del negocio, con una indemnización diaria por un máximo de 30 días o equipos de sustitución.
Enlaces
- La ciberseguridad como protección integral de los negocios
- Webinar “Ciberseguridad 360º Oficina segura y protección en el teletrabajo”
- Evento C1B3R5EGUR0S
- Seguros de Ciber Protección en AXA
- Soluciones para PYMES en AXA
- Soluciones Grandes Empresas en AXA
Kernel es el podcast semanal donde Álex Barredo debate con buenos invitados sobre las plataformas y compañías tecnológicas que afectan a nuestra vida diaria.
Enlaces:
- Newsletter diaria: https://newsletter.mixx.io
- Twitter: https://twitter.com/mixx_io
- o sigue a Álex directamente en: https://twitter.com/somospostpc
- Envíame un email: alex@barredo.es
- Telegram: https://t.me/mixx_io
- Web: https://mixx.io
Transcripción
Bienvenidos a un nuevo episodio de Kernel, el podcast de Mixio en el que nos adentramos en un tema con muchísima mayor profundidad de lo que le podemos dedicar en los episodios diarios. En esta ocasión es muy especial porque lo he podido realizar en colaboración con AXA, en concreto está conmigo Cristina Brita, que es Product Manager de Ciberriesgos en AXA y precisamente de eso vamos a hablar largo y tendido, porque AXA es una empresa especialmente
preocupada en la ciberseguridad de las empresas, son expertos en defender los negocios contra ciberataques, aportar ayuda a las empresas en esos momentos complicados, que como explica el título de Cristina tienen que ver con estos ciberriesgos, ya sabes que tener un servicio de respuesta a las 24 horas del día, los 7 días de la semana, en manos expertas ante incidentes cibernéticos, pues es más que necesario.
Todos los oyentes del programa, tanto del diario como de Kernel como del resto de podcasts de tecnología, hace tiempo sabéis que los ciberataques es algo cada día más común y cada vez de una mayor envergadura a empresas grandes, pequeñas, ya no son cosas de películas y que cada día afectan a un mayor número de datos, de clientes, de proveedores, con escala global y que tienen técnicas cada vez más avanzadas.
Y el tema de los ciberriesgos es bastante amplio, mucho más allá de elementos muy importantes como el confiar nuestra ciberseguridad a equipos expertos en descontaminación, para todos los equipos afectados una vez que ha ocurrido, pero también por ejemplo la gestión de la reputación en línea, la comunicación con usuarios, con clientes o con proveedores afectados en el caso de los datos personales o datos privados e incluso un servicio de
forense informático. Todo esto es lo que ofrece AXA dentro de su ciberprotección, al final es un producto flexible adaptados a las necesidades de cualquier negocio que por supuesto cuenta con coberturas de responsabilidad civil por pérdida o daño a datos de terceros, posibles sanciones, actividad multimedia, amenazas de extorsión cibernética e incluso, si necesitases más, puedes añadir garantías opcionales como la interrupción de tu negocio con una indemnización diaria
por un máximo de 30 días o recibir equipos de sustitución. Vuelvo a insistir en que esto es muy flexible y que, seas una micropymes, seas un autónomo o una multinacional gigante, pásate por axa.es para descubrir lo que este servicio de AXA puede aportar a tu negocio. Y ahora vamos con la entrevista, os recuerdo que está conmigo Cristina Brita, Product Manager de Ciberriesgos de AXA. ¿Qué tal estás?
Hola, Alex. Muy bien. Este tema de verdad que me hace especial ilusión y no quiero tirar del típico tópico de el trabajo remoto, que nos tiraron todo al río de la noche a la mañana y que nos tuvimos que buscar las castañas, etcétera, pero han pasado más de tres años desde que nos pasamos forzadamente al Zoom, al Slack, al Teams o no sé cuánto y tuvimos que mantener los negocios a flote estuviéramos donde estuviéramos.
Y ahora ya con mucha más madurez, todo más sosegado, hemos visto que hay muchas cosas buenas en el trabajo remoto o en la flexibilidad de elementos de nuestras empresas y de nuestros negocios que no sabíamos y que nos han permitido tanto ahorrar mucho dinero, pero también encontrar algunos puntos un poco más ásperos. En este caso hay un montón de consideraciones de ciberseguridad que yo creo que a primera
vista no nos habíamos dado cuenta, ¿verdad, Cristina? Sí, eso es verdad. Han ido saliendo a lo largo de este tiempo en el que se ha ido pues poco a poco implementando el teletrabajo. Yo, por ejemplo, ahora tengo mucha sensación porque con los oyentes hemos comentado, es que algún empleado se me dejó el portátil, no sé qué. Eso no pasa en la oficina. Si te dejas el portátil en la oficina, pues ahí se queda cuando llegas al día siguiente,
¿no? El hijo le cogió y le tiró el zumo encima. Todo ese tipo son incidentes tecnológicos que a lo mejor no estaban ocurriendo antes. No quiero decirlo, pero son muy cercanos a mí esos ejemplos. Dime algún ejemplo que no sea tan básico como los que te he dicho yo. A ver, yo creo que lo que te ha pasado a ti nos ha pasado a todos, en especial lo que vendría siendo aquella época de COVID de la que estuvimos en casa.
Estas reuniones de que de repente pues se te cae la conexión o tienes niños, pues vienen, entran y tal. Son situaciones un poco del día a día y creo que responden a simple y llanamente un nuevo modelo de trabajo, que es el teletrabajo, que hay que gestionar. Sobre otros riesgos que no son tan de situaciones cotidianas que de repente van y te afectan en el momento en el que estás trabajando, pues yo creo que el principal reto realmente
es gestionar ese nuevo modelo de trabajo. Es decir, darle a entender a tus trabajadores que tienen que seguir unas pautas y seguir una serie de directrices que se aplican en el momento en el que están trabajando desde casa. Ya sea, por ejemplo, pues no solamente lo que vendría siendo estar en un espacio reservado para el trabajo o como se hizo por ejemplo desde AXA, aportar una silla ergonómica, una pantalla, un teclado, en fin, todo lo que se necesita para hacer teletrabajo desde
casa, sino también el tema de la concienciación y de la formación, lo que vendrían siendo situaciones de seguridad digital, de seguridad de los datos que se pueden dar. Sí. Esto es algo que todos lo podemos tener en mente, ¿no?, el típico, no, es que necesito una VPN para mi trabajo y entonces solo puedo trabajar, solo me puedo conectar desde el ordenador de la empresa, que ya me lo han dado los de sistemas, todo configurado, etc.
Entonces si tienes una emergencia, pues no puedes ir a cualquier ordenador porque no cualquiera vale o a ningún smartphone o lo que sea. Más allá de los VPN, más allá de, por ejemplo, los accesos seguros, es decir, ¿cómo sé que este empleado que está conectándose en remoto es realmente el empleado y no es desde un familiar que le ha cogido el ordenador sin querer, por ejemplo, ¿no? O sea, un ente malvado te anda por ahí robando credenciales en internet.
A ver, esa situación se resuelve un poco con sistemas de autentificación y de contraseñas. En este mundillo somos todos bastante conocedores de lo que serían factores de doble autentificación y si tú, por ejemplo, te dejas el ordenador del trabajo en casa y entra quien sea no con ánimo de hacer nada nocivo, sino simplemente porque quiere consultar algo en Google, pues se va a encontrar con la primera barrera que va a ser entrar en tu usuario.
Entonces sí que existen ahora mismo idas preventivas para evitar que situaciones como la que has comentado, pues efectivamente al final sucedan. Porque todo esto ya viene, digamos, en los sistemas operativos o hay que hacer un trabajo como mucho más. Porque, vale, a lo mejor hay algunas empresas que dicen, bueno, mira, con las funciones de seguridad que me vienen en este sistema de VPN que hemos contratado, en este sistema
de acceso o con los sistemas operativos y ya está, podemos más o menos tirar por delante o hay alguna recomendación especial que dices tú, esto no puede faltar. A ver, también depende un poco de la organización de la que estemos hablando. Como has dicho antes, si perteneces a una gran organización que tiene un equipo y una infraestructura de seguridad de la información, puedes vivir en el confort en el que sabes
que hay un equipo especializado que se va a encargar de que el entorno de trabajo sea seguro. Y tú, si de repente por lo que sea metes la pata, pues te puede llegar un email en el que te avisan diciendo, oye, esta información no puede salir de la empresa, aquí no te puedes meter, se te bloquea el acceso a esta web. Donde igual puede llegar más lo que vendría siendo una dificultad es cuando somos una
empresa chiquitita, una empresa que puede no tener esos recursos o esas capacidades para gestionarlo ellos directamente y lo tienen que delegar en terceros y pierdes un poco como la trazabilidad o si eres un autónomo que te tienes que autogestionar a ti mismo la seguridad de tus dispositivos y de tus datos. Entonces yo creo que básicamente lo que sugeriría sería proteger el dispositivo final con el
que trabajas mediante lo que has dicho, la VPN que te puedes configurar tú incluso en tu móvil, puedes seleccionar VPN para por si imagínate que eres un comercial y estás al final moviéndote, visitando clientes, igual no puedes estar todo el rato con tu portátil o con tu tablet, con tu móvil, puedes tener ahí una red segura. La doble autentificación, como hemos hablado ahora mismo, para evitar tanto que un tercero
maligno quiera robarte los datos, como que alguien de tu casa o cualquier amigo coge tu móvil que se supone que es tu móvil y lo necesite para cualquier otra historia y también muy clave cifrar el contenido de tu dispositivo, que ahí hay diferentes softwares que te pueden permitir realizar esto, los hay más sofisticados, menos sofisticados pero al final es una herramienta que existe y que tú puedes implementar tranquilamente
en tu dispositivo personal si no tienes ese paraguas de gran corporación que ya lo tiene implementado por defecto. Sí, absolutamente. Yo creo que además esto es algo que, bueno, las grandes tecnológicas, sobre todo en los dispositivos de los que más utilizamos, los móviles de Android, los iPhone, los ordenadores con Windows, etcétera, todas estas funciones han pasado a tener mucha más levancia ahí
porque se los pedimos, ¿no? Los estamos necesitando y más allá de una vez que estamos ya con los dispositivos seguros, una vez que tenemos como lo mínimo, porque ¿sabes cómo veo yo el trabajo remoto? Lo veo como un elemento de mayor responsabilidad y de mayor confianza entre los empleados y la empresa, es decir, aquí es como todos tenemos que ser adultos, tenemos que tomárnoslo muy en serio y yo creo que muchas personas se han sentido que
ya por hacer un símil, insisto, es como estabas en tu casa con tus padres tranquilamente, tus padres siendo los jefes en los que pues te están vigilando, si haces algo que no pues te pueden aconsejar, pero de repente estás en un piso ya por tu cuenta y las castañas a lo mejor no te las pueden sacar tus compañeros del fuego en un momento porque están liados con otra reunión o no es algo que puedas levantar una mano o irte al escritorio de
al lado y entonces todos tenemos que tener las cosas mucho más organizadas y sobre todo yo creo que uno de los mayores rivales, a ver si me das la razón Cristina, es que algún empleado todo esto de la seguridad, de activar VPN, de tener contraseñas seguras, diferentes, de poner los códigos de doble factor, etcétera, como que en el día a día le parezca muy aburrido y empiece pues esto lo voy a quitar porque así no tengo que escribirlo 50 veces
al día o bueno este pendrive no lo voy a cifrar y entonces me lo dejo en un taxi, yo creo que aquí hay mucho factor de oye vamos a ponernos serios porque en las oficinas estábamos todos como cuidándonos los unos de los otros pero aquí no siempre ocurre. Pues existen ciertas resistencias en algunos empleados a adoptar este tipo de modelo de trabajo es real pero como sucede siempre con cualquier cambio, cuando tú cambias la forma
en la que has estado trabajando, viviendo, conviviendo, compartiendo pues llega un momento dado en el que si te lo cambian, lo cual es natural en lo que vendría siendo el progreso, te vas a resistir y es natural y me cuesta hablar mal de los modelos híbridos de lo que es el teletrabajo y estar en la oficina porque me encanta, me encanta el modelo híbrido, creo que lo que hay que hacer es trabajar las barreras que presenta la gente ante el
cambio potenciando los beneficios que conlleva entonces puede ser que vamos puede ser no lo hemos visto y se ha vivido cada vez que tienes que venir y cambiar la contraseña y la cambiaste hace dos meses y ya no sabes cuántos números más meterle o qué palabra te tienes que inventar para que funcione y te dé el ok, la bendición ¿no? de venga si esta contraseña es segura.
Es verdad, eso es tedioso. Más tedioso es no tener la oportunidad de teletrabajar desde casa, de concienciar y lo que has dicho sobre todo al principio de tener como una posición de responsabilidad y de confianza para la entidad para la que estás trabajando. Creo que los beneficios que aporta el teletrabajo son superiores a los inconvenientes con los que te puedes encontrar y que los inconvenientes al final tienen solución, se pueden gestionar y en principio pues las contraseñas eran más
sencillas y no había que cambiarlas y al final fíjate cómo estamos derivando en cambiarlas cada dos meses, etcétera. Pero es que salen nuevos software, salen nuevas soluciones en las que puedes hacer que tu usuario final ese paso lo tenga más fácil y se gestionen de otra manera para hacer su día a día de forma más sencilla.
Por lo que sí, hay resistencias pero ya te digo que las ventajas superan cualquier tipo de tarea tediosa que al final te toma cinco minutos cada tres meses. Y una vez que, vamos a asumir, nos vamos a poner en la peor situación, ¿ha ocurrido o es un potencial incidente en camino por algún despiste, por algún fallo de configuración? Simplemente ocurre.
¿Qué formas tenemos para poder evitarlo? Me refiero, es decir, hay un equipo de sistemas en una empresa más grande que obviamente pues está siguiendo y monitorizando la actividad de los empleados y dicen, oye, esta conexión de repente desde Vietnam de este empleado es rara. ¿Qué está ocurriendo? En equipos más pequeños pues todo quedará descargado a automacizaciones y a software, etc.
Recomiéndame mejor algún tipo de solución o algún tipo de buenas prácticas. Lo primero que diría es que el riesgo cero no existe y eso cualquier persona que trabaje en seguros te lo va a decir. Y en lo que es la ciberseguridad, los ciberincidentes, teniendo muy en cuenta los datos que se publican y las tendencias que se siguen, pues como el dicho que se suele decir con las personas que montan en moto, hay dos tipos de empresa, la ciberatacada y a la que van a ciberatacar.
Pues hay que partir de esa premisa. Cuando tú estás trabajando contra terceros que te intentan atacar o contra el error humano, que es muy difícil de gestionar, y digo error, ni siquiera mala idea, que simplemente una persona se equivoque, porque eso es normal, es frecuente y es lo esperado y es lo que tienes que esperar. Entonces, sabiendo que es algo que va a suceder, lo que tenemos que tener muy claro es tener
un plan de acción. Un plan de acción en el que tengamos identificado la tipología de nuestros datos, tengamos identificados también nuestros trabajadores, los puestos que tienen, a qué tienen acceso, la tipología de los datos que manejan estos trabajadores, cuál es la persona de contacto para cuando nos vemos que de repente intentamos entrar en el portátil corporativo y no podemos entrar, a quién nos tenemos que dirigir, la cadena
que se activa cuando nos encontramos ante una situación de este estilo. Eso creo que es clave porque, partiendo de la base de que es una situación en la que nos vamos a encontrar, no puedes evitar que te suceda, pero sí puedes gestionar cómo vas a reaccionar ante esa situación.
Lo primero y lo que considero que es clave es eso, tener un plan de acción y luego, por otro lado, tener un plan de respuesta y tener todos los riesgos asociados a un ciberataque cubiertos. Hay una parte que depende más de la organización, que es toda la infraestructura técnica para evitar, bueno, no, para garantizar esa seguridad.
Luego ser compliance con la legislación, que eso también te va a ayudar a la hora de cuando se busquen responsables o se tengan que tramitar denuncias, pues poder hacerlo de forma correcta. Y hay lo que ahora, por ejemplo, está muy de moda y a lo que el mercado está respondiendo cada vez más, que es tener un seguro de ciberriesgos que luego cuando ya tú hayas cumplido con todo lo que tienes que hacer, hayas respondido de la forma más eficiente y profesional que puedes, tener un colchón o un aliado que
todo aquello que ya no depende de ti, porque llegan reclamaciones de terceros, has sufrido pérdidas económicas importantes, pues pueda responder y darte ese apoyo. Sí, porque lo has resumido tú muy bien. Formación, tener las cosas planeadas por si acaban ocurriendo para que no nos pille de imprevisto.
Porque hemos hablado aquí con un montón de expertos, por ejemplo en Ransomware, y nos contaban historias. Dicen que no solo tienes que lidiar con el caos terrible de que tengas un ataque y no puedas atender a tus clientes, tu negocio esté parado, sino que encima tienes que ponerte a plantear cómo solucionarlo.
Y entonces, si ya está todo más o menos planteado, vas a ir con unos procesos mucho más tranquilos y yo creo que vas a cometer menos errores a la hora de no solo evitarlos, sino que si acaban ocurriendo, incluso repelerlos antes de que sea grave la situación, la verdad. Porque creo que es, como dices tú, la mejor táctica. Y va mucho más allá, por ejemplo, de tener copias de seguridad, los datos privados con las nuevas regulaciones, etcétera.
Tenerlos con su suficiente aislamiento, con toda la regulación. Me ha gustado mucho lo que decías de que cumplir las normas y las regulaciones y saber cuáles son y tenerlas ya es bastante parte de esta planificación, ¿verdad? Las normas al final se han creado y se han escrito en muchas ocasiones en colaboración con la industria, diciendo, oye, pues mira, las buenas prácticas deberían de convertirse en norma, ¿no? Sí, yo creo que todo lo que es la normativa y el marco legal es una forma de tener claro
un poco lo que son los mínimos a cumplir y que al final tenemos que tenerlo un poco como de nuestro lado. Sí, absolutamente. Y también otra cosa que me ha gustado mucho es esa situación de caos total y luego encima, una vez que lo solucionas, lidiar con el problema, más sea del problema técnico, que es ramificaciones legales, ramificaciones en los tribunales, multas, compensaciones, clientes que pierdes, proveedores que pierdes, y al final va todo mucho más de lo que es
el ciberataque. Exacto. Entonces, es realmente lo terrible, es decir, una vez que ha acabado el ciberataque es como si empezase lo malo, de verdad, porque creo que nunca realmente pensamos en esa parte, o al menos yo personalmente no la considero y cada vez que traigo al programa agente de seguridad me quedo, no diría paranoico, pero sí me quedo más... Concienciado. Claro, más concienciado.
Y yo creo que son consejos buenos si es una empresa de cinco personas, una empresa de cinco mil personas, o estemos trabajando solos como autónomo, que es mi caso, ¿sabes? Es decir, si mañana se me rompe el ordenador, si mañana lo pierdo, si mañana no sé qué, ¿qué ocurre? ¿Cuál es mi plan? Si mañana alguien accede a mis facturas, a mi lista de clientes, a la lista de suscriptores, pues puedo estar en un jaleo por leyes de privacidad, porque debería de haber hecho unas protecciones y a lo mejor
no las hice bien. Exacto. Y también lo que te comentaba, que si tienes este plan de respuesta, que es más sencillo que incluso el propio incidente, no digo que vaya a durar menos, pero el impacto, los impactos que acabas de describir duren menos. Si al final tienes tu información cifrada, por ejemplo, pues te estás asegurando que tú si has cumplido con lo que se espera de ti como corporación y ante una potencial reclamación de otra persona que se haya podido
ver afectada, pues lo quieras o no, puedas demostrar esa diligencia. Claro, es que se solucionan tantas cosas poniendo un poco de pensamiento y un poco de planteamiento previo, tranquilitos, venga, vamos a hacer las cosas con su tiempo, etcétera. Pero bueno, ¿sabes qué ha ocurrido? Aparte de todos los cambios de legislación que hemos visto los últimos cinco años aproximadamente en todos los países del mundo, pero especialmente
la Unión Europea, etcétera, todo es mucho más completo. Pero también ha habido otro cambio que me parece que creo que no está apreciado y como que lo dábamos como por una continuación de lo que ya existía, que son dentro de la rama de los ciberataques, antes a lo mejor querían extraer algo de información de tu empresa, por ejemplo, los documentos secretos, los documentos internos, cosas así.
Pero con todo el ransomware no necesitan ni siquiera saber lo que tienes, es que no les interesa. No van a por una empresa específica porque sus empleados o porque sus proveedores, etcétera, sino que cualquier empresa hacen ataques en masa porque han encontrado que hay muchas empresas que no tienen esta planificación y que la única alternativa que les queda es pagar.
Y eso antes no existía porque no conseguían dar el salto a esa segunda extorsión, es decir, no ganaban nada entrando en nuestros sistemas y cifrándonos los ficheros. Y ahora sí. Pero eso está totalmente relacionado con que ahora los datos, bueno, ahora y antes, pero creo que ahora es como que se pone más de manifiesto que los datos tienen mucho valor. Entonces cuando tú inhabilitas el acceso a esos datos, lo que estás haciendo es inhabilitar
acceso a lo que te genera valor o con lo que tú trabajas para generar valor. Y ahí tienes una palanca brutal. Y quien envía ransomware realmente es que estamos hablando como de una empresa contra otra empresa porque trabajan un poco así. Los extorsionadores, los ciberextorsionadores al final lanzan como una red al mar para ver qué pececillos pueden cazar, por así decirlo. O sea, es decir, ataques que pueden no ser dirigidos y que a ver quién pica.
Y luego también los tienes más dirigidos que están perfectamente estudiados y una vez he traspasado tu barrera de seguridad y te han estudiado porque tienen acceso a esos datos tuyos, saben qué pedirte, cómo pedírtelo, cuánto pedírtelo, etc. Entonces sí, es una situación que cada vez se está dando más. Y yo no sé cuál de los dos casos es peor porque los dos tienen sus preocupaciones. Decías el caso de la red y el caso como de el pescador con el arpón específico que
va a por ti. Si eres uno de los pececillos que ha caído en esta red, eres uno más de los que está intentando comunicarse con los atacadores para decirle, oye, por favor, vamos a intentar solucionar esto. Y a lo mejor ni te contestan o asumen que como les has contestado te han hecho bastante daño y entonces tienen la sartén por el mango y presionan más, se interesan más por ti y es casi peor. Ahí hay un montón de recomendaciones que deberían de estar en esas planificaciones
que comentabas. Es decir, ¿cómo actuar no solo después sino en esa parte más humana del ciberatac? A vender zapatos o a ir a una panadería o a un taller de coches, pues no es el core de tu negocio saber dónde hay un bitcoins. Entonces, poder contar ya con un servicio que te va a dar esa ayuda, ese apoyo y te va a asesorar en cómo dirigirte a ese ciberatacante, qué perfil tienes que tomar tú para que, por ejemplo, si no es un ataque dirigido,
pues igual ni siquiera saben que están hablando con talleres, lo que sea. Puedes hacerte pasar por una persona joven, de pocos recursos. Existen miles de ejemplos de cómo negociar con un ciberatacante en este tipo de casos y lo mejor yo creo es que siempre lo hagas de la mano de un profesional. Otra cosa ya es un ataque dirigido, que ahí ya entran muchísimos más factores porque sabes que si es dirigido, lo que han hecho ha sido estudiarte primero de arriba abajo.
No, hombre. Exacto. Lo veo complicado. Lo que acabas de mencionar es una de las coberturas básicas de un seguro de ciberriesgos. Más allá de la extorsión que te puedan solicitar por la recuperación de tu sistema o de tus datos, existe la situación en la que se ven envueltas la gran mayoría de las empresas o profesionales afectados, que es no poder continuar con su actividad. Y no les vas a poder engañar, ¿no? Con esas clases de actuación de ¡Ay, señor Hacking!
Y esto al final te va originando un problema económico e incluso, según qué caso, reputacional. Absolutamente. Estabas hablando de los seguros de riesgo que no están relacionados con la infraestructura tecnológica que tú tengas implementada. Es decir, si mi empresa está paralizada una semana por esto, ¿cómo se tramita todo eso? Son situaciones que puedes trasladar a la aseguradora. Sí. Por ejemplo, el tema de la extorsión es una cobertura común en el mercado español.
Claro, es que si dentro de estos días se está cubriendo el pago a extorsionadores en ninguno de los casos, que lo que se cubre realmente es un seguro. El servicio en el que das apoyo, ayuda y solución a tu cliente, porque no todas esas extorsiones son definitivas.
Puede darse el caso de que la puedas revertir. Todos los temas de, por ejemplo, las propias extorsiones, etc., se suelen cubrir, las posibles multas por filtraciones de datos privados de los clientes, de empleados, de proveedores, etc. Esa nunca es la forma de proceder. Es absurda. Porque además, al final, un ciberdelincuente sabe que si pagas una vez, pagas dos. Entonces, creo que tienes que intentar evitar esa situación lo máximo posible. Si tú al final, con esa planificación de la que hablábamos, tienes copias de seguridad
en la nube y copias de seguridad offline, es decir, que no se hayan visto afectadas por este incidente digital, puedes simple y llanamente, obviamente, limpiar tus dispositivos, asegurarte de que esto no vuelva a pasar, etc., y restaurar tus copias de seguridad. Entonces no pasa por tener que pagar absolutamente ningún rescate. Otras veces, por mucho que te estén pidiendo dinero, se ve que esa extorsión no es reversible.
Pagues lo que pagues. Es decir, si lo que hayan cifrado y tú no puedes acceder a ello, el cifrado va a quedar. Vuelve a acceder a tus copias de seguridad porque no importa la cantidad que te estén pidiendo. Entonces, creo que esta primera parte es la más importante y el saber si se puede revertir, si no se puede revertir y si puedes tú volver a establecer tus sistemas. Después, el tema de denunciarlo ante las autoridades, poner medidas para que esto no
vuelva a suceder y luego tendrás que hacer un análisis de cuáles han sido tus pérdidas financieras debido a esta situación y si tienes un seguro, pues buscar ese apoyo de la aseguradora. Gracias. Claro. Sí. Claro. Es que la verdad es que son situaciones en las que nunca nadie querría estar, ¿vale? Y luego otras coberturas, por ejemplo, el tema de las elecciones que has comentado, cuando debido a un ataque de un tercero, se cumplió una situación que tú no has podido
evitar a pesar de haber cumplido con los mínimos de seguridad que teníamos. Una vez que les has pagado, tú sigues sin saber dónde están, ellos incluso tampoco saben tú ni quién eres ni nada. No hay tampoco ningún incentivo realmente en ayudarte por su parte. Todo lo contrario. Como dices tú, si ha caído una vez, la semana que viene volvemos a intentarlo porque seguro que no se ha puesto o no le ha dado tiempo a implementar en esta empresa todos los cambios
que necesiten. Además ya saben los puntos débiles y por dónde estaba rota la cerradura, por decirlo así. En fin... Sí, porque incluso las propias normativas y las propias leyes trabajan con estos atenuantes. Oye, mire, si esta empresa, pues verá, no nos vivas la vida.
Y tenían todos… y nadie les preocupaba nada y han tardado muchísimo en recuperarlo, en ponerse al día, en hablar con la gente que potenciales filtraciones hayan ocurrido, hayan afectado, etc. O esta otra empresa que lo ha hecho todo de forma seria y responsable, tanto antes como después o con el uso durante el hipotético incidente.
Iba a decir grandes atenuaciones, pero diría que gigantes. Y a lo mejor puede acabar la historia de una forma mucho más sencilla, sin ninguna duda. Es que no me quiero poner en ese pellejo, la verdad. Bueno, Cristina, yo creo que no me has dejado un poco más asustado, pero sí me has dejado… voy a usar el adjetivo que decías antes de concienciado.
Porque, de nuevo, seáis trabajadores por vuestra cuenta. Trabajes en una empresa más grande o más pequeña. Hay soluciones para todo y, sobre todo, el tiempo que hay que poner de nuestra mano antes de que ocurra siempre es la mejor inversión en este tiempo. Y saber cuáles son tus medidas para en el caso de que ocurra o cuando acabe ocurriendo.
Porque, como decías tú, es como ley de vida, en algún momento va a ocurrir. Y en ese caso, la prevención, las formaciones con los empleados, la contratación de un seguro, etcétera, todo eso creo que son diferentes escalones de una escalera que te va a ayudar mucho a salir de ese sótano durante este tipo de ciberincidentes. Muchas gracias a ti, Alex. Así que bueno, no esperéis realmente a que le ocurra a alguien de al lado, o peor, a que os ocurra a vosotros.
Y haced caso a Cristina, de verdad. Que para eso la he traído al programa, porque sabe mucho. Así que, por favor, tomadlo en serio estas cosas porque, de verdad, es mucho más extendido de lo que realmente ocurre. Mucho más de lo que pensamos, porque muchas empresas que les ocurre esto no tienden a contarlo. Pensamos que ocurre menos, quizás, por ese tipo de comportamiento humano, ¿no? Así que ya sabéis.
Bueno, muchas gracias, Cristina. He aprendido contigo muchísimo en este episodio y nos despedimos esta semana en Kernel. Muchísimas gracias a los oyentes por acompañarnos otro episodio más. Y muchísimas gracias, Cristina Brita, de AXA. Y ya sabéis que volveremos en el próximo episodio con nuevas entrevistas también muy interesantes.
Y que si es el primer episodio que escucháis, tenéis un montón de episodios de Kernel que escuchar, de casi todo tipo de temáticas dentro de la tecnología.
preocupada en la ciberseguridad de las empresas, son expertos en defender los negocios contra ciberataques, aportar ayuda a las empresas en esos momentos complicados, que como explica el título de Cristina tienen que ver con estos ciberriesgos, ya sabes que tener un servicio de respuesta a las 24 horas del día, los 7 días de la semana, en manos expertas ante incidentes cibernéticos, pues es más que necesario.
Todos los oyentes del programa, tanto del diario como de Kernel como del resto de podcasts de tecnología, hace tiempo sabéis que los ciberataques es algo cada día más común y cada vez de una mayor envergadura a empresas grandes, pequeñas, ya no son cosas de películas y que cada día afectan a un mayor número de datos, de clientes, de proveedores, con escala global y que tienen técnicas cada vez más avanzadas.
Y el tema de los ciberriesgos es bastante amplio, mucho más allá de elementos muy importantes como el confiar nuestra ciberseguridad a equipos expertos en descontaminación, para todos los equipos afectados una vez que ha ocurrido, pero también por ejemplo la gestión de la reputación en línea, la comunicación con usuarios, con clientes o con proveedores afectados en el caso de los datos personales o datos privados e incluso un servicio de
forense informático. Todo esto es lo que ofrece AXA dentro de su ciberprotección, al final es un producto flexible adaptados a las necesidades de cualquier negocio que por supuesto cuenta con coberturas de responsabilidad civil por pérdida o daño a datos de terceros, posibles sanciones, actividad multimedia, amenazas de extorsión cibernética e incluso, si necesitases más, puedes añadir garantías opcionales como la interrupción de tu negocio con una indemnización diaria
por un máximo de 30 días o recibir equipos de sustitución. Vuelvo a insistir en que esto es muy flexible y que, seas una micropymes, seas un autónomo o una multinacional gigante, pásate por axa.es para descubrir lo que este servicio de AXA puede aportar a tu negocio. Y ahora vamos con la entrevista, os recuerdo que está conmigo Cristina Brita, Product Manager de Ciberriesgos de AXA. ¿Qué tal estás?
Hola, Alex. Muy bien. Este tema de verdad que me hace especial ilusión y no quiero tirar del típico tópico de el trabajo remoto, que nos tiraron todo al río de la noche a la mañana y que nos tuvimos que buscar las castañas, etcétera, pero han pasado más de tres años desde que nos pasamos forzadamente al Zoom, al Slack, al Teams o no sé cuánto y tuvimos que mantener los negocios a flote estuviéramos donde estuviéramos.
Y ahora ya con mucha más madurez, todo más sosegado, hemos visto que hay muchas cosas buenas en el trabajo remoto o en la flexibilidad de elementos de nuestras empresas y de nuestros negocios que no sabíamos y que nos han permitido tanto ahorrar mucho dinero, pero también encontrar algunos puntos un poco más ásperos. En este caso hay un montón de consideraciones de ciberseguridad que yo creo que a primera
vista no nos habíamos dado cuenta, ¿verdad, Cristina? Sí, eso es verdad. Han ido saliendo a lo largo de este tiempo en el que se ha ido pues poco a poco implementando el teletrabajo. Yo, por ejemplo, ahora tengo mucha sensación porque con los oyentes hemos comentado, es que algún empleado se me dejó el portátil, no sé qué. Eso no pasa en la oficina. Si te dejas el portátil en la oficina, pues ahí se queda cuando llegas al día siguiente,
¿no? El hijo le cogió y le tiró el zumo encima. Todo ese tipo son incidentes tecnológicos que a lo mejor no estaban ocurriendo antes. No quiero decirlo, pero son muy cercanos a mí esos ejemplos. Dime algún ejemplo que no sea tan básico como los que te he dicho yo. A ver, yo creo que lo que te ha pasado a ti nos ha pasado a todos, en especial lo que vendría siendo aquella época de COVID de la que estuvimos en casa.
Estas reuniones de que de repente pues se te cae la conexión o tienes niños, pues vienen, entran y tal. Son situaciones un poco del día a día y creo que responden a simple y llanamente un nuevo modelo de trabajo, que es el teletrabajo, que hay que gestionar. Sobre otros riesgos que no son tan de situaciones cotidianas que de repente van y te afectan en el momento en el que estás trabajando, pues yo creo que el principal reto realmente
es gestionar ese nuevo modelo de trabajo. Es decir, darle a entender a tus trabajadores que tienen que seguir unas pautas y seguir una serie de directrices que se aplican en el momento en el que están trabajando desde casa. Ya sea, por ejemplo, pues no solamente lo que vendría siendo estar en un espacio reservado para el trabajo o como se hizo por ejemplo desde AXA, aportar una silla ergonómica, una pantalla, un teclado, en fin, todo lo que se necesita para hacer teletrabajo desde
casa, sino también el tema de la concienciación y de la formación, lo que vendrían siendo situaciones de seguridad digital, de seguridad de los datos que se pueden dar. Sí. Esto es algo que todos lo podemos tener en mente, ¿no?, el típico, no, es que necesito una VPN para mi trabajo y entonces solo puedo trabajar, solo me puedo conectar desde el ordenador de la empresa, que ya me lo han dado los de sistemas, todo configurado, etc.
Entonces si tienes una emergencia, pues no puedes ir a cualquier ordenador porque no cualquiera vale o a ningún smartphone o lo que sea. Más allá de los VPN, más allá de, por ejemplo, los accesos seguros, es decir, ¿cómo sé que este empleado que está conectándose en remoto es realmente el empleado y no es desde un familiar que le ha cogido el ordenador sin querer, por ejemplo, ¿no? O sea, un ente malvado te anda por ahí robando credenciales en internet.
A ver, esa situación se resuelve un poco con sistemas de autentificación y de contraseñas. En este mundillo somos todos bastante conocedores de lo que serían factores de doble autentificación y si tú, por ejemplo, te dejas el ordenador del trabajo en casa y entra quien sea no con ánimo de hacer nada nocivo, sino simplemente porque quiere consultar algo en Google, pues se va a encontrar con la primera barrera que va a ser entrar en tu usuario.
Entonces sí que existen ahora mismo idas preventivas para evitar que situaciones como la que has comentado, pues efectivamente al final sucedan. Porque todo esto ya viene, digamos, en los sistemas operativos o hay que hacer un trabajo como mucho más. Porque, vale, a lo mejor hay algunas empresas que dicen, bueno, mira, con las funciones de seguridad que me vienen en este sistema de VPN que hemos contratado, en este sistema
de acceso o con los sistemas operativos y ya está, podemos más o menos tirar por delante o hay alguna recomendación especial que dices tú, esto no puede faltar. A ver, también depende un poco de la organización de la que estemos hablando. Como has dicho antes, si perteneces a una gran organización que tiene un equipo y una infraestructura de seguridad de la información, puedes vivir en el confort en el que sabes
que hay un equipo especializado que se va a encargar de que el entorno de trabajo sea seguro. Y tú, si de repente por lo que sea metes la pata, pues te puede llegar un email en el que te avisan diciendo, oye, esta información no puede salir de la empresa, aquí no te puedes meter, se te bloquea el acceso a esta web. Donde igual puede llegar más lo que vendría siendo una dificultad es cuando somos una
empresa chiquitita, una empresa que puede no tener esos recursos o esas capacidades para gestionarlo ellos directamente y lo tienen que delegar en terceros y pierdes un poco como la trazabilidad o si eres un autónomo que te tienes que autogestionar a ti mismo la seguridad de tus dispositivos y de tus datos. Entonces yo creo que básicamente lo que sugeriría sería proteger el dispositivo final con el
que trabajas mediante lo que has dicho, la VPN que te puedes configurar tú incluso en tu móvil, puedes seleccionar VPN para por si imagínate que eres un comercial y estás al final moviéndote, visitando clientes, igual no puedes estar todo el rato con tu portátil o con tu tablet, con tu móvil, puedes tener ahí una red segura. La doble autentificación, como hemos hablado ahora mismo, para evitar tanto que un tercero
maligno quiera robarte los datos, como que alguien de tu casa o cualquier amigo coge tu móvil que se supone que es tu móvil y lo necesite para cualquier otra historia y también muy clave cifrar el contenido de tu dispositivo, que ahí hay diferentes softwares que te pueden permitir realizar esto, los hay más sofisticados, menos sofisticados pero al final es una herramienta que existe y que tú puedes implementar tranquilamente
en tu dispositivo personal si no tienes ese paraguas de gran corporación que ya lo tiene implementado por defecto. Sí, absolutamente. Yo creo que además esto es algo que, bueno, las grandes tecnológicas, sobre todo en los dispositivos de los que más utilizamos, los móviles de Android, los iPhone, los ordenadores con Windows, etcétera, todas estas funciones han pasado a tener mucha más levancia ahí
porque se los pedimos, ¿no? Los estamos necesitando y más allá de una vez que estamos ya con los dispositivos seguros, una vez que tenemos como lo mínimo, porque ¿sabes cómo veo yo el trabajo remoto? Lo veo como un elemento de mayor responsabilidad y de mayor confianza entre los empleados y la empresa, es decir, aquí es como todos tenemos que ser adultos, tenemos que tomárnoslo muy en serio y yo creo que muchas personas se han sentido que
ya por hacer un símil, insisto, es como estabas en tu casa con tus padres tranquilamente, tus padres siendo los jefes en los que pues te están vigilando, si haces algo que no pues te pueden aconsejar, pero de repente estás en un piso ya por tu cuenta y las castañas a lo mejor no te las pueden sacar tus compañeros del fuego en un momento porque están liados con otra reunión o no es algo que puedas levantar una mano o irte al escritorio de
al lado y entonces todos tenemos que tener las cosas mucho más organizadas y sobre todo yo creo que uno de los mayores rivales, a ver si me das la razón Cristina, es que algún empleado todo esto de la seguridad, de activar VPN, de tener contraseñas seguras, diferentes, de poner los códigos de doble factor, etcétera, como que en el día a día le parezca muy aburrido y empiece pues esto lo voy a quitar porque así no tengo que escribirlo 50 veces
al día o bueno este pendrive no lo voy a cifrar y entonces me lo dejo en un taxi, yo creo que aquí hay mucho factor de oye vamos a ponernos serios porque en las oficinas estábamos todos como cuidándonos los unos de los otros pero aquí no siempre ocurre. Pues existen ciertas resistencias en algunos empleados a adoptar este tipo de modelo de trabajo es real pero como sucede siempre con cualquier cambio, cuando tú cambias la forma
en la que has estado trabajando, viviendo, conviviendo, compartiendo pues llega un momento dado en el que si te lo cambian, lo cual es natural en lo que vendría siendo el progreso, te vas a resistir y es natural y me cuesta hablar mal de los modelos híbridos de lo que es el teletrabajo y estar en la oficina porque me encanta, me encanta el modelo híbrido, creo que lo que hay que hacer es trabajar las barreras que presenta la gente ante el
cambio potenciando los beneficios que conlleva entonces puede ser que vamos puede ser no lo hemos visto y se ha vivido cada vez que tienes que venir y cambiar la contraseña y la cambiaste hace dos meses y ya no sabes cuántos números más meterle o qué palabra te tienes que inventar para que funcione y te dé el ok, la bendición ¿no? de venga si esta contraseña es segura.
Es verdad, eso es tedioso. Más tedioso es no tener la oportunidad de teletrabajar desde casa, de concienciar y lo que has dicho sobre todo al principio de tener como una posición de responsabilidad y de confianza para la entidad para la que estás trabajando. Creo que los beneficios que aporta el teletrabajo son superiores a los inconvenientes con los que te puedes encontrar y que los inconvenientes al final tienen solución, se pueden gestionar y en principio pues las contraseñas eran más
sencillas y no había que cambiarlas y al final fíjate cómo estamos derivando en cambiarlas cada dos meses, etcétera. Pero es que salen nuevos software, salen nuevas soluciones en las que puedes hacer que tu usuario final ese paso lo tenga más fácil y se gestionen de otra manera para hacer su día a día de forma más sencilla.
Por lo que sí, hay resistencias pero ya te digo que las ventajas superan cualquier tipo de tarea tediosa que al final te toma cinco minutos cada tres meses. Y una vez que, vamos a asumir, nos vamos a poner en la peor situación, ¿ha ocurrido o es un potencial incidente en camino por algún despiste, por algún fallo de configuración? Simplemente ocurre.
¿Qué formas tenemos para poder evitarlo? Me refiero, es decir, hay un equipo de sistemas en una empresa más grande que obviamente pues está siguiendo y monitorizando la actividad de los empleados y dicen, oye, esta conexión de repente desde Vietnam de este empleado es rara. ¿Qué está ocurriendo? En equipos más pequeños pues todo quedará descargado a automacizaciones y a software, etc.
Recomiéndame mejor algún tipo de solución o algún tipo de buenas prácticas. Lo primero que diría es que el riesgo cero no existe y eso cualquier persona que trabaje en seguros te lo va a decir. Y en lo que es la ciberseguridad, los ciberincidentes, teniendo muy en cuenta los datos que se publican y las tendencias que se siguen, pues como el dicho que se suele decir con las personas que montan en moto, hay dos tipos de empresa, la ciberatacada y a la que van a ciberatacar.
Pues hay que partir de esa premisa. Cuando tú estás trabajando contra terceros que te intentan atacar o contra el error humano, que es muy difícil de gestionar, y digo error, ni siquiera mala idea, que simplemente una persona se equivoque, porque eso es normal, es frecuente y es lo esperado y es lo que tienes que esperar. Entonces, sabiendo que es algo que va a suceder, lo que tenemos que tener muy claro es tener
un plan de acción. Un plan de acción en el que tengamos identificado la tipología de nuestros datos, tengamos identificados también nuestros trabajadores, los puestos que tienen, a qué tienen acceso, la tipología de los datos que manejan estos trabajadores, cuál es la persona de contacto para cuando nos vemos que de repente intentamos entrar en el portátil corporativo y no podemos entrar, a quién nos tenemos que dirigir, la cadena
que se activa cuando nos encontramos ante una situación de este estilo. Eso creo que es clave porque, partiendo de la base de que es una situación en la que nos vamos a encontrar, no puedes evitar que te suceda, pero sí puedes gestionar cómo vas a reaccionar ante esa situación.
Lo primero y lo que considero que es clave es eso, tener un plan de acción y luego, por otro lado, tener un plan de respuesta y tener todos los riesgos asociados a un ciberataque cubiertos. Hay una parte que depende más de la organización, que es toda la infraestructura técnica para evitar, bueno, no, para garantizar esa seguridad.
Luego ser compliance con la legislación, que eso también te va a ayudar a la hora de cuando se busquen responsables o se tengan que tramitar denuncias, pues poder hacerlo de forma correcta. Y hay lo que ahora, por ejemplo, está muy de moda y a lo que el mercado está respondiendo cada vez más, que es tener un seguro de ciberriesgos que luego cuando ya tú hayas cumplido con todo lo que tienes que hacer, hayas respondido de la forma más eficiente y profesional que puedes, tener un colchón o un aliado que
todo aquello que ya no depende de ti, porque llegan reclamaciones de terceros, has sufrido pérdidas económicas importantes, pues pueda responder y darte ese apoyo. Sí, porque lo has resumido tú muy bien. Formación, tener las cosas planeadas por si acaban ocurriendo para que no nos pille de imprevisto.
Porque hemos hablado aquí con un montón de expertos, por ejemplo en Ransomware, y nos contaban historias. Dicen que no solo tienes que lidiar con el caos terrible de que tengas un ataque y no puedas atender a tus clientes, tu negocio esté parado, sino que encima tienes que ponerte a plantear cómo solucionarlo.
Y entonces, si ya está todo más o menos planteado, vas a ir con unos procesos mucho más tranquilos y yo creo que vas a cometer menos errores a la hora de no solo evitarlos, sino que si acaban ocurriendo, incluso repelerlos antes de que sea grave la situación, la verdad. Porque creo que es, como dices tú, la mejor táctica. Y va mucho más allá, por ejemplo, de tener copias de seguridad, los datos privados con las nuevas regulaciones, etcétera.
Tenerlos con su suficiente aislamiento, con toda la regulación. Me ha gustado mucho lo que decías de que cumplir las normas y las regulaciones y saber cuáles son y tenerlas ya es bastante parte de esta planificación, ¿verdad? Las normas al final se han creado y se han escrito en muchas ocasiones en colaboración con la industria, diciendo, oye, pues mira, las buenas prácticas deberían de convertirse en norma, ¿no? Sí, yo creo que todo lo que es la normativa y el marco legal es una forma de tener claro
un poco lo que son los mínimos a cumplir y que al final tenemos que tenerlo un poco como de nuestro lado. Sí, absolutamente. Y también otra cosa que me ha gustado mucho es esa situación de caos total y luego encima, una vez que lo solucionas, lidiar con el problema, más sea del problema técnico, que es ramificaciones legales, ramificaciones en los tribunales, multas, compensaciones, clientes que pierdes, proveedores que pierdes, y al final va todo mucho más de lo que es
el ciberataque. Exacto. Entonces, es realmente lo terrible, es decir, una vez que ha acabado el ciberataque es como si empezase lo malo, de verdad, porque creo que nunca realmente pensamos en esa parte, o al menos yo personalmente no la considero y cada vez que traigo al programa agente de seguridad me quedo, no diría paranoico, pero sí me quedo más... Concienciado. Claro, más concienciado.
Y yo creo que son consejos buenos si es una empresa de cinco personas, una empresa de cinco mil personas, o estemos trabajando solos como autónomo, que es mi caso, ¿sabes? Es decir, si mañana se me rompe el ordenador, si mañana lo pierdo, si mañana no sé qué, ¿qué ocurre? ¿Cuál es mi plan? Si mañana alguien accede a mis facturas, a mi lista de clientes, a la lista de suscriptores, pues puedo estar en un jaleo por leyes de privacidad, porque debería de haber hecho unas protecciones y a lo mejor
no las hice bien. Exacto. Y también lo que te comentaba, que si tienes este plan de respuesta, que es más sencillo que incluso el propio incidente, no digo que vaya a durar menos, pero el impacto, los impactos que acabas de describir duren menos. Si al final tienes tu información cifrada, por ejemplo, pues te estás asegurando que tú si has cumplido con lo que se espera de ti como corporación y ante una potencial reclamación de otra persona que se haya podido
ver afectada, pues lo quieras o no, puedas demostrar esa diligencia. Claro, es que se solucionan tantas cosas poniendo un poco de pensamiento y un poco de planteamiento previo, tranquilitos, venga, vamos a hacer las cosas con su tiempo, etcétera. Pero bueno, ¿sabes qué ha ocurrido? Aparte de todos los cambios de legislación que hemos visto los últimos cinco años aproximadamente en todos los países del mundo, pero especialmente
la Unión Europea, etcétera, todo es mucho más completo. Pero también ha habido otro cambio que me parece que creo que no está apreciado y como que lo dábamos como por una continuación de lo que ya existía, que son dentro de la rama de los ciberataques, antes a lo mejor querían extraer algo de información de tu empresa, por ejemplo, los documentos secretos, los documentos internos, cosas así.
Pero con todo el ransomware no necesitan ni siquiera saber lo que tienes, es que no les interesa. No van a por una empresa específica porque sus empleados o porque sus proveedores, etcétera, sino que cualquier empresa hacen ataques en masa porque han encontrado que hay muchas empresas que no tienen esta planificación y que la única alternativa que les queda es pagar.
Y eso antes no existía porque no conseguían dar el salto a esa segunda extorsión, es decir, no ganaban nada entrando en nuestros sistemas y cifrándonos los ficheros. Y ahora sí. Pero eso está totalmente relacionado con que ahora los datos, bueno, ahora y antes, pero creo que ahora es como que se pone más de manifiesto que los datos tienen mucho valor. Entonces cuando tú inhabilitas el acceso a esos datos, lo que estás haciendo es inhabilitar
acceso a lo que te genera valor o con lo que tú trabajas para generar valor. Y ahí tienes una palanca brutal. Y quien envía ransomware realmente es que estamos hablando como de una empresa contra otra empresa porque trabajan un poco así. Los extorsionadores, los ciberextorsionadores al final lanzan como una red al mar para ver qué pececillos pueden cazar, por así decirlo. O sea, es decir, ataques que pueden no ser dirigidos y que a ver quién pica.
Y luego también los tienes más dirigidos que están perfectamente estudiados y una vez he traspasado tu barrera de seguridad y te han estudiado porque tienen acceso a esos datos tuyos, saben qué pedirte, cómo pedírtelo, cuánto pedírtelo, etc. Entonces sí, es una situación que cada vez se está dando más. Y yo no sé cuál de los dos casos es peor porque los dos tienen sus preocupaciones. Decías el caso de la red y el caso como de el pescador con el arpón específico que
va a por ti. Si eres uno de los pececillos que ha caído en esta red, eres uno más de los que está intentando comunicarse con los atacadores para decirle, oye, por favor, vamos a intentar solucionar esto. Y a lo mejor ni te contestan o asumen que como les has contestado te han hecho bastante daño y entonces tienen la sartén por el mango y presionan más, se interesan más por ti y es casi peor. Ahí hay un montón de recomendaciones que deberían de estar en esas planificaciones
que comentabas. Es decir, ¿cómo actuar no solo después sino en esa parte más humana del ciberatac? A vender zapatos o a ir a una panadería o a un taller de coches, pues no es el core de tu negocio saber dónde hay un bitcoins. Entonces, poder contar ya con un servicio que te va a dar esa ayuda, ese apoyo y te va a asesorar en cómo dirigirte a ese ciberatacante, qué perfil tienes que tomar tú para que, por ejemplo, si no es un ataque dirigido,
pues igual ni siquiera saben que están hablando con talleres, lo que sea. Puedes hacerte pasar por una persona joven, de pocos recursos. Existen miles de ejemplos de cómo negociar con un ciberatacante en este tipo de casos y lo mejor yo creo es que siempre lo hagas de la mano de un profesional. Otra cosa ya es un ataque dirigido, que ahí ya entran muchísimos más factores porque sabes que si es dirigido, lo que han hecho ha sido estudiarte primero de arriba abajo.
No, hombre. Exacto. Lo veo complicado. Lo que acabas de mencionar es una de las coberturas básicas de un seguro de ciberriesgos. Más allá de la extorsión que te puedan solicitar por la recuperación de tu sistema o de tus datos, existe la situación en la que se ven envueltas la gran mayoría de las empresas o profesionales afectados, que es no poder continuar con su actividad. Y no les vas a poder engañar, ¿no? Con esas clases de actuación de ¡Ay, señor Hacking!
Y esto al final te va originando un problema económico e incluso, según qué caso, reputacional. Absolutamente. Estabas hablando de los seguros de riesgo que no están relacionados con la infraestructura tecnológica que tú tengas implementada. Es decir, si mi empresa está paralizada una semana por esto, ¿cómo se tramita todo eso? Son situaciones que puedes trasladar a la aseguradora. Sí. Por ejemplo, el tema de la extorsión es una cobertura común en el mercado español.
Claro, es que si dentro de estos días se está cubriendo el pago a extorsionadores en ninguno de los casos, que lo que se cubre realmente es un seguro. El servicio en el que das apoyo, ayuda y solución a tu cliente, porque no todas esas extorsiones son definitivas.
Puede darse el caso de que la puedas revertir. Todos los temas de, por ejemplo, las propias extorsiones, etc., se suelen cubrir, las posibles multas por filtraciones de datos privados de los clientes, de empleados, de proveedores, etc. Esa nunca es la forma de proceder. Es absurda. Porque además, al final, un ciberdelincuente sabe que si pagas una vez, pagas dos. Entonces, creo que tienes que intentar evitar esa situación lo máximo posible. Si tú al final, con esa planificación de la que hablábamos, tienes copias de seguridad
en la nube y copias de seguridad offline, es decir, que no se hayan visto afectadas por este incidente digital, puedes simple y llanamente, obviamente, limpiar tus dispositivos, asegurarte de que esto no vuelva a pasar, etc., y restaurar tus copias de seguridad. Entonces no pasa por tener que pagar absolutamente ningún rescate. Otras veces, por mucho que te estén pidiendo dinero, se ve que esa extorsión no es reversible.
Pagues lo que pagues. Es decir, si lo que hayan cifrado y tú no puedes acceder a ello, el cifrado va a quedar. Vuelve a acceder a tus copias de seguridad porque no importa la cantidad que te estén pidiendo. Entonces, creo que esta primera parte es la más importante y el saber si se puede revertir, si no se puede revertir y si puedes tú volver a establecer tus sistemas. Después, el tema de denunciarlo ante las autoridades, poner medidas para que esto no
vuelva a suceder y luego tendrás que hacer un análisis de cuáles han sido tus pérdidas financieras debido a esta situación y si tienes un seguro, pues buscar ese apoyo de la aseguradora. Gracias. Claro. Sí. Claro. Es que la verdad es que son situaciones en las que nunca nadie querría estar, ¿vale? Y luego otras coberturas, por ejemplo, el tema de las elecciones que has comentado, cuando debido a un ataque de un tercero, se cumplió una situación que tú no has podido
evitar a pesar de haber cumplido con los mínimos de seguridad que teníamos. Una vez que les has pagado, tú sigues sin saber dónde están, ellos incluso tampoco saben tú ni quién eres ni nada. No hay tampoco ningún incentivo realmente en ayudarte por su parte. Todo lo contrario. Como dices tú, si ha caído una vez, la semana que viene volvemos a intentarlo porque seguro que no se ha puesto o no le ha dado tiempo a implementar en esta empresa todos los cambios
que necesiten. Además ya saben los puntos débiles y por dónde estaba rota la cerradura, por decirlo así. En fin... Sí, porque incluso las propias normativas y las propias leyes trabajan con estos atenuantes. Oye, mire, si esta empresa, pues verá, no nos vivas la vida.
Y tenían todos… y nadie les preocupaba nada y han tardado muchísimo en recuperarlo, en ponerse al día, en hablar con la gente que potenciales filtraciones hayan ocurrido, hayan afectado, etc. O esta otra empresa que lo ha hecho todo de forma seria y responsable, tanto antes como después o con el uso durante el hipotético incidente.
Iba a decir grandes atenuaciones, pero diría que gigantes. Y a lo mejor puede acabar la historia de una forma mucho más sencilla, sin ninguna duda. Es que no me quiero poner en ese pellejo, la verdad. Bueno, Cristina, yo creo que no me has dejado un poco más asustado, pero sí me has dejado… voy a usar el adjetivo que decías antes de concienciado.
Porque, de nuevo, seáis trabajadores por vuestra cuenta. Trabajes en una empresa más grande o más pequeña. Hay soluciones para todo y, sobre todo, el tiempo que hay que poner de nuestra mano antes de que ocurra siempre es la mejor inversión en este tiempo. Y saber cuáles son tus medidas para en el caso de que ocurra o cuando acabe ocurriendo.
Porque, como decías tú, es como ley de vida, en algún momento va a ocurrir. Y en ese caso, la prevención, las formaciones con los empleados, la contratación de un seguro, etcétera, todo eso creo que son diferentes escalones de una escalera que te va a ayudar mucho a salir de ese sótano durante este tipo de ciberincidentes. Muchas gracias a ti, Alex. Así que bueno, no esperéis realmente a que le ocurra a alguien de al lado, o peor, a que os ocurra a vosotros.
Y haced caso a Cristina, de verdad. Que para eso la he traído al programa, porque sabe mucho. Así que, por favor, tomadlo en serio estas cosas porque, de verdad, es mucho más extendido de lo que realmente ocurre. Mucho más de lo que pensamos, porque muchas empresas que les ocurre esto no tienden a contarlo. Pensamos que ocurre menos, quizás, por ese tipo de comportamiento humano, ¿no? Así que ya sabéis.
Bueno, muchas gracias, Cristina. He aprendido contigo muchísimo en este episodio y nos despedimos esta semana en Kernel. Muchísimas gracias a los oyentes por acompañarnos otro episodio más. Y muchísimas gracias, Cristina Brita, de AXA. Y ya sabéis que volveremos en el próximo episodio con nuevas entrevistas también muy interesantes.
Y que si es el primer episodio que escucháis, tenéis un montón de episodios de Kernel que escuchar, de casi todo tipo de temáticas dentro de la tecnología.
