El 13 de diciembre de 2020 se dio a conocer el ciberataque a Solarwinds, una empresa mayormente desconocida. Lo que pocos esperaban es que ese ataque pudiera comprometer a decenas de miles de empresas, la mayoría multinacionales, o montones de entidades públicas destacadas como la NASA, el Departamento de Defensa de EE.UU. o el Pentágono.

¿Pero qué ha ocurrido? Resumidamente, Solarwinds es la empresa que desde 1999 fabrica Orion, una plataforma de administración y monitorización diseñada para simplificar la administración de tecnología en entornos locales, híbridos y de software como servicio (SaaS). 

Ese software a lo largo de 2020 fue comprometido por un atacante, que lo modificó con una actualización maliciosa que fue distribuida a más de 18 mil clientes de Orion, por ejemplo Microsoft. Esa actualización maliciosa permitía al atacante tomar el control de la plataforma y por ejemplo se sabe que ha posibilitado visualizar el código fuente de software de Microsoft.

Por tanto, dada la cantidad y el tipo de clientes de Solarwinds y el mal que puede ocasionar el ataque, se ha convertido en uno de los ciberataques más relevantes de la historia. Y ahora viene lo mejor, uno de los caminos por los que pudo entrar el atacante, era un servidor de Solarwinds que usaba la contraseña… solarwinds123.

La moraleja de esta historia es que si una empresa que trabaja en un sector tan delicado como el de Solarwinds puede ver su ciberseguridad comprometida, y con errores tan básicos, igual o más puede ocurrir en una PYME.

Por ello vamos a comentar brevemente 7 consejos legales sobre la ciberseguridad de las PYMES. Vamos a ello:

1.- El dominio de una web debe ser HTTPS, ya no por una simple cuestión de seguridad o posicionamiento en buscadores, sino ya que la Agencia Española de Protección de Datos ha comenzado a multar a webs que no cumplen con ese requisito por incumplir una medida de seguridad.

2.- Los plugins usados en webs o las extensiones de los navegadores suelen ser una fuente de ciberataques. Por tanto hay que cubrirse a nivel de responsabilidad en caso de usarlos en sitios de terceros, por ejemplo al desarrollar una web.

3.- El uso de software pirata en la empresa suele ser fuente de denuncias por parte de ex-empleados y puede tener consecuencias para la misma, por ejemplo a partir de una auditoría de asociaciones como BSA.

4.- Los SMS o mensajes de aplicaciones como WhatsApp son una considerable fuente de acceso de ataques, por ejemplo mediante enlaces que puede instalar o ejecutar código, o dar acceso a webs aparentemente de fiar. Informar a los empleados sobre el uso que pueden hacer de esos dispositivos de empresa puede ayudar a gestionar responsabilidades.

5.- Las llamadas de servicios técnicos de empresas conocidas, normalmente Microsoft, solicitando la instalación de software en el equipo del usuario para de esa forma ganar acceso remoto al mismo, es una de las estafas más de moda ahora mismo y puede requerir la regulación del uso de aplicaciones a distancia en la empresa.

6.- El email y el phishing son sin duda el mecanismo más común de ciberataque. El usuario recibe un correo electrónico aparentemente inofensivo que en realidad pide descargar algo o da acceso a una web en la que se piden datos que luego permitirán al atacante acceder a su cuenta o realizar una transferencia en su nombre, por ejemplo. En caso de sufrir un ataque por esta vía, se recomienda cambiar las contraseñas, avisar a lo principales afectados, contactar al banco, denunciar a la policía y limitar responsabilidad por el robo sufrido.  

7.- Finalmente, el ransomware o el secuestro del equipo que cifra todos nuestros archivos y no los desbloquea a menos que le paguemos, es otro de los ataques más comunes. En un caso así, no se recomienda pagar, se debe comprobar el alcance del ataque (por ejemplo si afecta a datos personales), recuperar copias de seguridad y obviamente denunciar ante la policía. 

En conclusión, esto de la ciberseguridad no es broma y afecta por igual a grandes y pequeños. Además, el 95% de los ciberataques con éxito viene precedido de un error humano, según la consultora KPMG.

Como muestra un botón, ¿la contraseña que probablemente facilitó el ataque a Solarwinds? Al parecer fue un error presente desde 2018 y realizado por un becario.

Lo dicho, nadie es perfecto.