La tecnología ocupa hoy en día un lugar importante en nuestras vidas, tanto que nos resulta casi imposible imaginar la existencia sin ella. ¿Cómo era antes capaz la gente de mantener el contacto sin tener móvil?, ¿cómo conservaban la comida?, ¿cómo pasaban el invierno o el verano sin calefacción o aire acondicionado? Son estas preguntas las que no solo los más jóvenes se plantean. Sin embargo, de la misma forma que la tecnología abre un mundo de posibilidades y ventajas a personas y compañías, también las enfrenta a una cantidad ingente de amenazas por lo general difícilmente detectables. Es aquí donde la ciberseguridad juega un papel clave.

Los expertos en este área en Deloitte, Sisco Barrera, gerente de Risk Advisory; Nacho García, senior manager de Risk Advisory; y Tommaso Pegoraro, operator de Risk Advisory, explicaron esta semana en el Club de este diario, durante la celebración del 26º Foro Business DMallorca, cómo crear un entorno seguro empresarial, cuál es el origen del fraude y qué técnicas se aplican para evitarlo, detectarlo y zanjarlo.

Durante la conferencia, bajo el título 'Ciberseguridad: la responsabilidad de construir un entorno seguro', y que contó con el patrocinio de Deloitte, Endesa, Estel y con la colaboración de Aico, Kare, Mater y Trends, los expertos alertaron al público de la importancia de proteger a las empresas de posibles amenazas tecnológicas.

Cuando internet empezó a irrumpir en las compañías, la seguridad tenía que ver con "poner barreras y cortafuegos, pero hoy en día vamos más allá", apuntó Barrera, quien explicó de forma detallada cómo se construye un entorno seguro. La estrategia, la vigilancia, la seguridad y la resiliencia son los cuatro dominios que trabajan los expertos en ciberseguridad, por ello es necesario que estos profesionales sean personas especializadas, como bien destacó Nacho García: "Para prevenir el fraude es fundamental la especialización", algo en lo que Barrera y Pegoraro coincidieron plenamente.

La primera fase, según el gerente de Risk Advisory, se centra en evaluar cuál es el nivel de ciberseguridad de la empresa. Para analizar este aspecto los expertos cuentan con un framework propio, es decir, un marco de trabajo con el que "mapear" o realizar el examen, y es de ahí de donde salen las cibercapacidades con las que cuenta la compañía. Tras ese estudio, se ven "cuáles son sus puntos fuertes y débiles", resaltó el experto, después de lo cual se obtiene como resultado una nota que va del 1 al 5 (siendo 1 el nivel de ciberseguridad más bajo y, 5 el más elevado).

Según Barrera, el resultado numérico que se le exige a una compañía depende de su naturaleza, lo que significa que "a las empresas del sector turístico les exigimos entre un 2 y un 3, y sin embargo a un banco le pedimos un 4 de seguridad", apuntó el especialista. Tras obtener la nota, se le ofrecen al empresario una serie de recomendaciones que surgen de los riesgos que han sido detectados en la evaluación.

El siguiente paso es la seguridad, "ponemos controles para mitigar los riesgos", explicó Barrera. Uno de los primeros exámenes, según detalló, suele ser la formación y la concienciación de los empleados, "ya que podemos usar mucha tecnología pero si el empleado no sabe detectar la existencia de un correo malicioso, supone un peligro". Por lo tanto, lo primero es formar y concienciar a los empleados, incluida la alta dirección, en seguridad.

Monitorización continua

Otra forma de mantener la seguridad empresarial es realizando un hacking, es decir "un test de penetración", como así lo definió el experto, para averiguar hasta dónde podría llegar un hacker. Sin embargo, todo este trabajo resultaría en vano si no se realizara una monitorización continua. Esta sería la tercera fase, en la que incluso se vigilan las redes sociales.

Para evitar que todas estas medidas fallen los expertos en ciberseguridad trabajan sobre la resiliencia. Entrenan a los equipos técnicos de las compañías creando simulacros para que "en caso de un ataque real sean capaces de responder", destacó el especialista.

Un reto al que se enfrentan estos expertos es "¿cómo delinear la seguridad con el negocio?", como resaltó con pesar Barrera al expresar lo complicado que es que los empresarios vean la seguridad como una inversión y no como un gasto. "Muchas veces ven palos en las ruedas", recordó, para continuar diciendo que para evitar que se opongan de tal forma "les planteamos diferentes situaciones e intentamos cuantificar los riesgos, les hablamos de las pérdidas que les puede suponer y es así cuando entienden la inversión en ciberseguridad, porque está muy bien tener un Ferrari, pero si no le pones buenos frenos no pasará de la primera curva".

Tommaso Pegoraro fue quien mostró con un ejemplo real, que vivió en primera persona, las consecuencias de la falta de inversión en ciberseguridad. Recordó el ataque conocido como WannaCry sufrido el viernes 12 de mayo de 2017, una situación que puso de relieve que simplemente formando a los empleados se habría podido evitar uno de los mayores virus de la red de los últimos años.

"Ese día alguien abrió un correo electrónico con un adjunto que no tendría que haber abierto, encriptaba los ficheros del ordenador, lo enviaba a toda la infraestructura y pedía un rescate en un tipo de moneda no rastreable, como el bitcoin", recordó Pegoraro. Ese viernes los expertos en seguridad, según relató el especialista, siguieron todos los pasos habituales de análisis, detección y eliminación de incidencias pero no consiguieron parar el ataque. Fue finalmente un veinteañero el que lo logró al crear otro dominio. Pero no fue hasta pasado un año cuando alcanzaron su objetivo: no tener ninguna máquina infectada. "Después de un año recibimos el primer informe vacío y desde entonces monitorizamos continuamente para evitar que suceda lo mismo", detalló.

¿Cuál es el proceso del fraude?

García analizó cómo una persona puede llegar a cometer un fraude de este tipo. Así, explicó que puede ocurrir porque perciba una oportunidad, por la existencia de una necesidad económica no compartible con otros, o por la racionalización, es decir que encuentren motivos que en ese momento consideren de peso para finalmente actuar de forma delictiva.

El especialista señaló además que para poner fin a un fraude los expertos utilizan una serie de técnicas como la consulta predefinida o el modelo predictivo -que consiste en "entrenar para que en base a un histórico donde se han analizado casos de fraude, se observe qué variables tienen mayor peso"-que ponen en evidencia que "la detección del fraude necesita de la preparación de los empleados".