—Cuando ya se ha producido el ciberataque, ¿es demasiado tarde o todavía se puede hacer algo?

— La respuesta breve es que es demasiado tarde ya que el atacante puede haber conseguido nuestros datos en cualquier momento. La respuesta más amplia es que siempre se puede hacer algo. Aunque un atacante haya conseguido entrar en la infraestructura, a través de la monitorización de detalles como el comportamiento sospechoso de algunos procesos, conexiones extrañas a nivel de corta fuegos, accesos de cuentas desde un país no habitual, y muchas cosas más, es posible implementar medidas de contención y remediación. Esto significa que si se identifica el origen del ataque se puede bloquear la dirección IP, si se identifica una cuenta comprometida podemos resetear la contraseña de ese usuario, si identificamos código malicioso es posible bloquear los procesos utilizados por él o aislar la máquina. Las medidas de contención y remediación siempre dependen del grado de madurez de la infraestructura en la que trabajamos.

—¿Cuál es la modalidad de ciberataques que más se emplean en la actualidad?

—En mi experiencia la mayoría de los ataques utilizan ingeniería social para introducir malware o extraer información a través de un canal muy difícil de controlar: los correos electrónicos. Los ataques de ingeniería social a través de correos electrónicos se pueden ejecutar de forma automatizada y masiva, solo hay que pensar que existen programas que pueden enviar miles de correos por segundo. Cada uno de esos correos puede llevar un enlace a una web maliciosa o un documento adjunto, como puede ser una factura en formato PDF, y cuando lo abrimos es un malware. De los miles enviados, solo hace falta que un usuario caiga en la trampa para que el ataque sea exitoso.

—¿Y qué persiguen?

—En la mayoría de los casos persiguen credenciales corporativas y particulares o información personal como el número de teléfono, número de la tarjeta de crédito o DNI. Este tipo de información se puede vender en la Dark Web o utilizarse para comprometer una cuenta corporativa y con esa llevar a cabo ataques más avanzados. Esto depende de si un ataque es dirigido o no.

—¿Podría explicar la diferencia?

—Un ataque dirigido persigue obtener las credenciales corporativa de un individuo y secundariamente información personal de este, ya que el objetivo es comprometer a la empresa y no al individuo. Es por quello que los correos se enviarán a las direcciones corporativas.

Un ataque no dirigido tiene como objetivo la información personal y será enviado a cualquier tipo de cuenta, corporativa o no, con la esperanza de que alguien abra ese enlace o documento adjunto sin prestar demasiada atención.

—¿Cuál es el ataque más peligroso que puede sufrir una empresa?

—El ataque más impactante a nivel de operaciones seguramente sea una infección por ransomware. Este tipo de malware encripta todos los archivos del sistema impidiendo su utilización. Para obtener la clave que permitirá descifrar los ficheros, el atacante pide pagar un rescate en Bitcoins. La remediación tras este tipo de infección siempre cuesta bastante a los equipos de seguridad ya que se deberá proceder a descifrar los datos y, muy probablemente, formatear el ordenador. A nivel reputacional hay un tipo de ataque, llamado deface, que consiste en hackear una página oficial con el objetivo de cambiar su contenido, introducir código malicioso o simplemente cambiar los datos de contacto para que los visitantes se pongan en contacto directamente con los criminales.

—¿Existe el sistema de seguridad perfecto?

—La ciberseguridad es un entorno en constante evolución y muy amplio. Aún con todas las medidas de protección disponibles, tanto para las empresas como para los particulares, los correos maliciosos siguen llegando, las webs maliciosas se detectan cada día con más dificultad y el software instalado en los ordenadores sigue requiriendo ser actualizado contra las nuevas vulnerabilidades. Por eso opino que, con la tecnología disponible a día de hoy, es muy difícil tener un sistema de seguridad perfecto.

—¿Y qué sería lo más próximo a un sistema de ciberseguridad perfecto?

—Los sistemas de seguridad tienen una componente tecnológica y una humana. Se pueden implementar todas las tecnologías de seguridad disponibles, pero sin una formación adecuada a las personas tendremos siempre una "vulnerabilidad" crítica que no podremos solventar con ninguna tecnología. Considero la formación y concienciación de los usuarios la medida más eficaz que se pueda adoptar. Con usuarios adecuadamente concienciados y formados, el departamento de Seguridad podrá ser más eficiente y al mismo tiempo las tecnologías implementadas serán también más eficaces.

—¿Cuál es la principal brecha de seguridad que tienen a día de hoy las empresas?

—Tras la implementación de la RGPD tenemos mucha más visibilidad de las brechas de seguridad que ocurren en Europa. Según el informe del 2018 proporcionado por la AEPD -Agencia Española de Protección de Datos-, se comunicaron 499 distintas brechas de seguridad. Un 48% de las brechas reportadas tenían como principal componente el factor humano -pérdida o robo de dispositivos o documentación, errores en gestión de datos, etc.- y un 39% por la componente tecnológica -hacking, o malware- . El 13% que queda está en una zona gris de casuísticas en las que no es posible hacer este tipo de distinciones.