Uno de los mayores retos a los que se enfrentan usuarios, empresas y organismos públicos es el de la ciberseguridad. Los ataques se multiplican día tras día e incluso instituciones como el Péntagono, supuestamente diseñadas para repeler cualquier tipo de ataque, han sufrido sus consecuencias. En España, organismos como el SEPE o el Ministerio de Trabajo han experimentado ciberataques que han puesto en tela de juicio la seguridad de estos organismos.
La humanidad vive en un mundo hiperconectado así que, lejos de que los ciberataques se reduzcan, van a ir en aumento. Los ciberdelicuentes, que no hackers, desarrollan virus y malware cada vez más sofisticados, más complejos y más difíciles de defender. Y todos estamos expuestos por lo que no sólo se necesita disponer de un antivirus, sino que, sobre todo, se necesita formación para conocer qué puede ser un virus y qué no.
Ransomware y coronavirus
En el malware que circula por las redes de todo el mundo hay uno que causa verdaderos estragos: el ransomware. Se trata de un virus casi imposible de parar. Si un ordenador, un centro de datos o una red se infecta, es inútil eliminarlo. No se puede. Este malware, con más variantes y cepas que el coronavirus, bloquea equipos y todos los datos y aplicaciones que se encuentran en ellos. Sólo hay un método para mitigar sus efectos, y no siempre funciona: pagar al ciberdelincuente la cantidad de bitcoins que pide para que desbloquee el equipo.
Por eso, la formación de los usuarios es sumamente importante. No se trata de eliminar el virus, sino de evitar que un equipo se infecte. Normalmente, este tipo de malware emplea técnicas de phishing (un correo electrónico o un mensaje de texto que parece venir de una fuente confiable) para incrustarse en un ordenador o en un servidor. Así que una de las claves consiste en saber distinguir entre un e-mail válido de uno que sólo parece que lo es.
El problema que tiene el ransomware es que los ciberdelincuentes ya no atacan sólo a los usuarios. Ahora mismo los objetivos son varios. En primer lugar, los hospitales: los ciberdelincuentes saben que la salud es prioritaria y que paralizar a todo un centro sanitario puede suponer que haya fallecidos porque no se pueden aplicar tratamientos o paralizar las entradas en quirófano de los pacientes. Así que la dirección del centro sanitario no dudará en hacer un pago para desbloquear los equipos.
Los organismos oficiales también son otro de los objetivos, y los ciberataques hacia ellos van en aumento. En este caso, el propósito, además de obtener una importante suma por el rescate, también se encuentra en la obtención de datos sensibles para estas organizaciones.
Finalmente, el tercero de los sectores que está en el punto de mira es el industrial. Aquí la finalidad es monetaria y los riesgos son elevados. Un ransomware puede paralizar el transporte de todo un país, como ocurrió hace unos meses con el ciberataque al oleoducto Colonial Pipe, que paralizó durante una semana todo el suministro de combustible en la costa este de EE.UU. En este caso, la compañía pagó 4,5 millones de dólares en bitcoins como rescate y ni aún así pudo restaurar todos los datos.
La importancia de la sostenibilidad
Aunque no parecen términos relacionados, la ciberdelincuencia afecta a la sostenibilidad. Y es aquí donde aparece una figura clave que los relaciona: el director de sostenibilidad. Pero las organizaciones todavía no están decididas a incorporar este rol en su esquema organizativo, un problema que en España se acrecienta al estar hablando de un país formado mayoritariamente por Pymes.
No ocurre lo mismo con las organizaciones más grandes, que ven en el departamento de sostenibilidad, no sólo una baza para mejorar en este apartado, sino también como un impulsor del cumplimiento normativo en esta materia y de aumento de la imagen pública, que a su vez les reportaría un incremento de las ventas. Lo que nadie imagina es que la figura del director de sostenibilidad conjugada con la del CISO o responsable de ciberseguridad, proporciona otros beneficios más inmediatos, sobre todo en uno de los sectores más afectados por las ciberamenazas: el industrial.
Según un informe de la firma de seguridad Kaspersky, las compañías que conforman este sector tienen en la política de ciberseguridad uno de los pilares de su estrategia ya que sufrir un ciberataque afectaría a la calidad de sus productos y a la disponibilidad de los servicios, como se ha demostrado en el caso de Colonial Pipeline. El estudio de Kaspersky asegura que la incorporación de un director de sostenibilidad haría que las empresas mejoraran sus estrategias de ciberseguridad. Y es que, la sostenibilidad no sólo es reducir las emisiones de gases o disminuir los consumos, sino que abarca apartados que afectan al conjunto de una empresa como el cumplimiento normativo, tener una cadena de suministro fiable o incluso la mejora de las relaciones con recursos humanos. Y por supuesto, también incluye al departamento tecnológico y de ciberseguridad y, por ello es necesario que éste forme parte de la estrategia de desarrollo sostenible de una compañía.
Los riesgos de sufrir un ciberataque afectan a todo. No sólo es una cuestión de pérdida de datos o inutilización de equipos. El estudio de Kaspersky señala que en el caso de que una empresa sea atacada puede afectar directamente a la vida y a la salud de los empleados en al menos un tercio. Sobre todo, se incrementarían los problemas de estrés, que a su vez afectarían a las personas que rodean a ese empleados. Por ello, el estudio señala que la introducción del papel de un director de sostenibilidad, podría mitigar los riesgos y a la vez mejorar la protección de la organización industrial contra las ciberamenazas relacionadas.
Digitalización y sostenibilidad
La realidad es que el sector industrial es uno de los que más recursos está invirtiendo en sus procesos de digitalización. Los Fondos Europeos Next Generation EU pueden acelerar esos procesos y los gobiernos de los diferentes estados de la UE están impulsándolos en un sector que se considera estratégico. La sostenibilidad es uno de los elementos que se encuentran en ese proceso de transformación digital por lo que evitar, en la medida de lo posible, un ciberataque hace que el factor de la sostenibilidad se vea beneficiado. Según el informe, las organizaciones al protegerse contra las ciberamenazas, deben tener en cuenta el factor de la sostenibilidad. Para ello es necesario que el director de sostenibilidad también entienda el papel que tiene la ciberseguridad en la agenda de una empresa y cómo se debe mejorar para proteger tanto la infraestructura corporativa y la industrial, que impida por ejemplo, que un ciberataque provoque un vertido de petróleo al mar o que pare un parque eólico que provoque que se tenga que utilizar energía proveniente de combustibles fósiles para garantizar el suministro eléctrico.
El Instituto Nacional de Ciberseguridad (INCIBE), una organización dependiente del Ministerio de Asuntos Económicos y Transformación Digital, también hace hincapié en la importancia de establecer una correcta estrategia de ciberseguridad, no sólo en el sector industrial, para conseguir los Objetivos de Desarrollo Sostenible de la ONU. Tal y como asegura la institución, en un mundo interconectado como el que vivimos, la ciberseguridad está presente en los 17 objetivos de desarrollo sostenible ya sea para garantizar las comunicaciones, los contratos o las transacciones o para evitar la discriminación en el uso de los datos masivos. Por ello, invertir en implementar y desarrollar una cultura de seguridad, redundará en beneficios a nivel global.
Todos podemos hacer algo para paliar el auge del cibercrimen. De momento, duda siempre que recibas un e-mail de tu compañía eléctrica o de tu banco. El ransomware se encuentra a tan solo un click.
