Con el avance de la digitalización y la creciente dependencia de los sistemas y dispositivos en red, los ciberataques se han convertido en uno de los mayores riesgos empresariales para las empresas alemanas. Los patrones de ataque son cada vez más complejos y dinámicos. La tercera edición de Cyber Morning abordó esta cuestión y analizó la situación actual de la ciberseguridad.
Durante las tres horas que duró el evento online, los ponentes dieron respuesta a las preguntas de cómo los ciberdelincuentes aprovechan las situaciones de crisis, qué medidas deben tomar las empresas para posicionar con éxito su propia organización contra los ciberataques y cómo comportarse correctamente en una emergencia cibernética para poder limitar los daños en la medida de lo posible.
El factor humano: la mayor puerta de entrada y la mejor protección al mismo tiempo
Kevin Schomburg, de la Oficina de Protección de la Constitución de Baja Sajonia, comenzó con una evaluación de la situación actual de las amenazas en materia de ciberseguridad. Quedó claro que los acontecimientos actuales -el espionaje industrial y el conflicto en Ucrania- también han provocado cambios en el mundo cibernético. Los ataques de ransomware, en particular, han aumentado en el pasado reciente y se refieren a temas de actualidad que reciben la atención adecuada a través de la cobertura mediática.
Todas las empresas pueden asumir que se verán afectadas por ciberataques en algún momento, si no lo han hecho ya. Estos pueden afectar a la tecnología informática, así como a la filtración de datos sensibles, y pueden ser causados por errores involuntarios de los empleados, así como deliberadamente. Para Schomburg, el factor humano juega un papel decisivo en la ejecución exitosa de los ciberataques, pero también en su contención. Para lograr esto último, el personal de una organización debe participar activamente en su arquitectura de seguridad. Para ello son necesarios varios factores: La cultura del error, el liderazgo de los empleados así como la satisfacción de los mismos son relevantes para que la ciberseguridad se viva o no en una empresa. Sobre todo, es importante integrar una sana cultura del error en el concepto de ciberseguridad de una empresa. Los empleados deben poder afrontar abiertamente los errores de ciberseguridad -por ejemplo, hacer clic en un enlace malicioso- y no ser «castigados» por ello. Toda la empresa debe aprender conjuntamente de estos incidentes.
El Dr. Michael Kreutzer también abordó el factor humano en su presentación sobre los conceptos de ciberseguridad sostenible en las empresas. El investigador de ciberseguridad del Centro Nacional de Investigación en Ciberseguridad Aplicada ATHENE también destacó el papel central de los empleados en los ciberataques.
En la mayoría de los casos, la falta de procesos o directrices de seguridad conduce a errores de ciberseguridad: por ejemplo, discos duros que se revenden inadvertidamente sin la eliminación definitiva de los datos que contienen, lo que provoca fugas de información.
Según Kreutzer, mejorar la ciberseguridad de una empresa es un proceso continuo. Para ello, mencionó los siguientes Ü-consejos concretos:
- Mantener una visión general de los datos internos y del panorama informático y archivar los documentos de emergencia.
- Supervisión continua de la infraestructura con respecto a los problemas de seguridad
La adopción regular de actualizaciones y parches de seguridad. - Entrega: copias de seguridad en ubicaciones separadas y, si es necesario, transferencia de la administración de los procesos críticos para la seguridad a proveedores de servicios debidamente designados
- Comprobación constante de los sistemas, así como práctica periódica con formación de concienciación o cibergestión
El investigador de ciberseguridad considera que la comunicación interna es un aspecto central: «La dirección de una empresa debe anclar la ciberseguridad en sí misma, comunicarla continuamente y ejemplificarla. Las responsabilidades en este ámbito deben estar claramente definidas.
Ciberataques: más rápidos de lo esperado
Jan-Tilo Kirchhoff ilustró lo fácil que es para los ciberdelincuentes penetrar en una empresa. En una demostración en vivo, el Director General de Compass Security Deutschland GmbH utilizó varios ejemplos para mostrar lo rápido que puede producirse un ciberataque. Kirchhoff subrayó que los hackers criminales no suelen dirigirse únicamente a los datos de la empresa atacada. Los datos de los clientes o de los proveedores de servicios posteriores también son muy específicos.
Al simular un ataque de denegación de servicio, o DoS, Kirchhoff ilustró cómo los ciberdelincuentes pueden inutilizar fácilmente un sitio web: Se envían varios miles de peticiones a los servidores web, de modo que se sobrecargan y se colapsan. Este método ya se ha utilizado para extorsionar en muchos casos.
Sin embargo, los ataques de ransomware se producen con mayor frecuencia a través de correos electrónicos de phishing. Los ataques se realizan de forma masiva en forma de correos electrónicos masivos o de forma muy selectiva y profesionalizada. Utilizando varios ejemplos de archivos de ransomware, Kirchhoff advirtió sobre todo de los archivos ejecutables y las macros maliciosas de Office en archivos de remitentes desconocidos. Así, por ejemplo, en 2016 se atacaron masivamente departamentos de personal con el troyano Goldeneye. Incluso hoy en día, este método sigue estando muy extendido.
Además, Kirchhoff se adentró en el uso de la ingeniería social para los ciberataques e ilustró vívidamente las herramientas que utilizan los ciberdelincuentes para obtener datos personales o crear un perfil falso en las redes sociales. Conclusión: Más fácil de lo esperado.
El profesional del pentesting suele recomendar una buena higiene de las contraseñas. Las contraseñas deben ser únicas, suficientemente largas y complejas, y la autenticación de dos factores debe utilizarse tan a menudo como sea posible.
Angela Rieck ofreció a la audiencia un relato de primera mano sobre cómo se percibe un ciberataque desde la perspectiva de los afectados. La jefa de la oficina de distrito de la Lotería en Kempten notó actividades inusuales en su servidor en el curso de una comparación de datos. Sólo al activar el modo de pantalla quedó claro que debía tratarse de un ciberataque: aparecieron muchos caracteres de tipo jeroglífico que se extendían por la pantalla y apareció el mensaje «Has sido hackeado – paga 1.000 Bitcoin».
Angela Rieck reaccionó rápidamente y llamó a su informático, que rápidamente le aconsejó desconectar el ordenador del trabajo. El ciberataque afectó a varios procesos de la empresa. Durante varias semanas, el envío de los pagos a la central no estuvo asegurado. La empresa de Angela Rieck tuvo suerte: al parecer, el ciberataque no robó datos de los clientes y los sistemas pudieron restablecerse. Sin embargo, su empresa tuvo que hacerse cargo de los daños resultantes, que ascendieron a 10.000 euros, ya que el seguro electrónico no cubre la compra de nuevos equipos debido a un ciberataque. El origen del ciberataque no pudo ser rastreado ni siquiera involucrando a las autoridades responsables.
En este contexto, Thorsten Linge, de Perseus Technologies, dio recomendaciones útiles para el comportamiento correcto en el curso de un incidente de ciberseguridad: una tarjeta de emergencia ofrece asistencia inicial en caso de emergencia y debería estar disponible para todos los empleados en forma impresa.
Ciberincidentes y protección de datos: todo es cuestión de datos
La conclusión de Cyber Morning Vol. 3 fue proporcionada por Katharina Schreiner. El abogado titulado y responsable de privacidad de Proliance GmbH (datenschutzexperte.de) estableció la conexión entre la seguridad de los datos, la ciberseguridad y la protección de datos: si los datos personales se ven comprometidos durante los ciberataques, a menudo es esencial informar del incidente a la autoridad supervisora de la protección de datos en un plazo de 72 horas. Una buena documentación y una comunicación transparente, por ejemplo con la ayuda de una página de aterrizaje o un teletipo en vivo, son esenciales y también son percibidas positivamente por los clientes y socios de cooperación afectados. Las medidas que deben tomarse desde la perspectiva de la protección de datos dependen de la evaluación de los riesgos.
El nivel de riesgo se clasifica y evalúa en función de la sensibilidad de los datos y del tipo de incidente de protección de datos -por ejemplo, si se trata de un ataque o de un error técnico-.Conclusión de Schreiner: Definitivamente, merece la pena estar preparado para un incidente de protección de datos e implicar a los expertos pertinentes para que el proceso sea lo menos complicado posible. En última instancia, es importante que los empleados estén sensibilizados con el tema y que se aclaren las responsabilidades.
Johannes Vakalis, Director de Ventas y Marketing de Perseus Technologies, moderó el evento en línea. Cyber Morning Vol. 4 tendrá lugar en septiembre de 2022 y se centrará en la importancia de la ciberseguridad y la evaluación de riesgos en el sector de los seguros.