"Ningú ha fet 18 anys a les xarxes. Les empreses no es preparen en matèria de ciberseguretat perquè a internet tots som menors d'edat. I si som menors d'edat, estem en una immaduresa. Hem de ser humils i saber que els més espavilats ens prendran el pèl". Així de contundent s'ha mostrat l'enginyer de telecomunicacions i membre de Telecos.cat Genís Margarit en una sessió sobre amenaces en l'entorn digital organitzada per l'Agència de Ciberseguretat de Catalunya, on ha alertat dels riscos de no tenir una estratègia per prevenir els perills.

El ransomware és la principal estratègia d'atac per a les companyies. A l'Estat espanyol, el nombre d'atacs va augmentar un 160% durant el primer semestre del 2020 –coincidint amb el confinament-, per sobre de l'increment de casos a Alemanya (145%), Regne Unit (80%) i França (60%), segons un estudi de Check Pint Software Technologies.

Aquest tipus de programari maliciós entra als sistemes informàtics de les organitzacions, captura dades i demana rescats d'alt cost o utilitza les dades per ampliar la seva xarxa i atacar tercers relacionats amb la seva víctima.
Però mentre aquesta tipologia de delictes ha actuat durant anys, i especialment en entorns d'oficines, l'estratègia es va mantenir paral·lelament al creixement d'atacs als professionals que van haver de traslladar la feina a les llars com a mesura pel confinament. "El teletreball va fer que hi hagués molts casos de phishing perquè les persones no estaven entorns segurs ni amb les eines protegides", ha assenyalat el director d'Estratègia de Seguretat de l'Agència de Ciberseguretat de Catalunya, Tomàs Roy. Amb sort, ha afegit el Chief Technology Officer de FHIOS Smart Knowledge, Daniel Mas, "alguns treballadors van poder utilitzar els mateixos equips, però no totes les VPN eren correctes ni s'ha treballat en un entorn tan controlat". Tot plegat, ha obert una porta d'entrada als cibercriminals.

Un atac que pot fer tancar un negoci

Aquest entramat genera un negoci de milions d'euros anuals arreu del món i que ja tenen entre mans les autoritats. De fet, en una operació conjunta entre la Policia Nacional, els Mossos d'Esquadra i l'FBI s'ha desarticulat una organització transnacional dedicada al blanqueig de beneficis procedents de ciberatacs i estafes informàtiques a Espanya. Les proves recollides eleven a més de 800.000 euros anuals els ingressos per aquesta activitat il·legal.

"El ransomware és una estafa piramidal, una estructura organitzada", ha alertat Margarit, "això ha de fer que l'empresari aprengui a desconfiar de tothom i implementi mesures de seguretat perquè quan tot falli, no sabràs on és l'enemic". El principal problema que ha detectat l'expert és que no hi ha prou consciència sobre els riscos d'internet pel que fa als actius dels negocis, els quals han de pensar que la part del pressupost destinada a prendre mesures no és un cost, sinó una inversió: "La ciberseguretat està en l'àmbit de les cures de la informàtica i no es valora". Sovint les companyies externalitzen la transformació a través d'uns serveis d'informàtica que s'encarreguen de posar barreres. Una acció adequada, ja que es recorre a experts que apliquen plans de protecció i de contingència amb seny, però que fa que des de les direccions dels negocis no es doni la importància que cal a la matèria.

Sala: "Això no va de vendre per internet o de gestionar les xarxes socials, sinó de transmetre que ets una empresa segura"

Més del 70% dels atacs generen pèrdues de dades que poden provocar dificultats per accedir a la comptabilitat o la botiga en línia d'un negoci. "Els atacs poden fer tancar una empresa", ha alertat el director de Collider a la Mobile World Capital, Oscar Sala, qui també ha posat sobre la taula la importància de la reputació: "Això no va de vendre per internet o de gestionar les xarxes socials, sinó de transmetre que ets una empresa segura". Per això la fórmula que recomana, a més de comptar amb experts en la creació d'entorns adequats, és treballar amb tota la companyia perquè tinguin pràctiques alineades amb la prevenció i detecció de riscos.

Certificar la seguretat

Que una empresa sigui atacada no vol dir que sigui l'única a rebre l'impacte. El robatori de dades no sempre acaba en la petició d'un rescat, sinó que l'organització criminal pot estendre els fils i utilitzar la informació requisada per anar a extreure un benefici amb l'extorsió de clients i proveïdors que figuren en les bases de dades. O a més petita escala, l'afectat no sempre serà un únic treballador, sinó que ho poden ser tots els companys de departament o de la mateixa estructura corporativa.

Margarit: "El compromís, la dedicació i l'afinitat són intangibles que donen valor afegit, però en el confiem massa i hem de demanar informes d'auditories"

Per tal de garantir que les relacions professionals són segures, Margarit recomana recórrer a segells que acreditin la feina feta: "Si vols reputació, ves a buscar les millors certificacions i podràs dir que ets el millor. Busca un tercer sense interessos que auditi els sistemes i certifiqui que tens un entorn segur". I la mateixa norma aconsella aplicar en la cerca de proveïdors, qui haurien de comptar amb la documentació pertinent per tenir la certesa d'operar en xarxes sense riscos. "El compromís, la dedicació i l'afinitat són intangibles que donen valor afegit en una relació mercantil, però en el sector privat confiem massa i hem de demanar informes d'auditories", ha afirmat.

El costat fosc del 'bring your own device'

La reducció de costos per part de l'empresa quan els treballadors utilitzen els seus dispositius és, possiblement, un dels arguments principals per haver vist anar a la baixa la pràctica de donar telèfons d'empresa. També intervé, segons Margarit, el fet que els usuaris són cada cop més "selectius" amb els dispositius que volen usar. No obstant això, ha assegurat que cal tornar als orígens: "Abans tothom tenia una Blackberry de feina i l'empresa treballava amb servidors de Blackberry. Tot estava protegit i no hi havia els riscos que tenim ara".