Mitos en Ciberseguridad
Llevamos unas cuantas publicaciones escribiendo sobre ciberseguridad, comentando diversos riesgos y aportando ideas, pistas y consejos para ayudar a protegernos. Somos conscientes que, como en casi todos los aspectos de la vida (empresarial y personal) no todo lo que reluce es oro, o mejor dicho no todo lo que creíamos saber sobre seguridad TI y ciberseguridad es cierto.
Es así cómo se nos ha ocurrido recapitular unas cuantas creencias incorrectas, aquellas que solemos encontrarnos aún entre las filas de nuestros colegas o familiares más actualizados.
1. La mayoría de las amenazas de tipo ciber solo pueden venir desde fuera de mi organización
Falso. Cierto es que muchos ataques provienen de fuera de las empresas, aunque no son pocos los causados por trabajadores de la empresa.
Establecer que las vulneraciones han sido causadas, desde dentro, de forma intencionada o no, es harina de otro costal. Debemos estar siempre preparados. Todos podemos dejar abierta una puerta o una ventana por error, por lo que debemos asegurarnos tener los medios para minimizar los riesgos.
Recordemos que, en temas de seguridad, también Informática, debemos preocuparnos tanto de la seguridad de los propios datos y los sistemas, como de la seguridad física de las herramientas, dispositivos, documentación, prototipos, y demás activos de la empresa.
El verdadero secreto está en formar e informar a nuestros equipos, permitiéndoles tomar consciencia de que los ciberriesgos y demás riesgos físicos existen, aportándoles soluciones y herramientas que les ayuden a evitarlos. Además, en caso de vulnerabilidades o brechas, sabrán cómo actuar para disminuir su impacto.
2. Una contraseña segura basta para mantener a salvo todos mis dispositivos
Falso. No basta con tener una contraseña segura para mantener a salvo la información de mi empresa.
Lo primero es crear una contraseña segura (con números, letras y signos). Luego, debemos crear contraseñas únicas para cada sistema, web o aplicación a la que accedemos. No debemos dudar en usar un gestor de contraseñas, nos hará la vida más fácil.
Otra idea equivocada: si una red WiFi tiene contraseña, es segura. No es recomendable usar WiFis gratis abiertas, para consultar o compartir informaciones sensibles, salvo que no tengamos otra opción.
3. El antivirus nos protegerá siempre
Falso. Un antivirus no es un caballero solitario que, con su reluciente armadura, nos pueda proteger contra cualquier ataque. Sin olvidar que no basta con instalar el antivirus “una buena vez por todas”, puesto que debemos asegurarnos que esté siempre actualizado. Garantizar la seguridad requiere de más esfuerzos y herramientas.
Como cierto llanero solitario de caballo blanco, que tenía un compañero humano, el antivirus debe ir acompañado de otros elementos que le permitan aumentar su eficacia, como un firewall.
Además, debemos asegurarnos que nuestro esquema de seguridad se adapta plenamente a las necesidades de nuestra empresa y se mantiene siempre actualizado. Se logra realizando controles periódicos de nuestras defensas, para así poder detectar cualquier punto débil y mitigar los riesgos que pueda conllevar.
4. Solo los ordenadores pueden tener virus
Falso. Cualquier dispositivo, susceptible de conectarse a Internet puede ser hackeado o infectado por un virus. Incluidos los smartphones, las neveras conectadas (esas que nos avisan cuando los yogures o la leche van a caducar), las bombillas inteligentes y hasta los vehículos dotados de ordenadores.
Otro falso mito: aquel que pretende convencernos que los Mac, por ser tales, no pueden tener virus. Como dicho: ¡si se puede conectar a Internet, puede ser víctima de un ataque!
En nuestras manos está aumentar la seguridad natural de todos estos aparatos con antivirus y demás herramientas de protección (ver mito anterior).
5. Basta realizar una única acción para lograr un alto nivel de ciberseguridad
Falso. Es una de las ilusiones más peligrosas que podemos tener.
Mantener un nivel adecuado de seguridad, tanto de los datos de mi empresa, como de los de mis trabajadores, clientes y proveedores, es un esfuerzo constante y continuo. Sin olvidar la multiplicación de las transacciones en línea, que no ha cesado de aumentar y nos obligan, cada vez más, a compartir grandes cantidades de información en entornos digitales.
Recordemos que es necesario mantener los dispositivos informáticos actualizados, actualizar con regularidad los softwares que utilizamos, evitar utilizar aplicaciones y softwares de origen desconocido, etc.
Realizar estas acciones una vez y pensar que así estamos vestidos para afrontar el invierno es engañarnos y arriesgarnos a perder mucho más de lo que podemos imaginar.
6. La ciberseguridad requiere de importantes inversiones financieras
Tener una política de seguridad TIC y ciberseguridad puede tener un coste más elevado de lo deseado. Sin embargo, debemos compararlo con el precio que otorgamos a los elementos que deseamos proteger.
El resultado de esa comparación nos permitirá definir con claridad lo que realmente resulta más económico, entre aceptar el riesgo o asegurar un nivel de protección suficiente, según las necesidades reales y específicas de nuestra organización.
Sin menospreciar el valor de las horas perdidas a la hora de resolver o reparar los daños causados por una intrusión, una vulneración de nuestros datos o una encriptación de dichos datos con, como única solución, el pago contra restitución de mis datos. En no pocos casos, una vulneración puede costarle la vida a la empresa.
7. Tenemos un departamento de informática, no corremos ningún riesgo
Tener un departamento (o una persona) dedicado a la informática de la empresa no es garantía de seguridad ante el riesgo ciber. Como en muchos otros departamentos, existen muchas especialidades, en informática la seguridad es una. No siempre podemos tener personal formado en todo.
Con o sin equipo de informáticos propio, nunca viene mal consultar con especialistas, capaces de ayudarnos y aportarnos ese ojo externo que nos permita ver el verdadero estado de nuestros sistemas.
8. Otros mitos
¿Quién querría hackearme?
No soy nadie, mi empresa es pequeña (no tengo nada que valga la pena proteger)
Debemos dejar de pensar en la ciberdelincuencia como en la imagen de un oscuro hacker, buscando desde su pantalla de ordenaror, a la mejor víctima para sus siniestros propósitos. La triste realidad es que, hoy en día, la mayoría de esos actos ilícitos son realizados por personas normales, o por sistemas automatizados.
Aunque “no seamos nadie importante”, siempre estamos produciendo información (no debemos infravalorarla). Esos datos pueden ser importantes para alguien. La información no solo tiene valor desde un punto de vista comercial, sino también geopolítico.
En algunos casos, lo único que nos quieren robar son nuestras credenciales, para así acceder a la empresa en que trabajamos o a los datos ajenos que manejamos.
Resulta fácil detectar las estafas con phishing.
Cada vez es más difícil detectar este tipo de ataque. Lo mejor es mantenernos siempre alerta: No clicar en enlaces sospechosos, no abrir adjuntos de remitentes dudosos. En resumen, debemos estar siempre alerta.
No veo nada raro en mi dispositivo, no debe tener ningún virus.
Como en toda actividad delictiva, las tentativas de intrusión suelen hacerse lo más discretas posibles. En estos casos la falta de noticias no siempre son buenas noticias. Nunca debemos bajar la guardia.
Sólo los sitios para adultos o de mala reputación son inseguros.
De hecho, se estima que el 61% de las webs “legítimas” puede propagar malware, al haber sido infectadas y comprometidas con código malicioso, sin que se hayan percatado de ello.
Las redes sociales que frecuento y los amigos que allí tengo nunca me harían daño.
Lo bueno que tienen la RRSS es que nos permiten estar conectados con amigos lejanos en el tiempo o en el espacio, encontrar viejos conocidos y mantenernos al día de la vida de nuestros parientes y familiares. Lo malo, es que los hackers pueden hacer que esos mismos amigos o familiares se transformen en puertas de entrada para visitas malintencionadas.
La mayor parte de la actividad de las redes sociales es controlada a través de algoritmos, algunos de los a veces hemos oído hablar. En caso de que la red social sufra una intrusión y/o robo de datos, es muy fácil que resultemos sufriendo alguna consecuencia negativa.
No son pocos los ejemplos de robos masivos de datos o vulneraciones de la seguridad de datos a través de este tipo de plataformas. A veces, sólo nos enteramos cuando nos escriben para solicitarnos que actualicemos nuestra contraseña…
Tapar la webcam es una tontería.
Aunque parezca una locura, el hecho que muchas de las nuevas versiones de portátiles lleven una “ventana corredera” para tapar la cámara nos debería alertar.
Cuando pensamos en cámaras susceptibles de ser hackeadas, no debemos limitarnos a la del ordenador, sino también a la de cualquier dispositivo electrónico que usemos, ¡nuestro queridísimo móvil inteligente también!
Conclusiones
Demasiado a menudo damos por descontado que nuestra organización, por el echo de disponer de antivirus corporativos (actualizados, claro está) y/o firewalls de alto nivel, está bien protegida. ¡Es una gran equivocación!
Basta con que se dé un simple fallo en el esquema de seguridad, en caso de tener uno, para que un ataque pueda ser exitoso.
Por eso es tan importante asegurarnos, con pruebas y test periódicos, que nuestras defensas informáticas están controladas. Esto también nos permite tener una visión real (más allá de la foto antigua que solemos tener) de los puntos débiles que nuestro sistema tiene, lo que nos facilita poner en marcha programas y políticas destinadas a mitigar los riesgos.
¿Qué puede aportar ESCUDA a tu empresa?
Si tienes dudas o necesitas orientación en estos y otros temas de ciberseguridad, no dudes en contactarnos, en ESCUDA estaremos encantados de atenderte, tanto por teléfono, al 931931848, como por mail a través de este formulario.
También te podemos aportar nuestra experiencia en la concienciación de tus equipos humanos, frente al riesgo ciber, así como en auditorías de vulnerabilidades y/o auditorías de configuraciones.
Mas información:
¿Por qué me vigilan, si no soy nadie? | Marta Peirano | TEDxMadrid
Informe de Ciberpreparación de Hiscox 2021
Resumen en vídeo del Informe de Ciberpreparación de Hiscox 2021
Puede que estos artículos te gusten
10 tips para actualizar el software… Hazlo por Ciberseguridad
Los dispositivos digitales y el software que usamos a diario están expuestos a fallos de seguridad. Esos fallos pueden ser usados por cibercriminales para tomar el control de un ordenador, de un equipo móvil o hasta de un reloj digital. Actualizar el software, clave...
Phishing: Ciberataque de suplantación de identidad por email y SMS
Hemos sido víctimas de phishing. ¿Qué hacemos? El phishing consiste en el envío de un SMS o un mail fraudulento, destinado a engañar a la víctima, para animarla a comunicar datos personales y/o bancarios, haciéndose pasar por un tercero de confianza. ¿Qué hacer...
