Una de cada tres empresas no toma medidas tras un ciberataque
Hay datos que ponen la piel de gallina, que son tan crudos que o los acompañamos con mucha guarnición o nos dejan un sabor de boca tan, tan fuerte, que probablemente tardemos un tiempo en poder volver a saborear algo. Y esto ocurre de manera tristemente habitual en el ámbito de la seguridad, en el que tendemos a pensar que ya existe una gran consciencia sobre los riesgos existentes y las medidas y soluciones de seguridad que podemos adoptar. Solemos, digo, pensar eso, hasta que nos vienen los golpes de realidad.
El DMCS (Department for Digital, Culture, Media and Sport) británico ha publicado recientemente un estudio en base a los resultados de una encuesta sobre ciberseguridad a empresas y entidades benéficas privadas. En la misma podemos encontrar lo que ya esperábamos: mil y un indicadores sobre los efectos de la pandemia y la adopción «a la carrera» del teletrabajo, con el phishing y el ransomware por las nubes. Sin embargo hay un dato en particular, un dato concreto y que encontramos en el apartado 6 del informe, que es el que debería hacernos pensar. Así es como empieza el apartado 6.1, respuestas a incidentes:
«La Figura 6.1 [la imagen que puedes encontrar justo bajo esta cita del texto del informe] muestra las acciones que las organizaciones suelen decir que toman en respuesta a un incidente de seguridad cibernética. La mayoría de las organizaciones (el 66% de las empresas y el 59% de las organizaciones benéficas) informan que tienen algún tipo de proceso formalizado de respuesta a incidentes, es decir, que hacen al menos una de las cosas mencionadas aquí.
Sin embargo, los enfoques para la respuesta a incidentes a menudo no son muy completos. Poco menos de dos quintas partes de las empresas (37%) y dos quintas partes de las organizaciones benéficas (41%) dicen que toman al menos cuatro de las acciones enumeradas en el gráfico cuando experimentan un incidente de seguridad cibernética.«
Efectivamente, el gráfico significa exactamente lo que has entendido, que el 32% de las empresas y el 39% de las entidades benéficas no gubernamentales no llevaron a cabo ninguna de las acciones enumeradas en la lista. Y me llama todavía más la atención que ni el 56% de las empresas ni el 58% de las ONGs intentaron determinar el origen del incidente.
Normalmente, cada cierto tiempo recordamos los riesgos de emplear contraseñas inseguras, no actualizar el software, descuidar la seguridad de las fuentes, confiar en remitentes supuestamente fiables… sin embargo hay un hábito mucho más peligroso que todos los anteriores juntos, y consiste en saber que tienes un problema de seguridad (o no habrías sido víctima de un ataque) y quedarte de brazos cruzados, quizá confiando en que, como ya te ha ocurrido una vez, no te puede volver a ocurrir.
Ya hemos sabido de bastantes casos en los que una víctima de ransomware, tras ceder y pagar a sus atacantes, no tomó las medidas necesarias y volvió a ser atacada, lo que se saldó con un segundo pago. Confió en que sufrir una vez las consecuencias ya te inmunizaba… como si las infraestructuras IT funcionaran como el sistema inmunitario, aprendiendo de un primer ataque para saber combatir los siguientes. Y no, evidentemente el ransomware no funciona como una vacuna.
No tiene sentido quedarse cruzado de brazos, es una locura esperar que exista una distribución uniforme de los ataques, algo así como una empresa, un ataque. No. Si has sido víctima de un ataque por un agujero de seguridad, las probabilidades de que esto se repita son muy altas, puesto que ya hay, al menos, un ciberdelincuente que sabe de tu debilidad, e intentará explotarla tanto como sea posible. Si un día descubres que el sistema de pago de una cabina de peaje, por error, te cobra menos de lo que debería, ¿no probarás suerte al día siguiente con esa misma cabina? Pues ocurre exactamente lo mismo en este caso.
No me cansaré de decir que la ciberseguridad debe ser proactiva. En la medida de nuestras posibilidades, debemos protegernos de las amenazas para evitar sufrir sus consecuencias. Sin embargo, en algunos casos no queda más remedio que ser reactivo, es decir, actuar «a consecuencia de». Y en esos casos podemos hacer muchas cosas, pero lo que no debemos hacer, de ningún modo, es no hacer nada.
