La formació, consciència i hàbits de seguretat, primer nivell per frenar els ciberatacs a l’empresa

Terrassa, 22 d’octubre .- Una seixantena de representants empresarials han assistit aquest matí a la taula rodona de Cambractiva, “Ciberatacs: el preu de la modernització tecnològica per a l’empresa catalana”, organitzada per la Cambra de Comerç de Terrassa. Tres experts han abordat la ciberseguretat a l’àmbit empresarial des de diferents perspectives. I, tots ells han coincidit en la importància de la formació, la presa de consciència i el desenvolupament d’uns hàbits bàsics de seguretat per part dels equips professionals com a primer gran tallafoc per als ciberatacs.  Així doncs, l’ús de contrasenyes segures, les còpies de seguretat o el doble factor d’autenticació (2FA), entre altres mesures, han de ser pràctiques habituals de seguretat per part dels treballadors. I, per la seva banda, l’empresa ha de comptar amb un pla de continuïtat davant d’un atac que pugui posar en perill les dades crítiques i l’activitat.

El president de la Cambra de Comerç de Terrassa, Sr. Ramon Talamàs, ha obert la sessió tot recordant que “la missió de l’entitat és treballar per a la promoció econòmica; aquí s’inclou la defensa d’una amenaça latent que pateixen totes les empreses com són els ciberatacs”.  La sessió ha estat moderada per la periodista terrassenca, Sra. Laura Hernández.

El cap d’Unitat de Resposta Activa (Catalònia-CERT) de l’Agència Catalana de Ciberseguretat, Sr. Óscar Salvador, ha obert el torn d’intervencions recordant que durant l’any 2023, universitats, hospitals i administracions públiques van patir vuit mil milions d’atacs cibernètics a Catalunya. D’aquests, 2.671 es van arribar a materialitzar i 80 es van traduir en incidents crítics (recordar els casos de l’Hospital Clínic i de la UPC). 
L’expert, però, ha alertat que des de l’Agència Catalana es detecta que els ciberdelinqüents se centren cada vegada més en les petites i mitjanes empreses. “És per una qüestió de ciberseguretat. Ara mateix resulta més accessible a l’atac una petita empresa que un hospital. És molt important que totes les empreses coneguin a quins tipus d’amenaces estan exposades”.

Ransomware i phising
El ransomware i el phising són els dos tipus d’atac més habituals que pateixen les empreses. Per una banda, el ransomware persegueix el robatori de dades crítiques de l’empresa. Per altra, el phising busca la suplantació a través del robatori de credencials. La finalitat en ambdós casos és o econòmica o bé disruptiva. “L’atacant persegueix sempre tres objectius: backups (còpies de seguretat), dades i credencials”, recorda Óscar Salvador.

L’expert ha incidit en la importància “de la doble verificació i la doble autenticació sempre que sigui possible. L’inici de la prevenció d’un atac comença amb la conscienciació dels usuaris. És molt important que tots els treballadors sàpiguen on pot acabar un cas de phising. Hem de posar-nos en el pitjor dels escenaris i cal que l’empresa compti amb un pla de continuïtat davant un atac per recuperar-se com més aviat millor”.

Preparar l’empresa per l’endemà
“Cal tenir un pla de contenció, estar preparats davant l’atac i disposar de còpies. També cal tenir la capacitat de conèixer l’impacte que pot arribar a tenir l’atac i assegurar-nos que després d’un ransomware no haurem de tancar l’empresa”, ha explicat Salvador. “Hem de tenir previstes les decisions crítiques que haurem de prendre per aixecar de l’empresa després d’un atac i la capacitat de crear una bombolla de protecció on poder continuar treballant”. L’expert ha recordat la importància de la comunicació: “en cas de ciberatac, cal notificar i fer la denúncia als Mossos, i també cal comunicar la situació a proveïdors i clients”.
Óscar Salvador ha tancat la seva intervenció incidint de nou en la necessitat de la consciència dels usuaris sobre la realitat dels atacs i com detectar-los.

Si dubtes, no facis clic
El cap de la Regió Policial Virtual del Cos de Mossos d’Esquadra, Sr. Roger Sales, per la seva banda, ha ofert la intervenció “Delictes per internet més comuns a les empreses i mesures de seguretat per a evitar-los”. 
Sales ha recordat que una de cada 10 empreses ha patit un atac. “Hi ha els atacs de baixa intensitat que ens arriben a través des d’un SMS o un correu electrònic. El primer consell és: en cas de dubte no feu clic”. I ha recordat que “el 90% dels atacs digitals tenen factor humà”(clicar, per exemple). Per això, coincidint amb l’anterior ponent, Sales ha dit a l’auditori: “formeu la vostra gent. El correu electrònic i les trucades són les principals vies d’entrada dels atacs”.

El cap de la Regió Policia Virtual ha repassat els actuals atacs més freqüents: ransomware ( encriptació de dades), spyware (programes); i tres tipus d’atacs molt habituals: el “phising” (a través de correus electrònics i  enllaços), el “smishing” (missatge de text  o aplicacions de missatgeria tipus SMS), i “vishing” (trucades i missatges de veu per obtenir informació crítica o sensible).

Aprendre a protegir-nos
Sales ha recordat que la primera clau de protecció és la bona gestió de les contrasenyes: “han de ser llargues i robustes, cal aplicar el doble factor de protecció, fer ús de clauers virtuals, i programar el canvi de contrasenyes cada tres mesos”. El cap ha fet referència també a diferents estafes virtual força habituals com són BEC i CEO. “Hem de crear hàbits de verificació, per exemple una trucada. Cal establir procediment de treball que de manera analògica – com una trucada –  ens facilitin un segon factor d’autenticació per protegir-nos d’aquestes pràctiques enganyoses”.

Pel que fa al ransomware, algunes mesures de prevenció són xifrar les dades crítiques de l’empresa, i “comptar amb còpies de seguretat prou aïllades”. Cal recordar que els atacs tipus ransomware tenen la finalitat de robar les dades i impedir així que l’empresa continuï amb l’activitat. Sales ha estat contundent “davant d’un atac d’aquest tipus, el nostre suggeriment és no pagar per recuperar les dades”.

Conscienciació i formació
La conscienciació i la formació en autoprotecció són també per al cap de la Regió de la Policia Virtual les millors eines per a la prevenció d’atacs. Altres consells que cal recordar: disposar de còpies de seguretat, mantenir  actualitzats  software i sistemes operatius, crear privilegis per restringir accés a informació i dades crítiques de l’empresa, i comptar amb un pla de contingència. Sales ha acabat la seva intervenció subratllant: “prevenció i formació són les millors eines per a  la ciberseguretat”. 

Phising i IA
El Sr. Víctor Villalobos, enginyer informàtic i analista de ciberseguretat en entorns industrials, bancaris i de producció, ha centrat la seva intervenció en la intel·ligència artificial (IA) i la ciberseguretat. Villalobos ha explicat el perfeccionament que ha permès la IA generativa (ChatGPT, xatbots) en la millora dels correus electrònics, SMS i trucades, canals d’entrada dels tipus d’atac més freqüents: phising, smishing i vishing.

Villalobos ha recordat que un 41% dels incidents de seguretat tenen com a inici un phising, i un 57% de les empreses a escala global pateixen atacs diaris o setmanals. “El phising comença amb un clic però té un efecte en cadena”,  recorda Villalobos. “Comprèn l’accés a recursos privats de la companyia, l’enviament de missatges maliciosos des d’un compte de correu corporatiu i filtracions d’informació, obtenció de credencials amb privilegis i pèrdua de reputació amb clients i proveïdors”. L’expert ha alertat que “la IA millora la qualitat dels missatges enganyosos. I com els anteriors ponents, també coincideix en el fet que la formació és clau en la ciberseguretat: “hem d’acostumar-nos a dubtar com a pràctica de seguretat”.

Descobrir el phising
L’analista de ciberseguretat ha facilitat claus per descobrir si un correu electrònic és maliciós. Són característiques del phising: “sensació d’urgència, adreça de correu que imita una legítima, encobriment d’enllaços i faltes d’ortografia. En casos més sofisticats, les pàgines poden, fins i tot, tenir inclosa una pantalla amb el login del 2FA  falsa”.

Per la seva banda, els SMS maliciosos solen utilitzar dos vectors d’atac. “O bé s’identifiquen com a membres tècnics de l’equip d’una aplicació, o bé responen a un frau bancari amb la finalitat d’obtenir dades dels usuaris”. I finalment, sobre el vishing, Villalobos ha alertat dels deepfakes, és a dir, la generació via IA de contingut audiovisual, utilitzant la imatge de persones, amb la finalitat enganyosa de semblar la persona real.

Amb tot, la IA també té efectes positius per a la ciberseguretat. Permet la detecció d’intrusions a través del Machine Learning, la prevenció d’atacs de phising utilitzant el processament de llenguatge natural, la detecció de patrons de comportaments anòmals i l’agilització de la resposta a les alertes o incidents de seguretat amb automatització de tasques.