¿Todavía cargas el móvil personal en el ordenador en la empresa?
Los expertos alertan de que puede suponer un riesgo de ciberataque para toda la compañía y piden más formación a la plantilla.
Muchos de los hábitos diarios pueden convertirse en una puerta abierta para los ciberdelincuentes. Algo tan aparentemente inofensivo como conectar el móvil para cargarlo en el ordenador del trabajo puede ser el inicio de un ataque informático que tenga consecuencias fatales para la compañía, desde reputacionales hasta sanciones. Nunca hay que cargar el móvil personal en el ordenador de la empresa, ha sido una de las recomendaciones que ha hecho este miércoles, en Zaragoza, Luis Hidalgo, desde el Instituto Nacional de Ciberseguridad (Incibe), dependiente del Ministerio de Economía. Ha explicado que el móvil personal puede tener menores barreras de seguridad que el de empresa contra los ciberataques. Los empleados tienen que estar formados. Desde el último becario hasta el director general, ha aconsejado a los asistentes a la jornada Ciberseguridad. Recreación de una crisis y análisis de los principales aspectos legales organizada por Cuatrecasas e Ibercaja en el Patio de la Infanta.
Ha advertido de que está habiendo ataques a diario y nadie se libra. Con ellos se daña la imagen de la compañía, se pueden perder clientes, disminuir oportunidades de negocio e incluso deteriorarse el clima laboral cuando se empiezan a buscar culpables. No hay que hacer nada en internet que no se haría en la vida real, ha pedido a la hora de tomar precauciones.
Ataques dirigidos
Los mayores riesgos suelen venir por la apertura de enlaces en correos, mensajería, redes sociales aunque sean contactos conocidos, ha alertado. Incibe cuenta en su página web con herramientas accesibles para las empresas para prevenir estas situaciones. Entre ellas un kit de concienciación que incluye cómo preparar un ataque dirigido. Entre las pruebas, que no suelen superar los empleados, se incluye la de dejar varios pendrive por la empresa para ver la reacción de quien los encuentra. Nunca hay que pinchar en un ordenador un pendrive que se haya encontrado por ahí, ha añadido. Los datos robados pueden terminar en manos de delincuentes que los venden al mejor postor. Durante la jornada se recordó el caso del robo masivo de datos de usuarios de Facebook.
Durante la jornada, Albert Agustinoy, abogado de Cuatrecasas ha simulado un ataque a una compañía tecnológica y las medidas a adoptar, en cuya toma de decisiones han participado los asistentes. Ha explicado que uno de cada 131.000 correos que recibimos contiene un virus.
Se ha recordado que los ciberdelincuentes están atentos a la actualidad y, por ejemplo, cuando empieza la campaña de la Renta empiezan a llegar correos con falsas devoluciones que solo tratan de obtener los datos que introducen por error los propios usuarios ('phising'), como ocurrió este año.
Agustinoy ha insistido en la necesidad de dar formación a toda la plantilla y de establecer medidas mínimas como controles de acceso, actualizaciones y copias de seguridad, cifrado de archivos y uso de contraseñas robustas. Además de contar con un protocolo de ciberseguridad. En los casos de secuestro de datos ('ransomware') ha explicado que pagar el rescate es colaboración con un delito. Normalmente se piden cantidades en criptomonedas. Existe obligación de comunicar la situación a la Agencia Española de Protección de Datos a las 72 horas de que se detecte la brecha de seguridad para evitar multas que pueden ser millonarias. Y ha recordado que existen seguros que cubren algunos de estos riesgos, a los que también se ha referido Carlos Falcón, director general de Ibercaja Mediación de Seguros.
Además de las multas, la compañía también puede afrontar reclamaciones de afectados como proveedores, clientes o empleados como está ocurriendo en el caso Facebook.
