¿ Quién nos va a querer atacar?

Según un estudio encargado por Google el año 2019, el 99,8% del tejido empresarial español no se considera un objetivo atractivo para un ciberataque.
Esto significa que la mayoría de Pymes tienen la percepción de que la ciberseguridad es una cosa de las películas, de las grandes empresas, bancos y gobiernos, y consideran que eso no les puede pasar a ellos. Total, ¿cómo va a querer alguien atacar a mi empresa?

La respuesta a esta pregunta posiblemente sorprenda a más de uno. Efectivamente lo más probable es que no haya ningún ciberdelincuente que vaya a realizar un ataque externo de manera intencionada contra nuestra empresa u organización. (-Ya lo decía yo, que no necesitaba nada de ciberseguridad.)

Aunque lo que seguramente le sorprenda más, es que más del 80% de los ataques tienen como origen un empleado de la propia empresa, ya sea de manera accidental e involuntaria, o bien de manera intencionada por parte de empleados descontentos o ambiciosos.

De hecho, casi todos los ciberataques aprovechan en las primeras fases del ataque el factor humano para recoger información sobre el objetivo, robar credenciales o instalar algún tipo de malware.

Más del 80% de los ataques tienen como origen un
empleado de la propia empresa

Vectores de Ataque a Sistemas de Control Industrial

Los ciber ataques a los Sistemas de control Industrial (ICS) se pueden dividir en cuatro categorías, en función de su procedencia:

Ataque Externo Accidental

La amenaza se propaga a la red de control a través de la red corporativa desde fuera de planta. Generalmente a través de un adjunto dentro de correo electrónico, phishing o visitando una web con contenido malicioso. Se debe a un error accidental del personal de la propia empresa.

Ataque Interno Accidental

La amenaza accede a través de un dispositivo conectado a la red de control. Como por ejemplo al insertar un lápiz de memoria USB, o al conectar un PC a la red durante una operación de mantenimiento. Se debe a un error accidental del personal de la propia empresa o de una empresa externa de mantenimiento.

Ataque Premeditado Externo

La amenaza es introducida a la red de control intencionadamente desde la red empresarial o Internet. Se trata de un ataque dirigido específicamente a la organización, utilizando más recursos y unas técnicas mucho más elaboradas que en los dos casos anteriores, como la ingeniería social, técnicas OSINT, phishing personalizado, etc. Como en los casos anteriores, en la mayoría de casos, el ataque se inicia por un error accidental por parte del personal de la propia empresa o explotando una vulnerabilidad en nuestros sistemas IT/OT.

Ataque Premeditado Interno

La amenaza es introducida manualmente en la red de control por alguien desde dentro de la propia planta. Su origen puede ser un trabajador descontento con la empresa, un ex-trabajador o ex-colaborador en búsqueda de venganza, o un trabajador ambicioso que colabora con la competencia o una organización criminal.

¿ Qué podemos hacer para protegernos?

Poner remedio a esta situación es responsabilidad del consejo de administración y de la dirección de las organizaciones, no se trata de delegar la responsabilidad al departamento de IT de la organización, al informático de turno o al cuñado del jefe que sabe algo de ordenadores y una vez montó una tienda online.

No consiste en instalar los mejores firewalls, sistemas de detección de intrusiones, sistemas de gestión de usuarios o encriptar todos los sistemas y las comunicaciones.
Sino que empieza en definir la política de ciberseguridad de la organización, de manera que se integre la cultura de la ciberseguridad en el ADN de la organización, de modo que todos los procesos de la empresa tengan en cuenta la ciberseguridad y la seguridad de la información, así como informar a todo el personal de la organización, desde el becario hasta el director general, pasando por trabajadores temporales o personal externo de mantenimiento, de la política de ciberseguridad, la idea es que todos los usuarios sepan lo que pueden y no
pueden hacer, cómo lo deben hacer, qué puede pasar si no lo hacen, cómo actuar en caso de un incidente, etc.

Dado que más del 80% de los incidentes tiene un origen interno a la organización, es esencial que todo el personal reciba formación continuada sobre ciberseguridad. No se trata de hacerlos expertos en ciberseguridad, sino
en concienciarlos de los peligros de Internet, que conozcan los tipos de ataques que pueden sufrir, a reconocerlos, a evitarlos y en caso de sufrir un incidente saber cómo actuar para minimizar las consecuencias del ataque.

Formación y Concienciación en Ciberserguridad

Dado que más del 80% de los incidentes tiene un origen interno a la organización, es esencial que todo el personal reciba formación continuada sobre ciberseguridad.

No se trata de hacerlos expertos en ciberseguridad, sino en concienciarlos de los peligros de Internet, que conozcan los tipos de ataques que pueden sufrir, a reconocerlos, a evitarlos y en caso de sufrir un incidente saber cómo actuar para minimizar las consecuencias del ataque.

La seguridad no depende únicamente de la tecnología, la formación del
personal en Ciberseguridad es clave para prevenir incidentes.