La prevención es la mejor arma para hacer frente a los inevitables ciberataques, que antes o después acabarán llamando a la puerta de empresas, Administraciones Públicas y hogares. Así lo han recalcado este jueves los ponentes del III Foro & Developers Challenge Navarra de Seguridad Digital celebrado en Baluarte, que han dado varias pautas para ponerle las cosas más difíciles a los ciberdelincuentes.

Por ejemplo, Microsoft dejó de lanzar actualizaciones de seguridad para sus sistemas operativos Windows 7 y 8, por lo que aquellas personas con computadoras que los sigan empleando están expuestos a toda una gama de exploits y vulnerabilidades que conocen al dedillo los cacos informáticos. El uso de contraseñas simples es otro de los males más comunes en empresas y hogares, donde una de las claves más comunes es usar 123456 o fechas de cumpleaños. También hay que mantener al día las actualizaciones de firmware que los fabricantes lanzan periódicamente para sus dispositivos electrónicos como televisiones inteligentes, teléfonos, ordenadores, tabletas, aspiradoras o cualquier otro tipo de sistema cibernético. Los expertos desaconsejan totalmente adquirir productos domóticos baratos, como bombillas inteligentes, en portales como Aliexpress por ser una fuente de graves agujeros de seguridad.

Te puede interesar

El 80% de los ciberataques a empresas y hogares se podrían evitar con medidas sencillas

Ir a la noticia

En cualquier caso, siempre hay que tirar de sentido común y pecar de prudencia a la menor duda. Si pese a todo el ataque termina colándose, no hay que perder la calma, según ha recomendado Teo Murguía, fundador y gerente de proyectos de Discom. Lo primero es desconectar totalmente la red local e internet para evitar que el problema se propague a otros dispositivos. En el caso de las empresas, es mejor dejar en funcionamiento los servidores, eso sí, sin ningún tipo de conexión a la red local o internet. Si se tienen recursos, se puede clonar la infraestructura y reponer la información con copias de seguridad. Luego hay que contactar con el Instituto Nacional de Ciberseguridad (teléfono 017) para recibir instrucciones sobre el proceso de desinfección de ordenadores y dispositivos.

Una importante empresa navarra con amplia experiencia en ciberseguridad estuvo a punto de ser víctima de una burda estafa por phising a través del correo electrónico, según ha relatado uno de los ponentes que asistieron ayer al III Foro & Developers Challenge Navarra de Seguridad Digital. La máxima responsable de la empresa era la supuesta autora de un mensaje dirigido al departamento de personal para pedir que se cambiara la cuenta corriente en la que se ingresaba su nómina pocos días antes del pago.

La evidentemente mala gramática no llamó la atención del empleado que gestionó la petición, como tampoco lo hizo que el nuevo número para domiciliar la nómina fuera de un banco irlandés. Cuando todo se había hecho conforme al mensaje, se puso en copia la verdadera dirección de correo de la directora de la empresa, que alarmada por el contenido llamó inmediatamente para alertar de la suplantación de su identidad. Este tipo de estafa es muy común y explota el sentido de obediencia de los empleados ante la petición de un CEO que siempre es “urgente, discreta y anónima”, según ha advertido José Antonio Cruceira, experto en ciberdelincuencia de la Guardia Civil.

Los directivos de un gran banco electrónico no daban crédito a lo que les estaba sucediendo cuando se percataron de que habían perdido totalmente el control de su plataforma en internet. Lo ha relatado este jueves Igor Unanue, responsable tecnológico de la consultoría de seguridad de redes y sistemas informáticos S21sec, durante su intervención en el III Foro & Developers Challenge Navarra de Seguridad Digital. La entidad financiera les había contratado para poner a prueba la fiabilidad de sus servicios online y los técnicos de S21sec no fueron capaces de encontrar ninguna brecha por la que penetrar.

Sin embargo, en un alarde de ingenio, identificaron al máximo responsable de sistemas del banco a través de la web corporativa y lograron una foto suya ganándose su confianza durante una feria a la que asistió, así como algunos datos personales. Con todo ello falsificaron su DNI y dirigieron una petición en su nombre al proveedor de internet de la entidad financiera para cambiara las IP de los servidores a los que apuntaba la dirección web. José Antonio Cruceira, experto en ciberdelincuencia de la Guardia Civil, ha advertido del riesgo de compartir información sensible en las ferias empresariales con personas que se hacen pasar por potenciales clientes o proveedores.