En una vida cotidiana ampliamente marcada por la tecnología en la «Era Digital» es importante poner sobre la mesa un tema indispensable en este entorno: la ciberseguridad. Según datos de Microsoft, solo en este 2022, los ataques de «password spray» se han incrementado en un 230 %. Además, en 2021, el gigante de la tecnología ha desmantelado hasta 160,000 dedicados a «phishing» (ataque de suplantación de identidad digital) en todo el mundo, evidenciando los riesgos digitales que existen actualmente.
De igual forma, los ataques de «ransomware» han aumentado en un 1,070 % entre julio de 2020 y junio de 2021, incrementando también los costos de este tipo de vulneraciones, los cuales ascendieron a cerca de $20,000 millones en daños en todo el mundo solo en 2021. En un 48 % de estos ataques, las empresas afectadas estuvieron fuera de servicio durante un prolongado período de tiempo.
En ese sentido, Microsoft ha comenzado a encaminar sus acciones y las de sus usuarios en una idea de «Confianza Cero», asegurando que, según lo reflejado por los datos, todos, usuarios y empresas de todo tipo, estamos expuestos a un ciberataque, por lo que es importante aumentar nuestros estándares de ciberseguridad, tanto a nivel personal, como comercial. Sobre ello, Diario El Salvador conversó con Jaime Menéndez, Gerente de Microsoft El Salvador.
¿Qué podemos entender por ciberseguridad?
Más allá de los términos técnicos, creo que es importante entenderlo en términos sencillos, porque se ha convertido en un tema que nos afecta más directamente a todos. Ciberseguridad no es otra cosa más que proteger nuestros activos digitales, igual que con la protección de nuestros activos físicos o así como protegemos algunos activos como bienes. La ciberseguridad es proteger nuestros activos digitales.
Cuando hablamos de protección es porque existen amenazas o riesgos. En el caso del ecosistema digital, ¿qué amenazas puede enfrentar una empresa o un usuario?
Hay varios tipos, pero quiero hacer mucho énfasis en los que estamos viendo con más frecuencias, porque creemos que son los que se están volviendo más comunes, no son los únicos, pero son contra los que hay que estar todos preparados: empresas de todo tamaño, organizaciones de todo tamaño e, incluso, a nivel personal. Muchos de estos tienen que ver con la vulneración de la identidad, la cual puede ser de diversos tipos como la suplantación de identidad, que es uno de los que estamos viendo de manera muy común.
Este tipo de ataques, después, puede dar paso a otros más sofisticados. Por ejemplo, otro que vemos común son los ataques de ransomware, donde se secuestra la información de las organizaciones o las personas, pero antes de llegar a ese nivel tuvo que haberse vulnerado la puerta de entrada, es decir, tuvo que haberse vulnerado la identidad.
En este año, en 2022, se han incrementado a nivel global en un 230 % los ataques de «password spray», que es un tipo de ataque en el cual, por medio de fuerza bruta, se trata de vulnerar más de una cuenta a la vez y de manera constante. Esto te da una idea del incremento. A raíz de la pandemia ya veníamos viendo también un incremento en los ataques de «phishing», que es la suplantación de identidad. Solo en 2021 desmantelamos, como Microsoft, más de 160,000 sitios de phishing, sitios falsos que estaban dedicados a engañar a las personas para que brindarán sus correos y contraseñas.
Los ataques más frecuentes que estamos viendo son precisamente los diseñados para suplantar la identidad de las personas y acceder a sus activos digitales.
Cuando hablamos de ciberseguridad, muchas veces, pensamos que es algo estrictamente para grandes empresas. Pero, ¿también debe ser un aspecto importante para las micro, pequeñas y medianas empresas y a nivel personal?
Claro. Siempre digo que, a veces, imaginamos el tema de ciberseguridad como sale en las películas, con el hacker con aquella interfaz irreal tratando de vulnerar al gobierno o a la gran empresa. Pero no es así. Es un tema que nos afecta a todos, tanto a empresas u organizaciones independientemente del tamaño, como a nivel personal. Hemos visto que, a raíz de la pandemia, han aumentado los ataques a empresas de cualquier tipo, incluyendo las pequeñas y medianas, por lo que hay que tener una estrategia de protección.
La ventaja es que, ahora, con el servicio de la nube, el cual ha venido a democratizar el acceso a la tecnología, es posible contar con herramientas que no son complejas. Pero, más allá de las herramientas, es importante tener un cambio de mentalidad. Para ciberseguridad debemos tener una estrategia de «Confianza Cero», es decir, no confiar. Esto es nunca confiar, siempre verificar.
En ese contexto de potenciales amenazas, ¿qué medidas pueden tomar las pequeñas o medianas empresas para elevar los estándares de ciberseguridad?
Esto se enmarca siempre dentro de la Confianza Cero. Esto aplica, independientemente, de cualquier tipo de empresa. Confianza Cero implica verificar de forma explícita, es decir, tener certeza de quién ingresa a nuestros activos digitales, usar acceso con menos privilegios posibles y asumir la vulneración, es decir, tenemos que estar claros de que puede pasar.
Dentro de esta idea de Confianza Cero es importante algo básico: fortalecer las credenciales, proteger la identidad. Con esto, depender de un solo usuario y contraseña no es suficiente. Esto también incluye el uso a nivel personal, como redes sociales. SI alguien tiene un servicio o utilizar alguna tecnología o algún software e ingresa solo con usuario y contraseña eso es peligroso, tiene que proteger la identidad.
Para esto es importante utilizar autenticación, es decir, no depender solo del password, sino de otros factores como un mensaje de texto, una llamada telefónica, una app con la que pueda confirmar que estoy ingresando. Este es un elemento esencial. Solo esto reduce el 99 % de los ataques de phishing.
Luego, es importante reducir la superficie de ataque. La pandemia provocó la aceleración de la adopción digital, lo que incrementó la superficie de ataques digitales. Es importante mantenernos vigentes y no depende de tecnología anterior que ya esté desfazada. Debemos tener actualizado nuestro software, tanto a nivel personal como a uso corporativo. También hay que deshabilitar protocolos antiguos y menos seguros. Hay que reducir este tipo de superficies.
Hay otros consejos que van más para empresas con más infraestructura tecnológica, como la respuesta automatizada a los ataques, no todo tiene que ser manual, sino que la tecnología nos permite dar respuestas automatizadas. También están los servicios de la nube. Finalmente, se debe empoderar a los colaboradores a cambiar las formas de actuar en cuanto a credenciales. Por ejemplo, hay que implementar estrategias de restauración de contraseñas.
Habría que entender el ciberataque como una potencial situación que podemos enfrentar todos.
Exacto. En este tema hay que partir de algo: un ciberataque puede pasar en cualquier momento. Incluso, en este contexto, es importante mencionar algo: con la adopción del bitcoin, el nombre de «El Salvador» suena en muchos entornos digitales, así que hay que descartar la idea de que no estamos en el radar de los ciberatacantes. Por eso debemos apalancarnos a los servicios de la nube, porque nos permite acceder a los servicios de cada empresa de manera más práctica y segura. Luego, debemos comenzar dando pasos importantes. El primero es proteger la identidad, hay que asegurar que las credenciales están seguras y no hay que depender de un usuario y contraseña. Hay que moverse a autenticación multifactor. Estos son los primeros pasos. La protección de la identidad es el primer paso y el más importante, luego viene la protección de los dispositivos.
En este contexto, ¿cuál es la oferta de Microsoft en materia de ciberseguridad?
Nosotros creemos mucho en el papel de la tecnología para la ciberseguridad. A veces se piensa que para una estrategia se debe invertir en alta tecnología. Sin embargo, muchas empresas y organizaciones ya tienen la tecnología para protegerse y solo falta implementar la estrategia. Por ejemplo, la suite de Microsoft Business 365. Muchos clientes ya la tienen porque está en la versión más reciente de Microsoft Office. Ahí hay tecnología para habilitar autenticación multifactor, para habilitar tecnología antispam, para prevenir ataques de phishing, para habilitación de dispositivos, para protección de información. Ahí está. Muchas veces no se necesita una inversión adicional.
Como Microsoft también acercamos la tecnología a nuestros clientes y ampliar su conocimiento, compartimos conocimiento, permitimos la formación en este tipo de habilidades, que no siempre son de carácter técnico, sino de un modo que todos puedan implementar estas estrategias. Además, Microsoft colabora con las autoridades para la desmantelación de sitios de phishing y otras amenazas.
Tenemos actividades de capacitación propias de Microsoft, las cuales pueden consultarse en nuestra página web, y también tenemos actividades con nuestros aliados para continuar evangelizando en este tipo de temas. Además, en materia gubernamental, trabajamos con la Secretaría de Innovación, el Ministerio de Economía, la Superintendencia del Sistema Financiero en cuanto a la divulgación de este conocimiento.