Diseña un sitio como este con WordPress.com
Comenzar

Ciberseguridad en PYMEL, responsabilidad conjunta

Según los resultados de la Encuesta realizada por el INE en el 2022 sobre Equipamiento y Uso de Tecnologías de Información y Comunicación (TIC) en los Hogares, 16,3 millones de domicilios disponen de acceso a Internet (un 96,1% del total). Con esta cifra no es raro imaginar al 94,5% de la población de 16 a 74 años conectada por medio de sus dispositivos móviles, portátiles, ordenadores de sobremesa, consolas o tablets.

La transformación digital avanza a gran velocidad, nuestra manera de vivir y relacionarnos poco o nada tiene que ver con la de hace 20 años. Atrás quedaron las enciclopedias para buscar información, el dinero en mano para pagar, la imposibilidad de comprar sin ir físicamente a la tienda, las cabinas telefónicas, el teléfono fijo, las máquinas de juegos de los bares, las cartas y postales o las luces de los portales encendidas hasta la mañana. Cuesta imaginar ahora una vida sin Intertet, gps, sensores de proximidad, ayudantes virtuales, pago a través de móvil, compra on-line, bizum, gafas de realidad virtual, juegos 3D en línea, domótica o correo electrónico.

Dentro de las administraciones públicas la tecnología también ha transformado los medios y formas de trabajo. Las PYMEL (pequeñas y medianas entidades locales) han acogido todos estos cambios con ilusión ante las nuevas posibilidades de mejoras en los servicios que ofrecía, y con cierto temor inicial a la novedad y a lo desconocido. Este miedo y desconfianza que nos producían las nuevas herramientas ha ido diluyéndose en el tiempo, así ahora nos encontramos cómodos usando a diario procesadores de texto, bases de datos, correo electrónico, internet, pasarelas de pago y sedes electrónicas, obligándonos al uso contraseñas y/o certificados electrónicos para poder trabajar con seguridad.

La cotidianidad del empleo de la tecnología ha conseguido que nos relajemos y automaticemos acciones que ponen en riesgo la seguridad de los datos y de las organizaciones. Estos actos en los que no ponemos consciencia, como puede ser abrir cualquier correo electrónico que tengamos en la bandeja de entrada pendiente de lectura, son aprovechados por ciertas personas y organizaciones para atacar a nuestras instituciones buscando lucrarse con la información que puedan obtener.

En 2022 hemos sido testigos de diversos ciberataques, entre otros el llevado a cabo en marzo contra la web del Congreso de Diputados, en octubre el Consejo General del Poder Judicial y ese mismo mes tres hospitales catalanes también fueron asaltados. Las PYMEL no escapan de esta red de ataques, mayo fue un duro mes para la Comunidad Foral de Navarra con más de 137 ayuntamientos que vieron paralizados sus servicios electrónicos, ayuntamientos como el de Caldes de Montbui en Barcelona, Requena en Valencia, Sevilla y recientemente Durango en Bizkaia también han sido víctimas de estos delitos.

En qué consiste un ciberataque. Phishing y malware.

El instituto nacional de ciberseguridad, INCIBE, define el ciberataque como el intento deliberado de un ciberdelincuente de obtener acceso a un sistema informático sin autorización, sirviéndose de diferentes técnicas y vulnerabilidades para la realización de actividades con fines maliciosos, como el robo de información, extorsión del propietario o simplemente daños del sistema. Estas acciones pretenden provocar perjuicios económicos o reputacionales y casi siempre están orientadas a la obtención de fines económicos.

No todos los ciberataques son iguales, existen diversos tipos según la forma en la que se ejecutan, finalidad y objetivos. Podríamos decir que los dos más comunes son el phishing y el malware.

Phishing

Es básicamente una suplantación de identidad. Utilizando cualquier vía de comunicación como el correo electrónico o los SMS los ciberdelincuentes fingen ser una empresa o entidad pública y de esta forma tratan de engañar a la víctima y conseguir así información sensible como contraseñas, número de cuentas bancarias, información de la organización, datos de tarjetas de crédito, etc.

Malware

La palabra proveniente del inglés significa software malicioso (malicious software), se trata por lo tanto de una aplicación cuyo objetivo es entrar de manera oculta en un dispositivo para averiarlo o causarle un mal funcionamiento. Esta definición engloba a diversos programas maliciosos cuya característica común es provocar daños: virus, gusanos, troyanos, backdoors, ransomware, spyware, etc.

Las administraciones locales son especialmente vulnerables ante estos ataques por tratarse de instituciones más expuestas ya que generalmente cuentan con una defensa más débil, unas veces por desconocimiento y otras veces por restricciones presupuestarias que les impiden realizar las inversiones que necesitan en ciberseguridad.

Planteada la situación parece lógico que no podemos dejar la seguridad exclusivamente en manos de los antivirus y del buen hacer de nuestro servicio de informática. Como integrantes de PYMEL tenemos la responsabilidad de prevenir estos ataques en la medida que podamos, no siempre tenemos la suerte de contar con personal TIC cualificado en materia de seguridad, por lo tanto, cualquier acción individual que esté en nuestras manos realizar para contribuir a la seguridad beneficiará a toda la organización.

Qué puedo hacer: cuatro recomendaciones de seguridad

A continuación unas pequeñas pautas que podemos seguir para minimizar los riesgos de ciberataques:

  1. Contraseñas: Han de ser robustas, sin información personal, de 8 caracteres o más, que incluyan letras mayúsculas, minúsculas, números y caracteres especiales. Deben ser privadas, no las compartas ni las escribas. Recordar una contraseña segura no tiene porqué ser difícil, un par de trucos para construir una que puedas tener presente:
    • Escoge una palabra o nombre que no tenga que ver contigo, por ejemplo, Travolta. Escríbela al revés, empezando por la última letra (Atlovart), sustituye una vocal por tu número favorito (la «o» por el 43 se obtiene Atl43vart) y por último añade el carácter especial que quieras Atl43vart$.
    • Crea tu contraseña utilizando una frase que tenga sentido para ti, por ejemplo, de la frase «Mi perro Rocky tiene 2 años y medio» construimos la contraseña MpRt2aym%
  2. Navegación: Evita las web no seguras. Elimina periódicamente el historial de navegación, cookies y archivos temporales. Verifica en la barra de navegación que la web es correcta y no una replica creada para robar contraseñas, estas últimas presentan pequeñas variaciones en el texto de la dirección original. No uses la cuenta corporativa en servicios de Internet ajenos a tu organización ni reutilices la contraseña, mantén la privacidad.
  3. Correo electrónico: Verifica las direcciones, no sólo el nombre sino también la parte que aparece tras la @. Si el correo te genera desconfianza contacta con el remitente. Recela de correos que solicitan información inusual como datos personales o contraseñas y no hagas clic en los enlaces, verifica su ortografía y escríbela manualmente en la barra del navegador.
  4. Archivos externos: Antes de abrir uno, analiza con el antivirus cualquier archivo que provenga de dispositivos de almacenamiento externo (USB, disco duro externo, tarjeta de memoria…). No abras archivos adjuntos de correos electrónicos que te resulten sospechosos y ten cuidado con los ficheros descargados de internet.

Existen muchas otras medidas de seguridad de las que se encargan los servicios informáticos municipales o los responsables de seguridad, ahí no podemos entrar, ni ayudar. Pero sí que tenemos la capacidad de minimizar los riesgos en nuestro trabajo diario.

Si lo pensamos bien no es más que sentido común. No le facilites tu contraseña a un compañero ni la pegues con un postit en el monitor para tenerla a mano, no lo harías con el pin del teléfono o la clave de tu tarjeta de crédito. En la navegación evita los sitios no seguros igual que lo haces cuando conduces tu coche por una ciudad desconocida. No abras correos electrónicos, ni pinches en enlaces que te provocan desconfianza, procede con cautela como lo harías al abrir la puerta de tu casa ante desconocidos. En cuanto a los archivos externos actúa con prudencia, sobre todo si desconfías de su origen, igual que actuarías ante un paquete extraño que te encuentres en la calle.

«La conciencia del peligro es ya la mitad de la seguridad y de la salvación»

Ramón J. Sender

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Web construida con WordPress.com.

Subir ↑

A %d blogueros les gusta esto: