Madrid, 11 de octubre de 2017- Los ataques informáticos y los fraudes económicos a través de las nuevas tecnologías son cada vez más numerosos y sofisticados. Se calcula que el impacto de la ciberdelincuencia alcanza ya, a nivel mundial, el billón de euros anual. El factor humano no capacitado es el eslabón más débil en un programa de seguridad. Por eso, en Grupo Codere nos armamos de manera conjunta contra este riesgo mediante un curso de formación y concienciación en ciberseguridad que comienza este mes de octubre y se prolongará durante el próximo año y medio.
¿Por qué necesitamos formación en ciberseguridad?
La multiplicación de ciberataques y delitos a través de internet deja patente la vulnerabilidad de las empresas, que tienen cada vez una mayor probabilidad de sufrir un ciberasalto. Algunos de los casos con mayor repercusión mediática han sido Wannacry -que tuvo una enorme expansión, al ser global y masivo- o el más reciente a Equifax (firma estadounidense de información sobre solvencia crediticia), víctima de un ataque dirigido tras el que admitió que un acceso ilegal a sus bases de datos pudo haber expuesto la información de unos 143 millones de personas.
En ambos casos, las consecuencias para las compañías han sido de alta gravedad, no sólo en términos económicos, sino de deterioro de su imagen y menoscabo de la confianza del público. También en ambos casos los empleados no conscientes de los posibles peligros han tenido un papel destacado en el suceso. Basta con que uno abra un correo infectado, pinche un enlace contaminado, o navegue por páginas de mala reputación que inoculen el virus en su ordenador, para que la seguridad de la empresa y de los datos que custodia se vean perjudicados.
La estrategia más efectiva es, claramente, anticiparse con planes de formación que nos permitan conocer y concienciarnos sobre los puntos clave de seguridad, e implantar así las medidas oportunas para la adecuada protección de la información a la hora de desempeñar nuestra actividad. Con este objetivo, gracias al esfuerzo de los departamentos corporativos de Seguridad de IT y de Recursos Humanos, Codere ha puesto en marcha una plataforma online de formación dirigida a todos los empleados, que cubre los principales aspectos relacionados con la seguridad y confidencialidad de los datos.
“Llevamos tiempo detectando una necesidad en temas de seguridad informática. Creo que todo el mundo en nuestra organización comparte la creencia de que ahora, más que nunca, esta formación es necesaria. Por eso, a partir de este mes vamos a hacer llegar esta información a todas nuestras unidades de negocio gracias a la nueva plataforma”, explica Joaquín Guijarro, director corporativo de Formación, Selección y Desarrollo.
Por su parte, José Luis González, director de Seguridad de IT e impulsor también del proyecto, explica que “dentro del Plan de seguridad que estamos desarrollando, que contempla la implantación de nuevas herramientas que nos den más capacidad de visibilidad y monitorización -las cuales redundarán en mayores capacidades de anticipación de incidentes-, ponemos en marcha este curso de concienciación, destinado a mejorar la seguridad de la Compañía y a protegernos también personalmente en la sociedad digital en la que vivimos”.
¿En qué consiste este curso?
El curso consta de dos itinerarios distintos, que se ofertarán en función del perfil del colaborador -en base a su responsabilidad y al uso que haga de las nuevas tecnologías e internet en su desempeño diario-. La propia plataforma nos asignará el plan adecuado cuando ingresemos en ella nuestro usuario y contraseña.
Cada uno de los recorridos está formado por catorce módulos, que se realizarán con periodicidad mensual, durante los próximos catorce meses. Cada empleado recibirá un correo electrónico con la invitación a realizar la formación correspondiente al mes y, adicionalmente, la plataforma le ofrecerá otros módulos complementarios, para los que deseen ampliar sus conocimientos en este campo. Los módulos se cursan en aproximadamente diez minutos e incluyen ejemplos, posibles situaciones, pruebas y mini-juegos. En caso de tener que abandonar un módulo antes de su finalización, al regresar al portal nos reincorporaremos donde lo habíamos dejado y podremos proseguir desde ese punto.
Mediante estos módulos aprenderemos conceptos sobre seguridad en el correo electrónico, protección de información confidencial, uso de USB, navegación segura, phishing, redes sociales, etc…
¿Qué modalidades de delitos generan a día de hoy más perjuicio?
Actualmente hay tres modalidades de delitos especialmente dañinos para la sociedad. En primer lugar, se encuentra el ransomware o criptoware. “Se trata de un ataque indiscriminado. En el caso de que el afectado sea un ciudadano cualquiera, el rescate puede situarse entre los 100 y los 600 euros, mientras que si el delincuente detecta que se trata de una empresa, se solicita un rescate mucho más alto. El pago ahora se suele realizar a través de la moneda virtual bitcoin”, explica Jose Luis González.
El segundo tipo es el llamado fraude del CEO de empresa, un delito específicamente dirigido a compañías. “Se puede realizar por dos vías. Por un lado el atacante accede al correo del directivo a través del phishing (método que los ciberdelincuentes utilizan para engañar al navegante y conseguir que revele información personal, como contraseñas, datos de tarjetas de crédito y de la seguridad social o números de cuentas bancarias). Una vez dentro, busca acuerdos comerciales con otros proveedores para que en un momento de la transacción se solicite el pago en otra cuenta que es la del propio delincuente.
La otra modalidad es un trabajo de investigación a través de las fuentes abiertas (LinkedIn, Facebook, Twitter, Instagram, etc…), mandando un correo en un momento determinado para suplantar la identidad del departamento de compras. El dinero que se puede conseguir depende mucho de las operaciones en curso de la compañía. Nosotros en Codere hemos tenido varios ataques de este tipo. Uno de ellos en Casino Carrasco, donde suplantaron la personalidad de nuestro presidente, José Antonio Martínez, a través de un correo manipulado, mediante el que le pedían al director financiero que hiciera un pago a una cuenta, añadiendo que era una operación estratégica y que por tanto debía ser confidencial. Afortunadamente, la persona que recibió el correo sospechó y el ataque no logró su objetivo”, reconoce José Luis.
El tercero es malware bancario (software que se instala para robar datos financieros o de tarjetas para realizar operaciones) y tiene como objetivo tanto entidades financieras como usuarios.
“En todos los casos se trata de una guerra asimétrica, en la que una sola persona puede hacer daño a muchas. Un hacker puede fallar el 99% de las ocasiones, pero con acertar el 1% restante, ya ha ganado. Las ventajas están siempre del lado del atacante, porque atacar es más fácil que defenderse. El esfuerzo del atacante –anónimo, sigiloso, que elige su momento- es inferior al que hay que realizar para protegerse. Es por eso que la carrera entre las técnicas de los cibercriminales y las defensas, no tiene fin. Es la vieja dicotomía entre la flecha y el escudo; cuanto más fuerte es la defensa que se desarrolle, más poderosa será el arma que la vulnere”, concluye José Luis González.
