Innovar en ciberseguridad desde las personas IV: Un ejemplo práctico
Autor: Marcelo Ruano
RESUMEN
En anteriores artículos se realizó una introducción a la criminología, la prevención primaria desde la perspectiva de esta ciencia y las aportaciones que puede realizar en materia de ciberseguridad.
En el presente texto se estudiará un caso práctico de una sencilla aplicación de la prevención primaria criminológica basándonos en la premisa “Conoce a tu organización antes que tu adversario”. Para ello, se analizará la situación de una empresa ficticia de tamaño medio cuya actividad no guarda relación con el ámbito tecnológico. Se trata por tanto de un breve ejercicio teórico-práctico que resulte verosímil donde nos centraremos en las actuaciones que puede realizar un profesional de la criminología en materia de prevención primaria. Especialmente, en materia de prevención de ataques o incidentes que emplean la ingeniería social y que puedan suponer un riesgo para el correcto funcionamiento de la empresa.
Keywords: Ciberseguridad, prevención, criminología
Un ejemplo de aplicación de la prevención primaria en una empresa ficticia
Como se ha mencionado en anteriores artículos, un profesional de la criminología con la debida formación puede complementar con sus conocimientos a los profesionales de la ciberseguridad en materia preventiva. Concretamente, en lo relacionado con la prevención primaria, antes de que ocurra un incidente, y en materia de prevención terciaria una vez que el incidente ha sucedido.
Para dotar de contexto nuestro ejemplo se utilizará la técnica del story telling y se describirá la situación de una empresa ficticia analizándola a tres niveles: macro, meso y micro.
Caso de ejemplo: Frutitas y Verduritas Ricas SL
Descripción de la empresa
La empresa familiar Frutitas y Verduritas Ricas SL fundada en 1983 se ubica en una ciudad de tamaño medio del levante español y se dedica a la exportación de frutas y verduras a Francia, Portugal e Italia. Consta de 150 trabajadores, de los cuales 30 trabajan en las oficinas. La edad media de los trabajadores en la planta de producción es de 52 años, mientras que la edad media del personal de oficina de 48 años.
El personal de oficina está compuesto por varios departamentos: Ventas, tesorería, administración, producción, prevención de riesgos laborales, recursos humanos etc. El personal técnico informático del que dispone la empresa consiste en un administrador de sistemas a tiempo completo y otro a tiempo parcial. Las habilidades digitales genéricas de los trabajadores de oficina son de nivel medio-bajo, aunque conocen a la perfección el software que emplean diariamente.
Análisis a nivel macro: Visión panorámica de España
El tejido productivo español se sustenta principalmente en pequeñas y medianas empresas. Este tipo de empresas debido a la falta de recursos humanos y técnicos suelen estar menos digitalizadas que las empresas de mayor tamaño. Tradicionalmente la economía española se caracteriza por la importancia del sector servicios, el turismo, la industria y el sector primario. Existe un creciente sector de empresas de base tecnológica aunque no es mayoritario y no podría considerarse representativo de la “empresa media” en nuestro país. España es un país de los más longevos del mundo y con una tasa de natalidad muy baja por lo que la población activa está envejeciendo progresivamente.
En materia de ciberseguridad, España es uno de los países que mayor cantidad de ciberataques recibe y las pequeñas y medianas empresas son un objetivo apetecible . En términos generales, nuestro país tiene buena consideración respecto a sus capacidades en ciberseguridad, aunque existe amplio margen de mejora en algunos sectores económicos y en la formación de sus ciudadanos.
La empresa objeto ficticia de nuestro ejemplo es una mediana empresa española y al ubicarse en este país tiene elementos comunes con el resto de organizaciones.
Análisis a nivel meso: Relación de la empresa con su entorno y la competencia
El departamento comercial de la empresa publica frecuentemente en sus redes sociales información del día a día de la empresa. En ocasiones, publican en redes sociales cuando adquieren nueva maquinaria o reciben una visita de proveedores de confianza. El proceso productivo de la empresa es muy innovador y ha recibido en varias ocasiones premios nacionales y europeos por el gran trabajo desempeñado que han aparecido en la prensa. Como se trata de una compañía de referencia acuden anualmente a diferentes ferias nacionales e internacionales donde interactúan presencialmente con proveedores y potenciales clientes de todo el mundo.
Aunque no son muy conscientes de ello, sus buenos resultados les colocan como una empresa de referencia en su sector más allá de nuestras fronteras. Muchas empresas de menor y mayor tamaño siguen sus movimientos con gran interés. Su facturación anual, de varios millones de euros,y sus buenos resultados, que aparecen periódicamente la prensa, les convierte en un objetivo atractivo para cibercriminales. El hecho de que exporten y compitan en el ámbito europeo también aumenta su grado de exposición ya que se trata de un sector con mucha competencia y con muchos intereses económicos de por medio.
En los últimos años han irrumpido nuevas empresas con mayor grado de digitalización que utilizan los medios disponibles a nivel comercial para hacer vigilancia tecnológica y competitiva a las empresas rivales. Esto incluye a la empresa de nuestro ejemplo.
Análisis a nivel micro: Formación y ciberseguridad en la empresa
El personal informático dispone de amplios conocimientos en ciberseguridad. No obstante, en su día han de hacer frente a la resolución de problemas menores que les restan mucho tiempo. Anualmente reciben formación en ciberseguridad y disponen de varias certificaciones de referencia. Consideran las medidas de ciberseguridad disponibles como adecuadas aunque bastante mejorables.
La dirección de la empresa es consciente, a grandes rasgos, de la importancia de la ciberseguridad, aunque la mayoría de directivos no poseen muchos conocimientos en la materia. Debido a ello, consideran las medidas de ciberseguridad un gasto necesario pero con escaso retorno económico. Esto afecta a la cantidad de dinero que invierte la empresa en este ámbito ya que el departamento de informática tiene un presupuesto bastante ajustado. En ocasiones sus demandas, que redundarían en beneficio para la empresa, caen en saco roto al ser consideradas “demasiado caras”.
Todo el personal de oficinas recibe formación en ciberseguridad mediante un webminar cada dos años aproximadamente. En estos talleres les explican a nivel teórico los ciberataques más comunes y las medidas básicas de autoprotección.
Los trabajadores, que se conocen desde hace muchos años, están muy centrados en sus tareas diarias y no son muy conscientes del nivel de ciberriesgo que existe en la empresa para la que trabajan. Además, debido a su confianza suelen dejar sus ordenadores encendidos cuando salen a tomar un café y las contraseñas que emplean suelen ser bastante sencillas y conocidas por todos.
Existe además un trabajador en concreto llamado Menganito que por malas prácticas ha generado problemas. Este trabajador ha sufrido dos estafas de tipo phishing que han costado 5000€ a la empresa. Además debido a la descarga inintencionada de un programa no autorizado en una web no segura fue el vector de entrada de un ransomware que sufrió la organización.
Medidas sencillas de prevención primaria previas a la Cyber Kill Chain
En el anterior artículo se hizo mención a la Cyber Kill Chain propuesta por la empresa Lockheed Martin que identifica los 7 eslabones que componen un ciberataque(Lockheed Martin 2016). De acuerdo con este modelo los defensores disponen de 7 oportunidades para detener el ataque. No obstante, de manera complementaria se pueden implementar medidas preventivas mucho antes de que de inicio esta cadena de la muerte. La idea se basa en el autoconocimiento “Conocer tu organización antes de que tu adversario lo haga”. De esta forma las organizaciones podrán estar mejor preparadas antes de que el ataque suceda.
Se ha de tener en cuenta que además de los ciberataques más complejos, para los que esta empresa quizás deba delegar las contramedidas a empresas especializadas, existe una gran cantidad de información en internet que puede parecer inocua por si sola pero que analizada conjuntamente permite obtener información (en ocasiones suficiente) para llevar a cabo ataques por ingeniería social.
Primera medida: Egosurfing corporativo, huella digital o “buscar tu empresa en Google”
La primera medida preventiva consiste en conocer el nivel de exposición de la información de la empresa en internet. Concretamente en los principales buscadores para que la dirección de la empresa pueda conocer la información de la organización que está disponible en internet para el público en general. Esta sencilla medida debería además complementarse con el análisis de la información disponible en la dark web.
Formas sencillas de obtener información sobre una empresa en los principales buscadores para realizar un análisis de su huella digital
- Búsqueda por palabras clave y Google Hacking.
- Prensa online: Especialmente la prensa local. Sirve de hemeroteca y en ocasiones permite establecer una cronología sobre los principales hechos relacionados con la empresa de los últimos años.
- Imágenes de Google: Útil para el análisis de imágenes y debido a que en ocasiones la web donde aparecen publicadas abre nuevas líneas de investigación.
- Google Maps, Street View y Earth. Permite ubicar a la empresa en el espacio y calcular la distancia entre la sede de la empresa e instituciones de interés (como la comisaría de policía más cercana). Además, permite en algunos casos complementar información histórica de la empresa procedente de registros públicos con información visual (como por ejemplo la venta de un inmueble debido a una mala situación económica).
- Publicaciones en la web corporativa y las redes sociales: Las publicaciones en las redes sociales corporativas en ocasiones hacen pública más información de la necesaria que puede ser utilizada en su contra.
- Registros públicos.
- Información almacenada en el caché o en webs que almacenan información antigua que se ha “eliminado”: Un ejemplo podría ser, la antigua web de la empresa. También información publicada antes del RGPD que haya podido ser almacenada en este tipo de páginas web.
- Alertas de Google y software de monitorización de redes sociales: Para hacer un seguimiento del nombre de la empresa y comprobar si se está publicando información que pueda suponer algún riesgo para la (ciber)seguridad de la empresa.
- Otras opciones: dependiendo de la complejidad del análisis solicitado.
A pesar de su aparente sencillez de esta primera medida preventiva puede resultar útil y sencilla. Actualmente existe una gran acumulación de información disponible en internet. Manualmente, mediante búsqueda por palabras clave o utilizando herramientas automáticas disponibles a nivel comercial una persona con unos conocimientos nivel usuario puede hacerse una idea bastante aproximada de una empresa que tenga cierta presencia en internet.
Formato adecuado para difundir los resultados de una búsqueda sencilla de la huella digital corporativa
Una presentación que incluya un mapa mental que represente visualmente la información encontrada relacionada con la empresa clasificada por temática. Junto a la representación visual es recomendable remitir un informe o infografía destacando la información encontrada más relevante así como medidas correctoras.
Segunda medida: Establecer niveles de ciberriesgo específicos de las personas
Continuando con la empresa de nuestro ejemplo se podrían establecer diferentes tipologías de riesgo: propios del rol, debido a la interacción y propios de la persona. El nivel de riesgo se podría clasificar en bajo,medio y alto. Se ha de tener en cuenta que los niveles de riesgo siempre son dinámicos y habrían de irse actualizando cuando la situación lo requiera.
- Riesgos propios del rol: Debido al puesto de responsabilidad que ocupan este tipo de profesionales se ha de analizar específicamente el nivel de riesgo y de exposición pública de estas personas en internet en el ejercicio de sus funciones. Un ejemplo de roles con riesgos diferenciados serían dirección de la empresa o el personal encargado de las finanzas corporativas.
- Riesgos debido a la interacción: Los trabajadores con mayor interacción con personas ajenas a la empresa: clientes, potenciales trabajadores etc. Un ejemplo podrían ser los comerciales de exportación, el personal de recursos humanos o el personal de recepción.
- Riesgos de la persona: En el caso de la empresa del ejemplo, se podría considerar que Menganito el encargado de producción y primo del jefe tiene un riesgo específico porque abre todos los enlaces que le envían. Para más inri, este empleado utiliza el ordenador de la empresa para conocer chicas en su ciudad, comprar píldoras que evitan la caída del cabello procedentes de Tailandia y vender su colección de sellos en Wallapop. Sumado a ello, en el pasado, ya ha sido víctima de ataques de tipo phishing y vector de entrada de un ataque de ransomware. Este empleado, en el ejercicio de sus “funciones” tiene un nivel de riesgo específico que se ha de tener en cuenta.
Tercera medida: Establecer las necesidades de formación en base al ciberriesgo identificado
La formación en materia de ciberseguridad ha de adaptarse en las características de la organización, del nivel de alfabetización digital de sus trabajadores y su nivel de riesgo. El lenguaje utilizado y las explicaciones de los complejos tipos de ciberataques ha de adaptarse también a la organización y a su percepción del riesgo. En caso de que la percepción del riesgo sea baja y el nivel de riesgo moderado o alto sería recomendable realizar una campaña de concienciación previamente. Esta tarea podría realizarse por un criminólogo/a especializado en ciberseguridad.
Conclusiones
Estas tres sencillas medidas no requieren de grandes conocimientos técnicos. Permiten aplicar medidas prevención primaria criminológica en materia de ciberseguridad en pequeñas y medianas empresas. De esta manera se iría un paso más allá de las medidas preventivas que tradicionalmente se suelen implementar. Básicamente consisten en aplicar un enfoque anticipatorio que se podría resumir en un “conócete a ti mismo y a tu organización”. De esta manera la empresa estaría mejor preparada de cara a ataques por ingeniería social mucho antes de que estos den comienzo.
La aplicación del concepto de la prevención primaria criminológica entendida como un marco temporal “antes” de que el ataque se produzca podría aportar valor. Considerando a las personas como elemento central en materia de prevención de ciberataques y a la seguridad de la información como algo más que datos sobre los que hay que garantizar su confidencialidad, integridad, disponibilidad y no repudio se pueden crear sinergias muy interesantes entre la nueva generación de profesionales de las ciencias del comportamiento y los expertos en ciberseguridad.
En un próximo artículo hablaremos de la aplicabilidad de la prevención terciaria criminológica en ciberseguridad.
Marcelo Ruano- Graduado en Criminología y Seguridad.
Referencias:
Lockheed Martin, 2021. Gaining The Advantage : Applying the Cyber Kill Chain. [online] Disponible en: <https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html> [Acceso 29 Agosto 2021].