Esta semana hemos escuchado y leído en los medios mucho sobre Pegasus, un software malicioso de los más sofisticados que hay hoy en día. Y es que el nivel de sofisticación que utilizan los ciberdelincuentes es cada vez mayor.

Precisamente, este fue uno de los mensajes que nos aportaron Enrique Aguilar y Gabriella Andriuzzi -ambos ingenieros informáticos de la ONU-, en la mesa de debate que tuve el placer de moderar en Forinvest el pasado miércoles 4 de mayo, dentro del Innovation & Fintech Forum.

Hemos de tener presente que el ciberataque es uno de los males de este siglo al que todos estamos expuestos.

El riesgo se acrecienta aún más para las empresas con la fórmula del teletrabajo, conceptos como ‘phishing’, ‘spam’, ‘ciberespionaje’ o ciberataque se están incorporando, por desgracia, a nuestro vocabulario, y son amenazas con las que vamos a tener que lidiar. De hecho, la Agencia de la Unión Europea para la Ciberseguridad (Enisa) elabora un informe anual donde identifica las 15 amenazas sobre las que todas las compañías tenemos que estar alerta.

Hace dos años las empresas tuvieron que hacer una adaptación rápida y, en ocasiones, quizás desordenada para poder teletrabajar. Incluso con ordenadores personales en determinados casos, con el riesgo que esto conlleva. Los departamentos de IT, según nos explicaron los expertos de la ONU, ven complicada su misión de velar por la seguridad cuando los equipos no pertenecen a la compañía.

Porque se puede teletrabajar sí, pero hemos de promover la concienciación sobre estos riesgos de ciberataque entre los empleados. Ninguna empresa está libre de poder ser atacada. Debemos tener en cuenta que hay toda una industria de ciberdelincuentes que sacan provecho de esto.

Es fundamental que formemos continuamente a nuestros empleados, con campañas en las que hagamos simulacros de posibles ataques para que estén alerta. Y también es indispensable una monitorización constante de los equipos y del control de accesos.

Las 15 amenazas que refleja la Agencia de la Unión Europea para la Ciberseguridad son las siguientes:

• Malware: es un software hostil o intrusivo. Por ejemplo, virus informáticos, gusanos, caballos de Troya, etc.
• Ataque a la base de datos.
• Phishing o suplantación de identidad. Este es ampliamente conocido por todos, ya que en todas las empresas recibimos diariamente e-mails en los que nos piden que pulsemos enlaces y que ejecutemos transferencias. En este tipo de ciberataque es en el que más hay que insistir en formación y con campañas de concienciación y simulacros, ya que el grado de sofisticación que utilizan los ciberdelincuentes hace que sea muy fácil caer en la trampa. Trampa que, por otro lado, si alguien cae, hay que comunicar de forma inmediata a los equipos de IT, ya que cuanto antes se actúe, más rápido se podrá mitigar el daño.
• Ataque a una aplicación web para obtener datos confidenciales o lanzar ataques a los usuarios de la propia aplicación.
• Spam: correo basura o no deseado.
• Ataque de denegación de servicio, es decir, no puedes entrar en tus sistemas.
• Usurpación de identidad.
• Amenaza de exempleados con acceso a los sistemas.
• Botnet o red de equipos informáticos infectados con software malicioso.
• Manipulación física, daño, robo y pérdida de equipos.
• Salida no controlada de información. 
• Secuestro de datos que no te permite acceder a tu propio sistema.
• Ciberespionaje o espionaje cibernético para obtener secretos sin el permiso del poseedor de la información, ya sean competidores, gobiernos u otras entidades.
• Criptojacking, software malicioso para generar criptomoneda.

Que una empresa, Gobierno o entidad sufra cualquiera de estos ataques tiene una repercusión muy relevante a la par que desastrosa. De ahí que sea fundamental la concienciación -todas las compañías han de invertir en proteger sus sistemas de información-; la formación-tanto de empleados como de mandos intermedios y directivos-; y el control -la modalidad de teletrabajo implica un grado más de dificultad y lo ideal es no utilizar ordenadores personales, sino de la compañía-.

En definitiva, la seguridad en los sistemas es un área crítica de todas las compañías y es necesario dar visibilidad al asunto para intentar poner barreras a los ciberdelincuentes.