La Cadena Ser, Everis y otras empresas relevantes con sede en España han sido víctimas de un ciberataque iniciado la madrugada del lunes 4 de noviembre. La envergadura ha sido tal, que han tenido que desconectar todos los ordenadores.
Idéntico ataque se produjo el pasado día 2 de octubre en el Ayuntamiento de Jerez de la Frontera, paralizando la actividad del consistorio durante varios días. Los ciberataques se produjeron a través de un ransomware, un tipo de código malicioso (malware) que se introduce en los equipos de las empresas (normalmente a través del correo electrónico) y <<secuestra>> la información de la entidad cifrándola y pidiendo un rescate para suministrar la clave necesaria para descifrar dicha información. Aunque los equipos afectados disponían de antivirus, éste se ha mostrado totalmente inútil, no pudiendo parar el ataque. ¿Por qué?
En primer lugar, hemos de tener en cuenta que un antivirus no reconoce todo el malware que recibe el equipo informático (cada día se crean más de 250.000 nuevos malware entre virus, gusanos, troyanos, spyware, adware, ransomware y exploits). Ante este increíble número de nuevas amenazas que se generan cada día es totalmente imposible para los antivirus reconocer totos y cada uno de estos dañinos programas (hemos de recordar que para que un antivirus reconozca un código malicioso, antes se ha propagado y una vez detectado es incluido en la base de datos del antivirus para ser reconocido; lógicamente hay un tiempo, más o menos largo, en el que el nuevo malware no es identificado por los antivirus). ¿Cuá es entonces la única solución fiable? Pues la formación a los usuarios. Una formación que enseñe a utilizar los sistemas informáticos e Internet de forma segura. Que el usuario aprenda a detectar los correos que probablemente contengan malware, así como las técnicas de ingeniería social que utilizan los atacantes para no ser una víctima indefensa ante ellos. Y esta es una responsabilidad de los empresarios y de los usuarios.
Resulta curioso y a su vez paradójico, que, para manejar una carretilla, el trabajador tenga que tener el carnet de carretillero, y para manejar un ordenador no reciba ninguna formación sobre cómo utilizarlo de forma segura (con el potencial riesgo que conlleva, pues puede paralizar la actividad de una empresa y causar cuantiosas pérdidas por un clic desafortunado).
Y tú, amigo empresario, ¿estás formando ya a tus trabajadores para evitar males mayores?
12 de noviembre de 2019 – Artículo para la sección Innovadores del periódico El Mundo Castilla y León.