Saltar al contenido

El valor de la información. ¿Cómo debe protegerse la empresa? A cargo de Eva Estévez Lorenzo.

AD 34/2021

El valor de la información. ¿Cómo debe protegerse la empresa?

RESUMEN: La seguridad de la información y la normativa de protección de datos personales, entre otras, se han convertido en aliados clave en la lucha contra potenciales amenazas que tratan de acceder a nuestra esfera privada o empresarial a través de ataques dirigidos. Es por ello, que el  presente artículo busca llamar la atención del lector a través de dos cuestiones principales, por un lado, cuáles son las técnicas de ciberataque más habituales durante los últimos años, y por otro lado, unas pinceladas de cómo debe protegerse la empresa para aminorar el riesgo.

Keywords: Seguridad de la información, empresa, cumplimiento, datos personales, ciberataques, técnicas más habituales.

En un contexto de sociedad globalizada en constante cambio y expansión, especialmente de Internet, la información, al margen de su regulación normativa, se ha convertido en el oro del siglo XXI, ya sea como un valioso activo para las empresas, en tanto en cuanto les reporta innumerables beneficios, como una meta accesible para los ciberdelincuentes que lo ven como un apreciado botín.

Los datos oficiales muestran un aumento generalizado de ciberataques durante los últimos años, si bien es cierto que el porcentaje de ataques a empresas sigue siendo mucho mayor que los ataques a usuarios particulares – 77% contra 23%-. Con estos datos es normal que las empresas, y nosotros como usuarios particulares, nos preguntemos qué debemos hacer ante esta nueva realidad, y cómo debemos protegernos.

Ante esta situación, diferentes cuerpos normativos como el Estandar Internacional ISO 27001, sobre seguridad de la información, y el Reglamento Europeo en materia de protección de datos personales, proporcionan medios y herramientas que ayudan a proteger de forma preventiva la información, y se han convertido en un aliado necesario para combatir este tipo de ataques.

Y es por ello que nos preguntamos, ¿por qué es tan importante proteger nuestra privacidad? La vida digital ha adquirido tal entidad en nuestro ámbito laboral y personal que la alimentamos con multitud de datos personales e información de manera constante, y que genera un gran interés para los ciberdelincuentes que, a través de elegantes y modernas técnicas que veremos a continuación, nos pueden poner en un aprieto en un solo click para hacerse con ella.

A través de este artículo intentaré explicar las diferentes técnicas que pueden poner en jaque la información de nuestra empresa,y algunos consejos que en mi humilde opinión pueden ayudarnos a no ser una presa más de los depredadores informáticos..

I.- ¿Cuáles son las técnicas más habituales por los ciberdelincuentes?

Antes de entrar en cuáles son esas técnicas, debemos recordar que un ciberataque es un conjunto de acciones dirigidas contra los sistemas de la información, y por ello es importante tomar acciones preventivas como empresa para protegerlos.

No es menos cierto que todos pensamos que los ciberataques tienen un carácter complejo y que implican una gran inversión de recursos por parte de los ciberdelincuentes, pero en realidad lo que quieren y buscan es poder acceder a la máxima información con la menor inversión posible, y a cuantos más usuarios y empresas mejor, por lo que buscan técnicas que sean sencillas, y que conlleven un fácil error humano.

Sin más rodeos, las técnicas más habituales son:

  • Dumpster diving: consiste en buscar información en la basura de un usuario, y que puede ser útil para una empresa u otro usuario. Tal y como dice el dicho, “La basura de un hombre puede ser el tesoro de otro”.
  • Phishing o suplantación de identidad: mediante esta técnica se busca acceder a información confidencial, como contraseñas o estados financieros, a través de correos electrónicos urgentes, sitios web falsos, mensajes instantáneos, y así poder realizar una suplantación de identidad del usuario que ha “mordido el anzuelo”.
  • Spear phishing: a diferencia de la técnica descrita anteriormente, que es una técnica más bien a gran escala, el spear phishing tiene como objetivo un empleado o directivo concreto de una compañía determinada, por lo que los ciberdelincuentes estudian meticulosamente a la víctima y crean correos electrónicos totalmente personalizados para poder acceder a la información.
  • Malware o software malicioso: a través de esta técnica se crea un código que permite corromper el sistema informático, y así acceder o robar información de forma rápida y sin dejar huella.
  • Ransomware: consiste en que los ciberdelincuentes secuestren toda la información de la empresa o el acceso a la misma mediante su cifrado, y así poder solicitar un rescate económico para entregar la clave para descifrarla.

II.- ¿Cómo se deben proteger las empresas?

Una de las mejores maneras de proteger a la empresa ante potenciales ciberataques es a través de la implementación de programas de protección de datos reales y de sistemas de gestión de seguridad de la información, que nos permitan tener conciencia de qué nivel de cumplimiento normativo tenemos, y de cuáles son nuestras mayores vulnerabilidades, para así poder impedir el acceso a los ciberdelincuentes a través de planes de acción efectivos.

Es por ello que las empresas, y especialmente con la irrupción del teletrabajo a consecuencia de la COVID-19, son cada vez más conscientes de la importancia de estar protegidas y adoptar modelos eficaces para cumplir con la normativa, y a modo de ejemplo, por ser las más habituales:

  • Implementar medidas técnicas y organizativas que garanticen los estándares mínimos en materia de seguridad, como cifrado de información, anonimización y seudonimización de los datos personales. Incluso cada vez más las empresas optan por certificarse en la ISO 27001, sobre seguridad de la información.
  • Implementar protocolos de resolución de incidencias o brechas de seguridad que sean eficaces y resolutivos, y que establezcan y permitan analizar la situación de forma rápida y ágil para adoptar las medidas que sean necesarias para restablecer la seguridad (comunicación a la Agencia Española de Protección de Datos, gestión de derechos de los interesados, entre otras).
  • Concienciación y formación de los trabajadores de la empresa. Se puede contar con las técnicas más modernas y pioneras a nivel de ciberseguridad, pero no servirán de nada si el personal de la empresa no está concienciado del peligro que supone incumplir las medidas previstas, y eso se consigue a través de la formación de la plantilla, siendo la medida por excelencia para evitar potenciales ciberataques.

III.- Conclusión

En definitiva, las empresas deben garantizar y cuidar la información propia o de sus stakeholders con la máxima diligencia debida. Además, la ciberseguridad es una responsabilidad de todas las empresas con independencia de qué tipo de información tratan, por lo que, invertir en programas de seguridad de la información y protección de datos debe ser una prioridad para las mismas, intentando que estas sean lo más seguras e infranqueables posibles.

Eva Estévez Lorenzo

16 de marzo de 2021


Abogada colegiada en el ICAB, especializada en derecho de nuevas tecnologías, privacidad y seguridad de la información. Mi experiencia se basa en asesorar en estas materias a empresas nacionales e internacionales de diferentes sectores de actividad. 

1 comentario en “El valor de la información. ¿Cómo debe protegerse la empresa? A cargo de Eva Estévez Lorenzo.”

Deja un comentario

A %d blogueros les gusta esto: