Más allá de los nombres de usuarios y contraseñas: las claves para acabar con los ciberataques en las empresas

Desde la irrupción de la pandemia de la Covid-19, el teletrabajo se ha convertido en el principal modelo de trabajo de un gran número de empresas; sobre todo, en su vertiente híbrida, que combina el desempeño presencial con el remoto. Sin embargo, esta modalidad ha incrementado la exposición de las compañías a los denominados ciberataques, provocando un significativo aumento de los mismos. 

El año pasado, por ejemplo, se detectaron cerca de 180.000 ataques cibernéticos en España (el triple que en 2016), de acuerdo con los datos publicados por el Instituto Nacional de Ciberseguridad y el Ministerio de Defensa. Esta elevada cifra de ataques a través de la red, ha afectado principalmente a ciudadanos, empresas y administraciones públicas, siendo Andalucía, Comunidad Valenciana y Madrid, las comunidades más afectadas.

En este contexto, las empresas deben tomar mayores medidas de seguridad para evitar estas intrusiones. Concretamente, los datos indican que las PYMES son el objetivo del 70% de los ciberataques en España. Según Laurent Delosieres, responsable de seguridad y cumplimiento de Factorial, “Una estrategia corriente contra las pymes son las prácticas de phishing: se ataca a empresas sin una red de seguridad potente; pequeñas y medianas compañías que no cuentan con los filtros necesarios o que, si detectan un caso, no se encargan de bloquear el dominio, por lo que no se bloquean más ataques’’. 

Delosieres ofrece también cuatro claves para implementar medidas que favorezcan la seguridad de los sistemas, teniendo en cuenta modalidades tan recurrentes como el teletrabajo.

1. Autenticación de múltiples factores. Las megafiltraciones y la amplia proliferación de estafas cibernéticas actuales han provocado que la seguridad en la red deba ir más allá de las contraseñas tradicionales, por lo que no deben ser nunca la única barrera de defensa. En este sentido, Delosieres recomienda utilizar programas que no solo se alojen en un sitio seguro y cuenten con contraseñas eficientes, sino que las claves de acceso se puedan gestionar desde una única plataforma, y en el caso de que un trabajador deje la empresa, sea más fácil proteger la información sensible y restringir el acceso.
2. Gestión de contraseñas. Sin embargo, es importante no ignorar por completo las contraseñas convencionales. Estas deben seguir unos protocolos de seguridad, siendo siempre únicas, compuestas por frases sencillas y fáciles de recordar, incluyendo faltas de ortografías o símbolos especiales. Para reducir el número de empleados responsables de administrar los accesos, las empresas pueden asignar administradores de estas para todos los empleados. Además, un añadido de seguridad es cambiar las contraseñas cada cierto tiempo para garantizar que cualquier credencial filtrada o comprometida ya no sea válida.
3. Identidad única. Un paso más en la seguridad interna de la empresa es implementar un sistema que garantice la autenticidad de los empleados en diferentes servicios. De esta forma, los trabajadores solo tendrán que iniciar sesión una vez para utilizar los diferentes servicios de una empresa. Además, este sistema facilita la gestión y el seguimiento, ya que los sitios web sospechosos o el acceso a ciertas aplicaciones se pueden prevenir centralizado toda la autenticación. 
4. Formación. Como añadido a todos los sistemas de seguridad que puedan actuar como barrera de protección, educar a los empleos para que reconozcan los mensajes de phishing es fundamental. El error humano es la principal puerta de entrada para los ataques que dan como resultado la fuga de datos y sistemas confidenciales. Además, es de ayuda informar al proveedor de correo electrónico para controlar el problema, “si el delincuente intenta falsear la identidad de un empleado, el servicio de webmail advertirá simultáneamente al destinatario”, añade Delosieres.