Entrevistamos a Francisco Bonatti, Socio Director de Bonatti Compliance, con ocasión de la reciente aprobación de la Ley 10/2021, de 9 de julio, de Trabajo a distancia, y cómo ello afecta al ámbito de la ciberseguridad.

Francisco Bonatti: “El Compliance debe poner un foco de atención cada vez más importante en la transformación digital de la empresa”

Entrevista
FranciscoBonatti_BonattiCompliance_6

Entrevista realizada por Jose Ramón Moratalla y Carlos Porras

1.-  Hola Francisco, la nueva Ley de Trabajo a distancia supone una respuesta a los retos laborales y organizativos que en materia de teletrabajo ha traído consigo la pandemia.  Pero nos interesa conocer hasta qué punto la crisis de la Covid-19 ha facilitado un extraordinario incremento de la ciberdelincuencia en el ámbito del teletrabajo. ¿Qué nos puede contar al respecto?

Cuando en marzo de 2020 se decretó el estado de Alarma y el confinamiento de la población en sus domicilios, la tecnología se nos ofreció como la única ventana que teníamos abierta para mantener nuestras relaciones familiares, sociales y laborales. Es muy probable que, sin la tecnología, el impacto de la Covid-19 en nuestra sociedad hubiera alcanzado dimensiones apocalípticas.

Sin embargo, el precio que estamos pagando por ello incluye un incremento exponencial de la ciberdelincuencia, que podemos explicar por diversos motivos:

  1. La convivencia en el núcleo familiar de padres, hijos y otras personas con formación tecnológica e intereses muy distintos que, sin saberlo, se convierten en una riquísima fuente de información para los hackers.
  2. Durante el confinamiento hemos compartido equipos tecnológicos familiares que no estaban configurados para un uso profesional, mostrando graves debilidades en sus sistemas de protección.
  3. Además, el uso que cada miembro de la familia hace del equipo es diametralmente distinto, y añade riesgos (vulnerabilidades) diferentes.
  4. No hay una cultura previa de teletrabajo, y en consecuencia no hay hábitos de teletrabajo, ni los automatismos de autoprotección que se adquieren con dichos hábitos, como nos ocurre, por ejemplo, cuando vamos andando por la calle o conduciendo nuestro automóvil.
  5. Los empleados de muchas empresas pierden su principal elemento de cohesión: la presencialidad, e intentan compensarla con un abuso de las videoconferencias, llamadas y chats, que produce cansancio mental y errores.
  6. En cuanto a este ultimo punto, también es importante tener en cuenta que muchos de los procesos y procedimientos que aplicaban las empresas se fundamentaban en un componente de presencialidad que desaparece con el confinamiento. Durante el confinamiento se mantienen procesos con un diseño “analógico” que al ejecutarse en un entorno On Line muestran importantes “brechas” de seguridad.
  7. Por ultimo, las estructuras de trabajo en remoto de las organizaciones o no existían o no estaban en ningún caso pensadas para soportar a la totalidad de su plantilla teletrabajando. Este reto tecnológico es un proceso lento, que todavía va a exigir muchos esfuerzos e inversiones a las empresas.

Todos estos riesgos ya existían antes del confinamiento, y los ciberdelincuentes los conocían y explotaban.

Lo que ha ocurrido con la pandemia es que se han incrementado exponencialmente estas situaciones de riesgo, en las que – de pronto- se han visto inmersos millones de trabajadores y directivos encerrados en millones de hogares de todo el mundo.

De este modo, los ciberdelincuentes se encuentran con un panorama de posibilidades infinitas para sus técnicas criminales, y se lanzan de pleno a por el botín.

El crecimiento tan extraordinario que ha vivido la ciberdelincuencia en los últimos 18 meses está vinculado en el 100% con el fenómeno que acabo de describir.

 

2.-  ¿Las ciberamenazas se están dejando sentir solo en las empresas privadas o también en las públicas?

Las ciberamenazas afectan tanto a los particulares como a las mayores corporaciones multinacionales, y tanto al sector privado, como a todas las administraciones cualquier país del mundo.

Por no salir de España, en los últimos meses hemos conocido desde ataques al Servicio Público Estatal de Empleo- SEPE (mayo 2021) o a la Inspección de Trabajo (junio 2021) hasta la suplantación de la Plataforma de Contratación del Sector Publico (marzo 2021) en el envío de correos maliciosos.

Los ataques no entienden de sectores o actividades, se basan en las debilidades de los sistemas y en las debilidades de las personas que los utilizamos, que mayoritariamente carecemos de capacidades y competencias suficientes para operar con un grado de seguridad razonable en estos nuevos e intensos entornos digitales. El cambio es lento y los ciberdelincuentes habían llegado aquí antes que nosotros.

 

3.- Y a nivel personal, en el seno de las empresas ¿los ciberdelincuentes tienen como objetivo en su punto de mira sólo a los empresarios y directivos o también a los trabajadores?  

He tenido la oportunidad de ver en directo alguna demostración de hackeo social y es espectacular – y muy preocupante- ver como estas actividades delictivas utilizan a toda la cadena de mando para llegar a la persona que va a darles lo que quiere, que en muchas ocasiones no es la más alta del escalafón (como ocurre por ejemplo en la estafa de CEO). Para los hackers, todos somos fuentes de información y puertas de entrada a sus intereses criminales. Estamos ante una perspectiva completamente distinta del delito en las organizaciones, personal administrativo, de mantenimiento, becarios y voluntarias son para los cibercriminales también una valiosa fuente de información.

 

4.- A su juicio ¿cuáles son las cinco principales amenazas que deben combatir las organizaciones desde sus sistemas de compliance; ¿de forma breve y sucinta, nos las puede enumerar?

Recientemente destacábamos como cinco de las más significativas las siguientes:

  1. Ramsomware: el secuestro de información mediante malware que encripta el contenido de unidades, discos duros y servidores se ha convertido en uno de los riesgos estrella.
  2. Estafas del CEO: la suplantación de la identidad de los directivos para engañar a los empleados que tienen las claves y códigos para realizar transferencias bancarias se ha incrementado exponencialmente con la pandemia.
  3. Ataques a servidores y bases de datos: los delincuentes explotan brechas de seguridad para acceder a los servidores y sustraer los datos que contienen. Los datos son el petróleo del siglo XXI y es uno de los grandes tesoros que poseen las empresas.
  4. Ataques Botnet: los equipos y servidores de empresa son convertidos en zombies a través de Botnets, que gestionan los cibercriminales para evitar ser rastreados, eludir las listas de SPAM o para realizar transferencias económicas ilícitas, envíos masivos de correos o ataques DDoS.
  5. Sustracción de las credenciales: el acceso a las credenciales y contraseñas de los empleados y directivos facilita a los cibercriminales un amplio abanico de delitos a costa de la empresa: desde el envío de correos maliciosos hasta robo de secretos de empresa o la sustracción de bases de datos.

 

5.- En esta misma línea ¿cómo han de afrontar estas ciberamenazas los sistemas de compliance de las empresas?

Hace unos años un buen amigo y compañero me dijo que un día dejaríamos de hablar de derecho digital porque todo el derecho iba a ser digital. Haciendo un paralelismo, y en la medida en que los procesos de las organizaciones se están digitalizando de forma acelerada como consecuencia de la Covid-19, los sistemas de gestión de compliance basados en estos procesos también deben digitalizarse.

Esto significa que el compliance debe poner un foco de atención cada vez más importante en la transformación digital de la empresa (ayudando a reducir las debilidades internas en los procesos operativos), en su ciberseguridad (integrando los cibercontroles en los procedimientos de compliance) y reforzando la transformación cultural digital de sus directivos y empleados, con el objetivo de impedir debilidades internas y evitar la ingeniería social.

 

6.-  Usted se ha referido en alguna ocasión a “la ingeniería social” como una de las principales debilidades que en el seno de las organizaciones y empresas hay que proteger a través del compliance. ¿Podría explicarnos a qué se refiere con ello?

Un número muy significativo de ataques informáticos se producen porque los empleados y directivos de las organizaciones son hábilmente manipulados y se dejan engañar, de modo que inconscientemente “regalan” información vital, envían datos, abren enlaces o ejecutan las acciones pretendidas por los cibercriminales.

Esto ocurre en empresas de todo tipo y tamaño, no importa cuánto inviertan en tecnología, es un fenómeno que tiene que ver con los sesgos de pensamiento y la conducta de los integrantes de la organización, con la dificultad que tiene el personal para contextualizar y afrontar correctamente los entornos tecnológicos y sus riesgos.

El compliance, evoluciona rápidamente hacia un modelo de gestión que se orienta a la optimización de las conductas y a la transformación cultural de los integrantes de una organización, y por ello se nos muestra como una herramienta con gran potencial para combatir estos riesgos.

 

7.- ¿Cree que el uso y aplicación de la Inteligencia Artificial por parte de la ciberdelincuencia supondrá el gran reto al que habremos de enfrentarnos en los próximos años?

La cibercriminalidad es cada día mas rentable, y la inversión que puede hacer en innovaciones tecnológicas coloca a los ciberdelincuentes un paso por delante del promedio de las organizaciones. Es obvio que ningún sistema está fuera del alcance de los ataques criminales, eso es una tendencia que no tiene una perspectiva de cambio a corto plazo.

 

8.- Y ya para terminar, pensando en el público objetivo de nuestro portal, formado principalmente por profesionales jurídicos y usuarios de información legal que también están interesados en los desarrollos TIC nos gustaría saber si animaría también a los despachos de abogados a integrar la ciberseguridad en sus propios sistemas de compliance. ¿Y en ese sentido cuál sería su principal consejo o recomendación que les indicaría?

Creo que una parte muy significativa de nuestro sector sigue manteniendo una errónea percepción de su trabajo, que identifican con una actividad procedimentalmente sencilla y fundamentalmente basada en su desempeño personal.

Sin embargo, aún los despachos más pequeños utilizan múltiples dispositivos (que en muchas ocasiones combinan su uso profesional y particular), acceden a plataformas y sistemas informáticos de la administración (SEPE, LexNet, Mercurio, etc), gestionan firmas digitales, recurren a servicios Cloud, aplicaciones SaaS, software profesionales, gestionan RRSS, aplicaciones de chat tipo WhatsApp o Telegram y se comunican mediante videoconferencias a través de TEAMS, ZOOM, Google Meat y otras similares. Además, este complejo entorno tecnológico no canaliza banalidades, sino información de una extraordinaria sensibilidad que afecta a los aspectos más esenciales del ciudadano como su libertad, integridad, relaciones familiares, salud, solvencia económica, derechos laborales, etc.

Tan solo hay que leer el párrafo anterior, cerrar unos instantes los ojos e imaginarse todos los riesgo y amenazas que pesan sobre nuestra actividad, para darnos cuenta de cuan imprescindible es que cada firma – hasta las individuales- establezca un análisis de sus riesgos y defina sus procesos para aplicar reglas de conducta y mecanismos de control en nuestro día a día, con el objetivo de salvaguardar nuestra responsabilidad profesional y – quizás aún más importante- los derechos y las expectativas que han depositado en nosotros  nuestros clientes.