Unos y ceros. En el mundo digital, dentro de la pantalla de tu ordenador o de tu móvil, todo está compuesto por bits. Sin embargo, el código binario es mucho más que dos dígitos. Esas secuencias numéricas dan forma a las páginas web que visitas, las imágenes que publicas en redes sociales o el tiempo que dedicas a ‘scrollear’ por un torrente infinito de contenidos, pero también datos sensibles como tu nombre, tu DNI, tu ubicación o el número de tu tarjeta de crédito.
Acceder a toda esa información es crucial para el funcionamiento de Internet. Sin ella no podrías hacer compras en línea, pagar tus impuestos, acceder a tu cuenta de suscripción a un periódico digital o a una plataforma de vídeo a la carta y compartir tus opiniones en un foro de debate. Los datos que permiten certificar la identidad digital de un usuario son también indispensables para el negocio de un sinfín de empresas, que los necesitan para mantener a sus empleados conectados a un ecosistema corporativo del que dependen sus flujos productivos. No obstante, cada acción deja un rastro que puede ser utilizado con fines maliciosos, lo que convierte la gestión de esos datos en un pilar indispensable para la economía digital.
Piensa un momento en la compañía en la que trabajas. Con toda probabilidad, utilizas una plataforma o una aplicación en la que inicias sesión para acceder a los registros y recursos necesarios para poder operar con normalidad. Pasa tanto si tu misión es crear una campaña de publicidad para un cliente como si es gestionar el albarán de una zapatería. Todo pasa por una intranet, una red informática privada que permite la compartición de archivos y servicios dentro de una organización. En ese entorno, tu identidad es tu llave. Una tendencia que se ha acentuado con la normalización del teletrabajo.
Control de acceso estricto
La digitalización está ofreciendo numerosas ventajas para las empresas como una mayor competitividad y visibilidad. Aun así, también comporta retos de ciberseguridad mayúsculos. Uno de los principales es cómo controlar a qué información pueden acceder y a qué no los trabajadores, pero también contratistas, proveedores o socios comerciales. La autorización depende del nivel en el que se clasifique a ese empleado, una categorización que concede distintos accesos y que depende de cuestiones como el cargo, la antigüedad o el proyecto. No tiene sentido que un empleado raso acceda a los mismos documentos que un directivo.
Para más inri, las empresas también deben gestionar identidades no humanas, como las de aplicaciones, servicios o dispositivos conectados que interactúan constantemente con los sistemas, para que ese flujo de información se coreografíe de forma segura. «El gran reto de ciberseguridad para las empresas en España es pasar de una postura reactiva a una proactiva. Es imprescindible anticiparse a las amenazas (…) e integrar la seguridad desde el inicio del proceso de digitalización», explica David Prieto, gerente de Identidad y Seguridad IA de Telefónica Tech, que aboga por un control estricto de los accesos y por «aplicar el principio de mínimo privilegio».
Objetivo: frenar a los cibercriminales
Esa gestión que tiene como misión que terceros actores maliciosos puedan hacerse con el control de documentos y servicios confidenciales de los que depende la empresa. Y es que, en un mundo en el que los datos son el nuevo oro, estos se han convertido en un jugoso objetivo para piratas informáticos de todo tipo. El cibercrimen no para de batir récords históricos, alcanzando cifras a escala global que escapan a nuestra imaginación. Solo en 2024, se perpetraron millones de ciberataques que provocaron pérdidas de unos 10.000 millones de euros, el doble que en 2023 y un volumen similar al PIB de pequeños países como Kosovo o Togo.
En España, el Instituto Nacional de Ciberseguridad (INCIBE) gestionó más de 31.500 agresiones informáticas contra pymes, micropymes y autónomos. Los gigantes empresariales no están exentos de riesgos, al contrario: son víctimas de más intentonas para acceder a su lucrativo negocio. La realidad es que nadie está fuera del radar de los ciberdelincuentes. Por ejemplo, Iberdrola sufrió en mayo del año pasado una filtración que dejó al descubierto los datos personales de hasta 850.000 clientes en el país. Otros colosos del Ibex 35 como Repsol o Santander han sufrido brechas de seguridad similares. Esos ataques no son solo un golpe a la privacidad de los usuarios y al negocio de la empresa, sino también a su reputación.
Apuesta por la ciberseguridad
Para evitar una interferencia indeseada en los sistemas corporativos es vital que las empresas apuesten por la ciberseguridad y cuenten con sistemas robustos de verificación de la identidad. Estos pasan cada vez más por los llamados sistemas de autenticación multifactorial o de dos factores. A la práctica significa que, además de identificarte con tu correo electrónico corporativo y tu contraseña, se añade un método adicional que refuerza la autenticación que puede incluir un número de teléfono móvil o la dirección de correo electrónico personal. Mediante el envío de un código de un solo uso, el sistema puede verificar que eres quién dices ser. Según Microsoft, más del 99,9% de las cuentas que se ven comprometidas no tienen habilitada la autenticación multifactor.
Históricamente, la práctica más habitual de los ciberdelincuentes era infectar el sistema de sus presas mediante un ‘malware‘ encargado de robar contraseñas. No obstante, la oscura industria del pirateo informática también evoluciona y tres de cada cuatro ataques actuales se basan en credenciales válidas, según el Informe sobre amenazas globales 2024 de la firma estadounidense de ciberseguridad CrowdStrike. Eso significa que, en lugar de explotar una vulnerabilidad en el sistema, los criminales prefieren utilizar las identidades robadas para hacerse pasar por un usuario autorizado, una suplantación indetectable para la víctima. «Los datos tienen valor porque permiten abrir la puerta a información aún más sensible: credenciales, propiedad intelectual o datos financieros», advierte Prieto. «Sin seguridad no hay digitalización».
Suscríbete para seguir leyendo
