Los ciberataques se han cuadruplicado en España en los últimos dos años. Por ello, la ciberseguridad y la protección de datos encabezan la lista de los principales riesgos y preocupaciones a los que se enfrentan las empresas.
«Es necesario que estas estén protegidas por varias razones pero, principalmente, por tres: por razones operativas, ya que, si una empresa sufre un ciberataque, operativamente queda noqueada. También, por razones económicas, porque puede incurrir en una responsabilidad civil derivada de una brecha de seguridad y, por último – y quizás la razón más importante- por la pérdida de reputación. Todos sabemos lo que cuesta labrarse una buena reputación y lo fácil que es perderla», explica Cristina García, responsable de Estudios y Data de INESE.
Las aseguradoras, expertas en la gestión de riesgos, no son una excepción. Pero ¿cómo abordan su propia ciberseguridad las compañías del sector? Un primer paso para conocer este punto, sencillo y accesible, ha sido analizar la seguridad de sus sitios webs. Para ello, INESE Data ha contado con Lazarus Technology, una compañía que tiene uno de los laboratorios más grandes de Europa dedicados a seguridad, continuidad de negocio e informática forense. Ambas han lanzado el estudio ‘Análisis de la exposición de activos digitales de las aseguradoras a los ciberriesgos’.
«Lo que hemos hecho, con la ayuda de Lazarus, es un análisis no intrusivo de las webs de cada una de las compañías objeto de estudio. Han sido 178 compañías y 187 dominios -prácticamente todo el sector-, generando un informe para cada una de ellas. Un informe que es una foto del momento», explica Cristina García, que recuerda que en este análisis se chequean hasta 15 parámetros diferentes, desde los puertos abiertos a los emails comprometidos, pasando por diferentes vulnerabilidades.
[Webinar de presentación del estudio con Cristina García y Manuel Huerta]
«Los ciberataques se han convertido en una industria. Cuanta más exposición tienen las compañías, más relevancia tiene para el ciberdelincuente. Esta es la principal motivación, no es una cuestión de que una empresa caiga mejor o peor», argumenta Manuel Huerta, CEO de Lazarus Technology.
«La seguridad no se puede garantizar al 100%. Se compone de actitudes, acciones y recursos que se tienen que aplicar a los sistemas. ¿Evitar que nos ataquen? Imposible. La media de ataques en todo el tejido empresarial español es de 2,5 al año y el malo lo que está esperando es el día que fallas tú. Por eso, la seguridad es una actitud y, aun así, no quita para que alguna vez nos equivoquemos y ese día tengamos el problema», contextualiza Huerta.
Datos preocupantes
Fuente: Estudio ‘Análisis de la exposición de activos digitales de las aseguradoras a los ciberriesgos’
- 74% de las webs comparten hosting con otros dominios. Cuantos más dominios comparten hosting, más riesgo.
- 97,3% de los dominios tienen subdominios. Cuantos más subdominios, más frentes abiertos a posibles ataques. Este dato, según Huerta, es “sorprendente”. Si bien los dominios suelen estar bien securizados, no ocurre igual con los subdominios; es ahí donde suelen estar las vulnerabilidades.
- El 52,4% de los dominios analizados ha sufrido filtración en sus emails (credenciales robadas o cuentas vulneradas).
- El 75% de los dominios analizados han presentado vulnerabilidades en sus webs (entre 2 y 800 vulnerabilidades). Y lo peor es que, en el 8,5% de los dominios, las vulnerabilidades eran críticas. “El problema es que algunas de estas vulnerabilidades tienen más de 10 años y nos hemos llegado a encontrar con vulnerabilidades de 2007”, comenta Huerta.
- 77 compañías de las 178 analizadas han obtenido un nivel bajo de seguridad (casi el 45%). “Es un dato muy llamativo. Un 10% sería lo esperado. Pensábamos que este tipo de compañías tendría esto mejor resuelto, pero nos ha sorprendido hasta a nosotros”, admite el directivo de Lazarus Technology.
