Presentación del curso “Gestión de riesgos de seguridad para empresas”

Me llamo Sergio Rodríguez Solís y Guerrero y en este curso voy a explicarte los conceptos
fundamentales de la gestión de riesgos de seguridad, centrándome en el área de IT. Si tienes
una empresa, probablemente hayas desarrollado planes de marketing, de previsión de
ventas, aprovisionamiento de suministros, etc. Pero no debes olvidar los planes relativos a
la seguridad diseñados para que esta sea de calidad sin perjudicar al rendimiento de tu
trabajo. Hay que tener siempre en cuenta que el fin último de estos planes es saber cómo
reaccionar ante amenazas sin que cunda el pánico e impidiendo que los daños sufridos sean
irreparables. En este curso empezaremos definiendo y desarrollando los fundamentos de la
gestión de riesgos. Exploraremos los pasos clave para desarrollar un buen plan de gestión.
Presentaremos algunas arias importantes relacionadas con IT que deberías tener en cuenta
en los planes de gestión de riesgos. Describiremos medidas preventivas y reactivas y
analizaremos el caso particular del "ransomware". Cuando finalices este curso serás capaz
de detectar las vulnerabilidades que suponen un riesgo para tu empresa. Y de este modo
podrás analizarlas y priorizarlas, para así desarrollar planes de prevención y respuesta a tu
medida.

Qué es la gestión de riesgos de seguridad

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el

vídeo
Tanto si trabajamos desde casa como si lo hacemos en las oficinas de nuestra empresa, la
incertidumbre y los riesgos son factores que van a estar siempre presentes en nuestra vida
profesional. Cuando iniciamos un nuevo proyecto como nuestra particular andadura
empresarial, lo primero que nos recomiendan es hacer un plan de negocio y un análisis
DAFO, que es el acrónimo de: debilidades, amenazas, fortalezas y oportunidades. Ese plan
de empresa o plan de negocio es, empresarialmente hablando, el primer plan de gestión de
riesgos que vamos a realizar en nuestro negocio, pues nos dictará los pasos a seguir para
reducir o reaccionar ante las amenazas indicadas en el DAFO. El objetivo de un plan de
gestión de riesgos es minimizar la incertidumbre y la improvisación a la hora de evitar o
manejar situaciones perjudiciales para nuestro negocio. Desde el punto de vista de las
tecnologías de la información, la gestión de riesgos está orientada a la supresión o
minimización de las amenazas que se ciernen sobre nuestra infraestructura informática y de
comunicaciones, así como de las que puedan poner en riesgo la información que esa
infraestructura procesa o almacena. Del mismo modo, un buen plan de gestión de riesgos
debe considerar la posibilidad de que algunas de esas amenazas se materialicen, y por tanto
debemos tener definidos unos protocolos de actuación específicos para cada una de ellas.
De esta forma evitaremos la improvisación y los errores que implica actuar sin planes,
reduciremos el impacto negativo del problema y nos recuperaremos más rápidamente del
incidente.
Por tanto, definiremos gestión de riesgos como el proceso de identificación, análisis y
aceptación o mitigación de las amenazas inaceptables para nuestra actividad empresarial. El
objetivo es eliminar la incertidumbre que nos obligaría a detener nuestros flujos de trabajo
normales mientras diseñamos un plan de respuesta a lo que acabe de sucedernos. La gestión
de riesgos es aplicable a cualquier escenario personal o profesional, pero pongamos un
ejemplo.

Siempre cabe la posibilidad de que pinche una rueda del automóvil cuando vamos de
vacaciones con la familia. En ese caso, nuestro plan para gestionar este riesgo implica
llevar una rueda de repuesto, los sistemas de señalización para que otros vehículos nos
detecten y disponer de las herramientas necesarias para cambiarla. Además, deberemos
haber practicado para saber el procedimiento a seguir y no pasar demasiado tiempo en la
carretera con los peligros de accidente que eso conlleva. Otro ejemplo de riesgo, esta vez
financiero, es que la inversión en unos activos de bolsa específicos resulte deficitaria por
una devaluación no prevista de la empresa en la que invertimos. Dado que no formamos
parte del consejo de dirección de la empresa, no podemos participar de sus planes para la
reparación del daño, pero como inversores, podemos haber previsto esta posibilidad y haber
diversificado nuestro capital en lugar de poner todos los huevos en la misma cesta. Como
podemos observar, cada actividad, sea lúdica o profesional, implica unos riesgos inherentes
que debemos conocer y frente a los cuales debemos prepararnos. En este curso vamos a
fijar nuestra atención en los riesgos propios de las tecnologías de la información que
utilizamos en nuestra empresa, centrándonos principalmente en los sistemas informáticos y
en los sistemas de comunicación asociados. Este enfoque se debe a un razonamiento básico:
nuestra empresa sin información no vale nada y la mayor parte de dicha información está
en nuestras computadoras, "tablets" o teléfonos inteligentes.

La información pueden ser bases de datos de clientes o de proveedores, pueden ser recetas
de cocina en un restaurante o la información financiera necesaria para estar al día en
nuestras obligaciones fiscales. Perder esa información es un grave problema que puede
llegar a bloquearnos o a generar una serie de problemas encadenados como si de una
avalancha se tratase. Por ejemplo, si perdemos acceso a nuestra información financiera y
tenemos que trabajar en recuperarla para cumplir con la agencia recaudadora de impuestos
de nuestro país, no estaremos trabajando en producir beneficios. Además, si por no tener la
información no presentamos nuestras obligaciones fiscales a tiempo y correctamente,
podemos incurrir en faltas o delitos administrativos que impliquen sanciones económicas.
Esto supondría gastos no planificados que deberían restarse de otras partidas
presupuestarias que seguramente estuviesen ya asignadas a otros proyectos mucho más
interesantes para nuestros objetivos. Un último punto a destacar sobre la naturaleza de los
planes de gestión de riesgos es que no son pilares inamovibles, sino procedimientos vivos.
Esto es extremadamente importante.
Los planes deben evolucionar para adaptarse a los cambios en nuestra propia empresa, ya
sea en nuestras infraestructuras o personal. De manera más importante si cabe, un plan de
gestión de riesgos debe actualizarse constantemente a medida que cambian las amenazas,
ya sea en tipología, probabilidad o en las consecuencias de su materialización. Resumiendo,
un plan de gestión de riesgos debe detectar y analizar las amenazas para nuestro negocio,
planificar la forma en la que las evitará, tratará o responderá a ellas. Y, por último, debe
retroalimentarse y actualizarse continuamente para no quedar obsoleto y por tanto inútil.
Como una vez me dijo un buen amigo, no existe la mala suerte, solo la falta de
planificación.

Naturaleza de los riesgos de seguridad en la empresa

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el

vídeo
Llamamos riesgo, según definición canónica, a cada una de las contingencias que pueden
causar un daño próximo o a cualquier contingencia que pueda ser objeto de un seguro. Es
decir, cualquier tipo de suceso que acarree un mal específico y cuyas probabilidades de que
suceda son reales y, en determinados casos, que hasta las aseguradoras nos cubren
económicamente previo contrato contra dicha contingencia. Sea cual sea el campo que nos
ocupe, los riesgos pueden provenir de distintas fuentes. Por ejemplo, si estamos en el
extremo de un callejón con un muro a la espalda y otros dos muros a cada lado, la mayor
parte de nuestras amenazas provendrán de la entrada, pero no debemos nunca olvidar mirar
hacia arriba por si nos cayese algo del cielo o de alguna ventana. Ni siquiera podemos
asegurar que el muro contra el que apoyamos nuestra espalda no vaya a derrumbarse sobre
nosotros. Como podemos ver, no solo las fuentes más obvias son las que hay que
considerar como origen de posibles problemas. Cuando nos aproximamos al mundo
empresarial, tenemos que considerar una serie de grupos de riesgos en función de su
naturaleza, ya que nuestros planes de gestión dependerán de ella. Por ejemplo, no es lo
mismo protegerse de la lluvia en el callejón que evitar que nos pueda acorralar un
atracador. Entendiendo el motivo por el que debemos considerar las distintas naturalezas de
los riesgos a los que podemos enfrentarnos en nuestra empresa y manteniendo la
perspectiva de la seguridad, vamos a describir cuatro grandes grupos que pueden
subdividirse ampliamente. Empezaremos por los riesgos naturales.

Aunque hablemos de recursos manufacturados, como nuestras computadoras o

smartphones, permitidme que hable de la naturaleza de este grupo como de origen natural,
valga la redundancia, y es que todo dispositivo mecánico o electrónico con el paso del
tiempo acabará por estropearse. El más común de estos elementos es el disco duro. No se
trata de si se romperá o dañará, sino de cuándo ocurrirá. Dentro de este grupo de riesgos
naturales, podemos incluir también las catástrofes derivadas de inclemencias naturales,
como la meteorología o incluso una rotura de cañerías que inunde nuestra oficina, otras
averías eléctricas y cualquier otra desgracia. El segundo punto son los riesgos del personal
interno compuesto por una serie de agentes que suponen una amenaza directa para nuestra
empresa,

su infraestructura y su información, en el que están las personas que trabajamos en dicha

empresa y nuestros allegados más próximos. Dentro de este grupo, podemos incluir a los
dueños del negocio, los directivos que dirigen la empresa, los empleados que la hacen
funcionar o socios, como "partners", subcontratas, etc. Toda persona relacionada física o
telemáticamente con nuestra infraestructura es una potencial amenaza para la misma.
Cualquier persona puede borrar, corromper, falsear o filtrar información voluntaria o
involuntariamente, incluso podría sabotear o robar equipos. Es fundamental tener en cuenta
las amenazas de esta naturaleza, porque esta gente es la que más facilidades tiene de acceso
y por tanto más posibilidades de hacer daño. Después está la competencia.

El mercado basado en la libre competencia proporciona múltiples ventajas a los

consumidores, pero implica que las empresas de un mismo sector deben luchar por obtener
su trozo del pastel. La amenaza reside en que no podemos confiar en que todos los
participantes de nuestro mercado actuarán de forma leal y conforme a las reglas y al decoro.
Incluso aunque la competencia sea justa y legal, nunca debemos bajar la guardia ante
filtraciones de información que puedan perjudicarnos frente a nuestros competidores. Por
último, están las ciberamenazas y los cibercriminales.

Los riesgos de esta naturaleza pueden materializarse de múltiples formas, pero

mantendremos en este grupo a cualquier ataque deliberado cuya consecuencia sea la
corrupción de los sistemas informáticos o de la propia información que procesan o
almacenan y que cuya herramienta fundamental suele ser el software malicioso o
"malware". Estas amenazas pueden ser a su vez específicas o aleatorias.
Las ciberamenazas específicas son aquellas en las que nosotros o nuestra empresa somos el
objetivo concreto del atacante, es decir, una persona o grupo de personas que sabe
perfectamente a quién ataca y qué es lo que quiere conseguir con ese ataque. Las
ciberamenazas aleatorias son aquellas que se dirigen a múltiples destinatarios con la
esperanza de que sucumban cuantos más mejor. En este caso, al ciberdelincuente no le
importa qué empresa somos, sino que podemos llegar a aportarle algo como por ejemplo
una computadora más para su "botnet". Los ciberactivistas son un tipo específico de
ciberamenaza que, aunque emplean los mismos medios que un ladrón de información o un
saboteador, tienen unos objetivos muy distintos y los daños que pueden llegar a costar son
muy severos. Si la actividad de nuestra empresa está sujeta a cualquier tipo de controversia
política, religiosa, ética, ecologista o similar, es posible que tarde o temprano nos
encontremos con activistas a los que no les agrade y reaccionen agresivamente contra
nosotros. Por eso debemos recordar siempre estas cuatro naturalezas de riesgo: natural,
personal, competencia y ciberamenazas.

Definiciones de riesgos de seguridad en la empresa

Para hablar con propiedad y que el lenguaje que empleamos en nuestros planes de gestión
de riesgos tenga consistencia, vamos a definir una serie de conceptos que nos permitan
comprender y ser comprendidos. Definimos riesgo como sinónimo de contingencia o
proximidad de un daño, y por tanto una amenaza es cualquier factor de riesgo con
probabilidades reales de materializarse con perjuicio para nuestra empresa. La gestión de
riesgos es el conjunto de planes con los que se pretende anular una amenaza, minimizar la
probabilidad de que se materialice o el procedimiento a seguir en caso de que esto ocurra.
Una vulnerabilidad es cualquier característica, tanto de sistemas como de procedimientos,
que los hace susceptibles a la percepción de un daño o lesión. El impacto es el resultado de
que una amenaza se convierta en un hecho, es decir, es el valor cualitativo y cuantitativo
del conjunto de daños causados por el perjuicio sufrido. La probabilidad es el nivel de
certeza que tenemos de que una amenaza pueda materializarse, siendo 1 o 100 % la
seguridad absoluta de que va a ocurrir y 0 de que jamás ocurrirá. La probabilidad puede ser
variable y siempre dependerá de condiciones tanto internas, que podemos llegar a gestionar,
como externas, en las que difícilmente podremos influir. Así decimos que anulamos una
amenaza cuando hacemos que la probabilidad de que suceda sea cero y decimos que
mitigamos una amenaza cuando reducimos la probabilidad de que suceda pero sin alcanzar
el valor cero. Un plan es un modelo sistemático de actuación diseñado con anterioridad a su
ejecución para dirigir esta de forma controlada. Un plan de contingencia es aquella serie de
pasos diseñados en forma y orden específicos cuyos objetivos son anular o mitigar la
probabilidad de un riesgo y para que en caso de que ocurra su impacto esté controlado. La
actitud ante el riesgo es la forma en que una organización decide afrontar una determinada
amenaza. La actitud de una empresa frente a los riesgos determina si su tendencia será a
correrlos, tolerarlos, retenerlos, compartirlos, reducirlos o evitarlos. Para cada riesgo
individual o grupo de ellos, pueden adoptarse actitudes independientes. Por desgracia, en el
mundo IT los riesgos de actitud de quien no les da importancia es la de correrlos, lo que
suele implicar desastrosas consecuencias. El contexto es el conjunto de condiciones
internas y externas de la empresa en las que nos basamos para detectar y analizar un riesgo,
así como para ejecutar el plan de gestión correspondiente en función del mismo. El análisis
de un riesgo es su estudio preliminar una vez ha sido identificado y sobre lo que nos
basaremos para diseñar el plan de contingencia o respuesta correspondiente. La evaluación
de un riesgo es la comparación entre lo que sabemos de la amenaza al materializarse y el
análisis que habíamos hecho de la misma a la hora de diseñar el plan de gestión. Cuando
hablamos de informática y de ciberamenazas, debemos conocer algunos términos como las
vulnerabilidades, que en informática son fallos de los sistemas que permiten acceso a un
dispositivo de una forma que no es la que fue diseñada para tal fin. Las vulnerabilidades
suelen aprovecharse únicamente para abrir puertas traseras o "backdoors" que den acceso
permanente a los atacantes. Por tanto, la diferencia entre un "backdoor" o puerta trasera y
una vulnerabilidad es la intencionalidad. Ambas dan acceso, pero la vulnerabilidad es un
error, mientras que la puerta trasera es deliberada. Llamamos "malware" a cualquier
software ejecutado en un dispositivo sin el consentimiento de su propietario con el objetivo
de causar algún daño a la información o al propio dispositivo. Dentro del "malware"
podemos encontrar diferentes tipos, entre los que se incluyen virus, gusanos, "scareware",
"spyware", troyanos, "rootkits", "adware" y más.

Los virus y gusanos son "malware" caracterizado por su objetivo de propagarse e infectar
tantos dispositivos como sea posible. En muchas ocasiones buscan la acumulación masiva
de cierto tipo de datos y en otras, la creación de "botnets" o redes de ordenadores zombis.
El "spyware" y los troyanos, que son casi lo mismo, se enfocan en la vigilancia y robo de
información de la computadora infectada, pero no se propagan. El "adware" está destinado
a insertar publicidad generando beneficios a empresas de marketing fraudulentas. El
"scareware" está orientado a la ingeniería social. Con la intención de liberarnos de ese
"scareware", se nos ofrece una solución milagrosa que en realidad es un "malware" mucho
peor. Las "botnets" son redes de computadoras que, además de hacer el trabajo para el que
las usa su legítimo propietario, dejan una parte de sus recursos al servicio de un
ciberdelincuente. Pueden emplearse para distribuir "spam", para realizar ataques de
denegación de servicio o para hacer minería de criptodivisas. Hay muchísima más
terminología digna de ser definida por su importancia en cuanto a seguridad y gestión de
riesgos, pero con estas bases de momento tenemos más que suficiente.

Es inevitable: vas a ser hackeado

Dicen que hay dos tipos de motoristas: los que se han caído y los que se van a caer. En el
mundo de la seguridad informática, han llevado este dicho un poco más allá para reflejar
una realidad mucho más dura. Hay dos tipos de empresa: las que han sido "hackeadas" y las
que aún no saben que han sido "hackeadas". Pero para comprender esto tenemos que
entender qué es un "hackeo". Un "hacker", según su definición canónica del inglés, es un
corte o un tajo.

Si vamos un poco más allá, en lenguaje común puede entenderse como tener éxito al lidiar
con un problema y es así como se definen los hackers, como personas que intentan resolver
problemas de formas alternativas o problemas que no son tales, aunque sí suponen retos
para ellos. El problema es que esta motivación de autosuperación, del reto autoimpuesto
para ser mejor deriva o se entremezcla en algunos casos con actividades poco éticas si no
del todo ilegales y son estas situaciones las que dan mala fama a la palabra "hacking".
Mucho peor lo ponemos al hablar en español, ya que con demasiada libertad traducimos
muchas veces "hacking" como piratería. Cierto es que la cultura "hacker" nació con ese
halo romántico, libertario de los piratas del siglo XVIII que vivían al margen del
pensamiento estructurado y legislado de sus estados. Pero eso no significa que todos los
"hackers" sean piratas perversos, violentos y amigos de lo ajeno, aunque por supuesto los
hay. La tecnología telefónica fue el primer campo de actuación de los "hackers", eran los
conocidos como "phreakers". Su pasión y objetivo era desentrañar el funcionamiento de los
sistemas telefónicos y sobre todo de las estaciones de conmutación automática que fueron
sustituyendo a aquellas trabajadoras que iban moviendo clavijas en un panel para
conectarnos con la persona que nos interesaba. Al desentrañar esos conocimientos, eran
capaces de llamar a cualquier persona en todo el mundo y sin coste alguno. Recordemos
que aún en los años noventa el precio de una llamada telefónica dependía de si era local,
provincial, nacional o internacional, y los precios se incrementaba mucho con cada salto, ya
que intervenían más y más centrales de conmutación. Con la llegada de la informática y
sobre todo con Internet, surgieron los que hoy conocemos como "hackers". Al principio
eran una evolución de los "phreakers" que intentaban acceder a las redes telemáticas
universitarias o bancarias, las protoredes sobre las que se empezó a construir Internet. Con
el tiempo evolucionaron para simplemente acceder cada vez a más información, para evitar
filtros y censuras, para saber antes que los demás. El clásico por todos conocidos es el
protagonista de la película WarGames, cuya única motivación era jugar a un videojuego
antes de que saliese al mercado. Al igual que ese personaje de ficción los "hackers"
primigenios querían acceder a información, saber más que los demás y hacerlo de forma
subversiva fuera de los canales habituales, demostrándose a sí mismos y a otros que podían
llegar a esa información. Pero eso resultó poco para algunos, las sombras de la personalidad
de algunos individuos tarde o temprano afloran y poder acceder a información ajena es una
oportunidad de negocio muy suculenta. Por eso ha habido muchos "hackers" que han sido
estafadores, chantajistas, mercenarios de otras organizaciones criminales y más. Aunque de
forma un poco burda, clasificaremos a los "hackers" dedicados al crimen como "black hat"
o de sombrero negro, mientras que los "hackers" buenos son los llamados "white hat" o
sombrero blanco. De todos modos debemos protegernos de ambos. De los "black hat"
debemos defendernos porque van a querer perjudicarnos, ya sea con sabotajes, secuestros
de información o vendiendo nuestra información o la de nuestros clientes al mejor postor.
El peligro de los "white hat" es distinto, pero igualmente importante. Por un lado, si
acceden a nuestros sistemas, pueden, sin quererlo, causar daños o dejar puertas traseras
olvidadas que un cibercriminal podría aprovechar. Y por otro, si su ataque tiene éxito,
podría hacerlo público para obligarnos a solucionar el problema. Aunque esto no parece
malo "per se", en el proceso habremos perdido reputación pública con respecto al cuidado
que ponemos en nuestra propia infraestructura. En 2014, el reporte de ciberataques a nivel
mundial fue de más de 50 millones, casi el doble que en 2013 y no ha dejado de crecer
desde que se fabricó la primera computadora. Los costes para las empresas que sufrieron
dichos ataques supusieron más de 500.000 millones de dólares y la exposición de más de
100 millones de identidades "online". Según el Cisco Security Report de 2014, en el 100 %
de las compañías que analizaron encontraron sistemas infectados con algún tipo de
"malware", y por si eso no fuese suficientemente aterrador, debemos saber que el tiempo
promedio que se tardaba en detectar un ataque en 2015 era de cinco meses. Así que jamás
debemos considerar que estamos 100 % seguros frente a las ciberamenazas, porque quizás
ya hemos sido "hackeados" o peor, quizás el "hackeo" que podemos estar sufriendo ahora
mismo empezó hace semanas o meses y seguimos siendo víctimas inconscientes.
Gestión ad-hoc, nada de improvisaciones

Para colgar un estante en la pared perfectamente horizontal, utilizaremos un nivel, una regla
y un marcador para indicar los puntos en los que debemos taladrar. De esta forma, cuando
montemos el estante, las probabilidades de que quede torcido serán mínimas, muy al
contrario de lo que ocurriría si agarramos el taladro y perforamos de forma improvisada. Si
nos dedicamos profesionalmente a poner estantes, ya dispondremos de la regla, el lápiz, el
nivel y el taladro en nuestra caja de herramientas, así como de las brocas y tacos de
distintos calibres. La improvisación no es una solución. En la cultura latina y en particular
en la hispana, nos vanagloriamos de nuestra alta capacidad de improvisación frente a las
culturas germánicas y nórdicas, pero eso también implica un alto nivel de estrés. Todo
aquello para lo que no estamos preparados nos sorprende y cuando las sorpresas son
negativas nos estresan.

El estrés, sobre todo en forma de miedo ante un problema, puede producir efectos muy
distintos en la gente, pero hay una serie de reacciones primarias que se dan casi siempre.
Nos paralizamos y somos incapaces de reaccionar. En este caso la amenaza nos golpeará
con toda su fuerza. Huimos, salimos corriendo lejos del peligro y dejamos que haga lo que
tenga que hacer, preferimos no mirar atrás porque nos aterra enfrentarnos al problema. Nos
enfrentamos al peligro. Esta es la opción más valiente, pero hay que prepararse, porque
como se suele decir: de héroes está lleno el cementerio. Cuando decimos que algo es "ad
hoc"
queremos decir que está explícitamente diseñado o planeado para un contexto y un fin
determinados. Por ejemplo, vamos a colgar el estante y sabemos de antemano qué tipo de
pared tendremos que taladrar, el calibre del tornillo para elegir los tacos, el número de
tornillos que necesitaremos, etc. Sabiéndolo todo, nos presentaremos en casa del cliente con
el material justo que necesitamos, en tipo y cantidad. En el caso de los problemas, los
riesgos, las amenazas, parece que la gestión "ad hoc" sería ideal: soluciones
específicamente diseñadas para situaciones muy concretas. Pero, ¿cómo podríamos diseñar
soluciones "ad hoc" a problemas que aún no tenemos?

Improvisando o entrando en fase de planificación. Si en este preciso instante tenemos un

problema y no tenemos ningún plan prediseñado en el que encaje dicho problema, nos
veremos obligados a detener cualquier otra actividad que estemos llevando a cabo, y si no
nos paralizamos ni huimos, deberemos tomar una decisión. Improvisamos con la esperanza
de que la suerte guíe nuestras acciones para que la solución al problema sea buena o
simplemente nos paramos a observar el problema y planificamos un procedimiento
mediante el cual solventarlo. Creo que es obvio para todos que la improvisación no es una
metodología óptima ni próxima a serlo. Inmersos en el problema, nunca vamos a tener
perspectiva suficiente para apreciar todos sus matices y la técnica de ensayo-error puede
llevarnos a agravar el problema en lugar de mitigarlo o solucionarlo. La solución "ad hoc",
la ideal para el problema concreto, es obviamente óptima, pero implica paralizar cualquier
otra actividad que estuviésemos atendiendo.

Además, al tener que preparar la solución a medida en el preciso momento posterior al

descubrimiento del problema, nuestra mente va a estar sometida a un alto nivel de estrés, ya
que al descubrir el problema, automáticamente estaremos pensando también en el alcance
de los daños. Los planes de gestión o protocolos diseñados como previsión ante distintas
contingencias eliminan gran cantidad de estrés en la gestión de estas situaciones. Los planes
preestablecidos no son soluciones óptimas, porque cuando los diseñamos no disponemos de
absolutamente todos los datos del problema y su contexto, pero todas las consideraciones
que sí pudimos adelantar serán cosas en las que no tendremos que pensar para enfrentarnos
al problema. Por tanto, cuando una amenaza se materializa podemos improvisar y practicar
el ensayo-error. De este modo estaremos dejando gran parte de nuestras posibilidades de
éxito en manos de la fortuna. Si queremos diseñar una solución "ad hoc", deberemos entrar
en un estado completo de inmovilismo, tanto en el plano productivo normal como en el de
la solución del problema, para poder dedicarnos al análisis. Recogidos los datos,
desarrollaremos el plan y por último lo ejecutaremos. Todo esto considerando que el
problema y el contexto no cambian, lo cual dificultaría aún más las cosas. Ante el
acontecimiento de un problema,
tomaremos el plan de gestión que más se ajuste a la situación y seguiremos el
procedimiento indicado. Así automatizaremos muchas de las acciones a realizar dejando la
mente disponible para evaluar y considerar cualquier matiz o detalle que nos permita hacer
que ese plan genérico se parezca lo más posible a un plan "ad hoc". No podemos hacer un
plan a medida para cada problema singular, pero si podemos desarrollar protocolos en los
que incluiremos procedimientos con los que enfrentarnos a distintas categorías de
problemas. Así no entraremos en pánico y dispondremos de todos nuestros recursos para
alcanzar soluciones óptimas partiendo de procedimientos preestablecidos. Además,
finalizado el proceso, podremos retroalimentar el plan original con la nueva experiencia
adquirida.

2. Fases de la gestión de riesgos en la empresa.

Alcance del plan contra los riesgos de seguridad

Para afrontar el diseño de un plan de gestión de riesgos, debemos abordarlo en seis fases
distintas:

alcance, identificación de riesgos, evaluación de riesgos, desarrollo de procedimientos,

ejecución de los planes y evaluación. La primera de estas fases es el alcance, que utiliza el
término anglosajón "scope". Es el tema del que trataremos en esta parte del curso, que
podemos resumir muy someramente en una pregunta muy sencilla: ¿qué es lo que
queremos conseguir? El primer contexto en el que tenemos que hacernos esta pregunta
debe ser el de las categorías de riesgos que queremos gestionar. No es lo mismo un plan de
gestión de riesgos orientado a evitar pérdidas de procesos de inversión financiera que a
contrarrestar problemas o ataques informáticos. Son campos tan distintos que debemos
establecer protocolos de gestión de riesgos distintos. Dada la orientación a la seguridad de
este curso, el primer hito de nuestro plan de gestión de riesgos será lo que pueda definirse
como seguridad. Una vez hecha esta primera decisión sobre el alcance del plan, deberemos
definir qué es la seguridad para nuestra empresa, si la consideramos como un todo o si la
fraccionaremos en distintas áreas con planes de gestión independientes. Por ejemplo, tener
seguridad informática para evitar ciberamenazas en nuestra infraestructura IT, seguridad
contra robo de material de nuestros almacenes o tiendas o seguridad laboral si por ejemplo
nosotros o nuestros trabajadores desempeñamos nuestras tareas en situaciones de riesgo.

Según cómo nos planteemos el alcance, podemos hacer un único plan de gestión con
múltiples capítulos y protocolos dependiendo del tipo de seguridad y amenaza o podemos
hacer planes independientes cuyos responsables desarrollarán, gestionarán y aplicarán de
forma independiente.
Como decía mi abuelo: "Zapatero, a tus zapatos". Así que no metamos a la gente de IT en
riesgos laborales ni viceversa. Siempre será más preciso el trabajo si cada uno se ocupa de
gestionar los riesgos que le competen, y en nuestro caso vamos a aproximarnos a la
infraestructura informática. Por tanto, ya hemos hecho dos reducciones. Desde las infinitas
posibilidades, hemos escogido la seguridad, y de entre sus ramas, hemos decidido que
trabajaremos en la seguridad de la información y de los medios técnicos empleados para
transmitirla, almacenarla y procesarla. Con estas dos acotaciones hemos hecho un gran
avance en la construcción de los límites de nuestro plan de gestión y podemos pasar a
definir una serie de objetivos concretos. La infraestructura informática y de comunicaciones
debe estar disponible y plenamente operativa el mayor tiempo posible para ser aprovechada
para las tareas que lo requieran.

No queremos bajo ninguna circunstancia perder la información que transmitimos,

procesamos o almacenamos. Queremos impedir los robos o exfiltraciones de información y
si ocurre o se intenta, identificar rápidamente a los autores. A grandes rasgos y
ajustándonos a la definición de lo que significa gestión de riesgos, nuestra meta será anular,
mitigar o contrarrestar las amenazas que puedan afectarnos en cada uno de los objetivos
expuestos.

La anulación de amenazas es una meta que poco tiene que discutir, el objetivo será hacer
que la probabilidad de que ocurra sea igual a cero. Cuando hablamos de mitigar, tenemos
que definir cuáles son los márgenes que estamos dispuestos a permitir, qué nivel de
probabilidad de que ocurra es aceptable. Contrarrestar las amenazas o responder ante ellas
es quizá lo más complicado de evaluar. El alcance en este caso supondrá establecer un
límite máximo de daño asumible, de forma que nuestros planes estén orientados a que
ninguna amenaza supere dicho límite y a los procedimientos para recuperarnos si los daños
exceden el margen asumido. Obviamente, para medir los daños que mitigamos o
contrastamos habrá que establecer criterios de medida y de objetivo. Por ejemplo, en una
tienda "online" que necesite vender 100 euros al día para que la empresa sea viable, nuestro
nivel de daño crítico será aquel que impida alcanzar esa cifra. Si nuestros sistemas fallasen
sin posibilidad de recuperarnos, por ejemplo por culpa de un virus o de un ataque de
denegación de servicio durante 24 horas, resultaría imposible que ese día alcanzásemos la
facturación mínima necesaria, lo que implicaría un sobresfuerzo "a posteriori" para mitigar
el daño causado por esa perdida de servicio. Pero los objetivos del plan de gestión de
riesgos del departamento de IT no pueden medirse por la facturación obtenida a través de la
web, aunque esta dependa de ellos. El departamento de IT no puede influir en las ventas
pero sí en la disponibilidad de la tienda, por lo que su objetivo debería ser que,
independientemente de los riesgos, la tienda "online" esté disponible al público por ejemplo
un 99,99 % del tiempo al cabo de un año. Esto implica que si solo fallase una vez al año,
esa indisposición debería durar menos de 52 minutos y 34 segundos. Este ejemplo sería el
de un objetivo muy específico que podemos plantear en un plan de gestión de riesgos y que,
como podemos ver, es independiente del riesgo en sí.

Identificación de riesgos de seguridad en la empresa

Para poder poner solución a un problema, lo primero que tenemos que hacer es saber que
ese problema existe. Y para desarrollar un plan de gestión de riesgos debemos saber no ya
los problemas que tenemos, sino cuáles podemos llegar a tener. La identificación de riesgos
es a grandes rasgos hacer una serie de listas de contingencias que pueden llegar a afectar a
nuestra empresa. Para poder hacer estas listas y no olvidarnos de nada, debemos identificar
por qué cosas pueden verse afectadas por distintos tipos de problemas.
Centrándonos como de costumbre en el área de IT, podemos detectar riesgos específicos
asociados a las siguientes cuestiones. El hardware, en el que se incluye todo el parque
informático, desde las computadoras de los trabajadores a los servidores pasando por
dispositivos de red, sistemas de almacenamiento, etc. Todos estos equipos pueden dañarse
por accidentes, por el paso del tiempo o por sabotajes, pero los necesitamos para trabajar y
para conservar y proteger la información de la empresa. El software. Este grupo se
compone de los sistemas operativos de cada computadora y servidor,

las aplicaciones y servicios instaladas en los mismos y, no menos importante, el

"firmware" o sistema operativo, según el caso, de los dispositivos de red. Este es el grupo
de riesgo más susceptible al "hacking" tal y como generalmente se conoce, pues son estas
las herramientas que usamos para acceder, transmitir y procesar la información, por lo que
debemos tener mucho cuidado. La telefonía fija. En muchas empresas se utilizan sistemas
de centralitas y generalmente estos dispositivos son ya todos digitales. Al fin y al cabo son
un ordenador por el que pasa todo nuestro tráfico telefónico. La telefonía móvil. Los
"smartphones" son dispositivos realmente potentes y con gran capacidad de almacenar y
transmitir información que llevamos a todas partes con nosotros. Pueden ser robados,
"hackeados", espiados y más.
No podemos olvidarnos de tantos otros elementos como sistemas domóticos, fax –porque
todavía se siguen usando–, fotocopiadoras, escáneres e impresoras de red redes de
videovigilancia, controles de accesos y un largo etcétera. Fuera del ámbito más tecnológico
pero íntimamente relacionado debemos tener precaución con cualquier tipo de información
de o para nuestra empresa, sea cual sea su soporte. Debemos pensar por ejemplo que gran
parte de los documentos en papel de la correspondencia, fotocopias, contratos, etcétera
puede proporcionar información sensible a quien la busque. Además esa información puede
ser de tipo técnico, generando así riesgos en las áreas de IT antes mencionadas. Hay casos
reales, sobre todo en el pasado, de empresas que recibían renovaciones de contraseñas por
correo postal. En algunos casos estas cartas eran interceptadas con anterioridad y en otros
eran desechadas tras su lectura, quedando en la basura para quien las buscase. Pero
cualquier documento o correspondencia va a incluir información de miembros del personal,
lo que puede abrir vías de investigación a un atacante para descubrir nombres de usuario,
cuentas de correo, etc. Así pues, debemos detectar todas esas potenciales fuentes de
problemas y de qué manera pueden materializarse dichos problemas. De este modo
podemos hacer una lista de riesgos con la cual empezar a trabajar. Pongamos algunos
ejemplos de riesgos comunes que pueden afectar prácticamente a cualquier empresa:

accidentes como una inundación, un incendio, un derrumbe o cualquier tipo de desgracia

similar. Los accidentes pueden destruir tanto hardware como documentación en formato
analógico, por lo que pueden ser muy peligros. Las averías son un grave problema que
muchas veces se olvida en favor de problemas más grandilocuentes, pero los discos duros
se rompen, las líneas telefónicas fallan, el proveedor de acceso a Internet puede fallar y
tantos otros problemas normales y comunes como no cambiar la hora del reloj de un
sistema de control de accesos o situaciones similares. Las ciberamenazas son el riesgo
clásico de los sistemas, entre ellas debemos considerar tres grandes grupos de estas: el
espionaje, el secuestro de información y el sabotaje. Debemos definir la lista de riesgos
general a este respecto e incluir en ella las contingencias específicas que puedan tener lugar
para que el plan de gestión de riesgos abarque desde una visión panorámica hasta el más
mínimo detalle. El personal y los socios de la empresa pueden sufrir amenazas, chantajes,
sobornos o ser en sí mismos la propia amenaza. También debemos considerar los riesgos
intrínsecos a las personas. A la hora de concretar la lista de riesgos que pueden incidir en
nuestra empresa, nunca debemos olvidar todos aquellos que pueden afectar a nuestros
colaboradores, socios o proveedores. Por ejemplo, que la empresa que nos proporcione
servicio de "hosting" en el que alojamos la web de nuestra empresa deje de darnos servicio
es un riesgo para nosotros, pero que les roben la información que alojamos en sus
servidores es otro riesgo añadido. Lo más importante es que en esta fase nos dediquemos
únicamente a confeccionar listas con esos riesgos, sin importar si son o no importantes,
ignorando si son probables o no. El objetivo es detectar todos y cada uno de los riesgos
posibles. Luego ya tendremos tiempo para ordenarlos.

Evaluación de riesgos de seguridad en la empresa

Evaluar es calcular el valor de algo, y en la tercera fase del desarrollo de un plan de gestión
de riesgos el valor hace referencia a la importancia del riesgo en sí mismo. Para poder
valorar algo hay que establecer primero qué criterios podemos medir y cómo vamos a
medirlos. En gestión de riesgos, el primer criterio de medida es la probabilidad de que
dicho riesgo se haga realidad. Por ejemplo, ¿cuál es la probabilidad de recibir "phishing" en
el correo electrónico? ¿Qué probabilidad tenemos de que un disco duro deje de funcionar?

¿Es probable que un virus infecte a alguna de nuestras computadoras? Para todos y cada
uno de los riesgos que hemos identificado en la segunda fase debemos hacer esa pregunta:
¿qué probabilidades hay de que esto suceda? Y en ocasiones debemos añadir una pregunta
complementaria: ¿cuándo o cada cuánto va a ocurrir esto? Por ejemplo, podemos
preguntarnos qué probabilidad tenemos de que el servidor en el que recibimos información
técnica de sensores de radiación solar sufra un ataque de denegación de servicio o DDOS o
qué probabilidad existe de que alguien intente acceder al panel de control de nuestra web.
En el primer caso la probabilidad será probablemente baja, mientras que la probabilidad de
intentos de acceso ilícito a la web será alta. Dado que ante riesgos como recibir correo
electrónico fraudulento con "malware" o a la rotura de un disco duro, la probabilidad será
del 100 %, debemos hacernos una pregunta complementaria: ¿cada cuánto recibiré ese tipo
de e-mails? ¿Cuándo va a romperse el disco duro? La probabilidad no es algo que podamos
medir siempre de forma exacta, dado que los riesgos que no son certezas absolutas son más
difíciles de calcular si no tenemos una gran base de datos estadística. Pero podemos hacer
la siguiente aproximación, para describir los riesgos en función de su probabilidad y
recurrencia.

Remoto: para riesgos con probabilidad entre el 0 y el 20 %. Improbable: cuando está entre
el 20 y el 40. Ocasional: cuando deja de ser raro, oscilando entre el 40 y el 60 % de
probabilidad. Son riesgos probables los que ocurren con normalidad y alcanzan hasta el 80
%. Y los riesgos frecuentes son aquellos con más de un 80 % de probabilidad de suceder.
Dentro de estos, tenemos los de probabilidad de valor 1 o inevitables. Pero la probabilidad
no es suficiente para evaluar riesgos, no podemos decir que es más peligroso o perjudicial
por ser más frecuente o probable. Por eso evaluamos los riesgos en dos dimensiones y si
uno de los ejes es la probabilidad, el otro será la gravedad o el impacto.

La gravedad es la valoración, ya sea cualitativa o cuantitativa, del daño producido por uno
de esos problemas que incluimos en nuestro índice de riesgos. Los daños pueden medirse
de forma cuantitativa cuando calculamos el coste económico de reemplazar un disco duro
dañado, cuando contabilizamos las horas de trabajo extra que supondría volver a fabricar
una serie de productos que nos han robado del almacén, el número de visitas que ha perdido
nuestra tienda "online" mientras la reparábamos tras un "hackeo" deliberado; estos son
todos ellos valores cuantitativos. Cualitativamente hablando, podemos considerar el
esfuerzo, lo imaginativo, la reputación, la moral, etc. No se trata de medir horas, sino el
proceso mental e imaginativo cuyos resultados hemos perdido cuando un "ransomware" o
un "malware" que codifica nuestros archivos y exige dinero para desencriptarlos ha cifrado
los capítulos que llevábamos escritos de nuestro próximo libro, el código de la nueva App o
cualquier otra cosa similar. Cualitativo es el daño para la reputación que supone decir a
nuestros clientes que alguien ha robado de nuestras bases de datos la información de sus
tarjetas de crédito y que deberían darlas de baja y volver a activarlas en nuestra plataforma,
si es que quieren seguir siendo nuestros clientes. Como podéis ver, según el riesgo
concreto, pesará más lo cualitativo o cuantitativo y podríamos ponderar la suma de ambos
factores para obtener el resultado de la gravedad del daño total que nos produciría. Si al
igual que en la probabilidad dividimos el impacto en cinco niveles, tendremos una escala
que empieza por muy bajo impacto,

bajo, medio, alto y por último impacto extremo. Si representamos ambos ejes en una
gráfica, podemos combinar ambos factores para identificar los riesgos como tolerables,
bajos, medios, altos o intolerables. De esta forma, teniendo la lista de potenciales riesgos y
su evaluación por importancia, podemos iniciar el trabajo de desarrollo y ejecución de los
planes pertinentes empezando por los riesgos intolerables y descendiendo por la escala de
valor.
Aunque los riesgos de nivel más bajo los clasifiquemos como tolerables, no debemos
olvidarnos de gestionarlos. Pensemos que muchos problemas tolerables pueden llegar a
causar un gran problema acumulado. Así que, aunque empecemos por los riesgos con valor
más alto, siempre tenemos que reservar una parte del tiempo y de los recursos para ir
ocupándonos de los riesgos más tolerables. Así evitaremos la arriesgada acumulación de
pequeños problemas que puede llegar a convertirse en un riesgo no previsto de categoría
superior.

Qué hacer cuando has evaluado los riesgos

Ya sabemos que la gestión de riesgos se trata de un proceso circular, no rectilíneo. Y

habiendo completado las tres primeras etapas de la vuelta al calcular el alcance de nuestros
sistema de gestión de riesgos, haber indexado las potenciales contingencias y tras haber
evaluado su importancia, podemos dar inicio a la cuarta fase, que es el desarrollo de planes
específicos.
Lo primero es tener siempre en mente que debemos empezar a planificar cómo enfrentarnos
a los riesgos intolerables, aquellos que por la gravedad de los daños que pueden provocar y
la alta probabilidad o frecuencia con que pueden suceder son más peligrosos para nuestra
empresa. La forma en la que nos enfrentamos a los riesgos puede categorizarse según
distintos puntos de vista; para cada contingencia debemos escoger el más apropiado, no ya
solo para el riesgo en sí como un ente aislado, sino basándonos también en nuestras
capacidades y circunstancias. Seleccionado el riesgo concreto cuyo plan de gestión vamos a
desarrollar, escogeremos entre dos estrategias fundamentales: estableceremos si nuestro
plan será proactivo o reactivo. De todos modos, lo normal es que un plan conste de una
serie de procedimientos independientes pero complementarios de los cuales unos serán
proactivos y otros reactivos. Los procedimientos eminentemente proactivos,

también llamados preventivos, son los que se ejecutan antes de que se materialice una
amenaza. Su propósito es reducir la probabilidad de que llegue a suceder y si es posible
anular completamente dicha probabilidad. Como no siempre es posible alcanzar la
probabilidad cero, también incluyen acciones o tareas enfocadas a mitigar el impacto del
problema cuando ocurra. De este modo ya tenemos otra clasificación nueva para los
procedimientos de reducción de probabilidad o de mitigación del daño. Los planes
reactivos son, como su propio nombre indica, los que se ejecutan cuando el riesgo ha
dejado de ser tal para convertirse en un problema activo y reaccionamos al mismo. El
propósito fundamental de los planes reactivos es revertir los daños sufridos tanto y tan
rápido como sea posible.

Por lo tanto, los procedimientos reactivos son por lo general de mitigación del daño, aunque
parte de los mismos está orientada a mejorar los procedimientos para futuras ocasiones.
Algunos ejemplos de planes preventivos pueden ser cambiar la contraseña por defecto de
los dispositivos nuevos. Esta medida reduce considerablemente las probabilidades de que
alguien acceda a controlar uno de nuestros equipos.

Instalar un "firewall" para controlar el tráfico de red entrante y saliente, así como para
bloquear el indeseado. De este modo reduciremos la ventana de oportunidad de cualquier
atacante externo que pretende colarse en nuestra web o red interna para exfiltrar
información. Realizar copias de seguridad, que aunque no previenen ni reducen la
probabilidad de los riesgos, mitigan y mucho el impacto de muchos problemas que
podemos tener. Desarrollar una política de asignación mínima de privilegios para que
ningún usuario acceda a lo que no debe o necesita. Y algunos ejemplos de planes reactivos
pueden ser:

restaurar una copia de seguridad, lo que nos devuelve a un estado previo con una pérdida
mínima de trabajo; revisar los registros de red y de computadoras para identificar el origen
y destino de la información robada por un troyano, además de poder tomar las medidas
necesarias al respecto; ajustar y ejecutar un plan de contención prediseñado destinado a
evitar la fuga de clientes en caso de que el problema afectase nuestra reputación. La mayor
parte de los ejemplos que estamos viendo son muy genéricos o no son planes en sí mismos,
son procedimientos o protocolos que formarían parte de un plan mayor. Debemos tener en
cuenta que los planes se componen de procedimientos concretos y específicos. La ventaja
de esta estructuración es que podemos encontrarnos que distintos procedimientos o medidas
que adoptamos frente a un determinado riesgo pueden ser útiles también para la gestión de
otros riesgos. De este modo cuando diseñemos planes específicos para riesgos concretos, si
un determinado procedimiento aparece en más de un plan, nos encontramos con múltiples
ventajas. Las ventajas de que un mismo procedimiento de prevención o respuesta a un
riesgo sea aplicable a distintas contingencias supone, para empezar, matar dos pájaros de un
tiro. Y la consecuencia más inmediata de esto es que la implementación de dicho
procedimiento será mucho más rentable, ya que nos ayudará frente a más de un riesgo. La
otra gran ventaja es que el conocimiento que el responsable adquirirá sobre el
procedimiento será mayor, y además la carga de trabajo, menor. El resumen de esta cuarta
etapa es que debemos planificar qué vamos a hacer y cómo lo vamos a hacer respecto a
cada riesgo que vayamos indexando y evaluando en las etapas anteriores. Estos
procedimientos independientes compondrán un plan específico para una amenaza concreta
y al compilarlos junto con el resto de planes, tendremos un plan global de gestión de
riesgos para un área determinada como, por ejemplo, la de informática.

Ejecutar el plan contra los riesgos de seguridad

La quinta etapa de las seis que conforman un plan integral de gestión de riesgos es la
ejecución de los procedimientos y planes diseñados en la cuarta etapa. Para anular o mitigar
las probabilidades de que un riesgo tenga lugar o para contrarrestar los daños que
lleguemos a sufrir, serán múltiples las amenazas que deberemos evitar o contrarrestar según
la lista que hicimos en la segunda etapa, y para cada una de ellas, en función de su
probabilidad y gravedad, habremos definido una serie de medidas.

Esas medidas deben haber sido perfectamente documentadas y asignadas a una persona o
departamento responsables de su aplicación. Estos planes no solo indicarán qué hacer y
quién lo hará, sino que detallarán tanto como les sea posible y razonable el modo y los
tiempos de activación, respuesta y ejecución de cada acción. De este modo, cuando los
pongamos en práctica tendremos que centrarnos en la ejecución de tareas específicas y no
en tener que andar rehaciendo trabajos de planificación. Durante las primeras integraciones
del circuito de gestión de riesgos, tendremos la tentación de modificar lo que hemos
planeado antes de ponerlo en práctica, pero no debemos hacerlo a no ser que se detecte un
error flagrante en el plan.

Recordemos que el procedimiento es cíclico, así que tendremos que volver a las etapas
anteriores, lo cual implicará volver a planificar y de ese modo podremos solventar las
deficiencias que detectemos durante la ejecución del plan, tal y como estaba anteriormente
concebido. Además, a la hora de ejecutar los planes, podemos agrupar las acciones por
contextos de forma que procedimientos de planes específicos para riesgos concretos podrán
ejecutarse de forma paralela. Veámoslo con algún ejemplo. Si alguno de los riesgos a evitar
es que capturen el tráfico de nuestros clientes mientras navegan en nuestra web, uno de los
planes a ejecutar puede ser la implementación de navegación segura mediante SSL, que es
el protocolo de cifrado de comunicaciones extremo a extremo empleado entre otras cosas
para que el tráfico de datos que intercambian un servidor web y nuestro navegador sean
privados.

Otro riesgo potencial es que nuestros empleados utilicen las computadoras y la red de la
empresa para descargar contenido ilícito o peligroso mediante aplicaciones de gestión de
descargas de archivos P2P o peor, para filtrar información. Para impedirlo debemos
establecer protocolos de asignación de privilegios a las cuentas de usuario, monitorizar el
tráfico de red y bloquear el tráfico no esencial. Ambos planes se ocupan de riesgos muy
distintos y tienen sus propios procedimientos, pero en ambos tendremos que trabajar con el
"firewall", que se convertirá en un contexto común. Para la implementación de SSL y
entendiendo que en el ejemplo tenemos al servidor web en nuestra propia red, deberemos
hacer que el "firewall" redirija el tráfico entrante por los puertos TCP 80 y 443 a nuestro
servidor web. También en el "firewall" debemos bloquear todo el tráfico relacionado con
los puertos empleados para el intercambio de archivos en plataformas P2P, generalmente
desde el TCP 6.881 al 6.889. Si el "firewall" lo permite, podrá realizar además tareas de
"login" o guardado de información del tráfico de red para que en caso de que se detecte
actividad inusual, podamos identificar el origen o destino de la misma dentro de la red.
Acometer de una vez todas las tareas relativas a un contexto concreto como puede ser el
"firewall" nos permite optimizar el trabajo de ejecución del plan global de seguridad. Así
pues, una vez que tengamos los planes, debemos contextualizar las tareas específicas de
forma que conozcamos los puntos de convergencia. De esta forma obtendremos un mayor
rendimiento en su implementación y una compensación más notoria de los costes que
puedan implicar cada uno de los procedimientos. Un ejemplo muy comprensible de
procedimientos convergentes entre múltiples planes frente a distintos tipos de riesgo es el
de las copias de seguridad. Este recurso formará parte de planes contra riesgos como la
rotura de disco duro, la infección de un equipo por "ransomware", fallos en el servicio de
alojamiento o servidores de una web y un largo etcétera. Toda la ejecución de los planes y
de sus procedimientos independientes tiene que ir acompañada de toma de notas y
documentación exhaustivas. Esta información será vital por dos motivos: si documentamos
todos los procedimientos a modo de guías o protocolos a seguir, no habrá que reaprender
cómo ejecutarlos, y en caso de que una nueva persona deba acometerlos, tendrá disponible
una guía paso a paso, reduciendo así el tiempo de aprendizaje y optimizando sus horas de
trabajo.
 El segundo motivo, no menos importante, es alimentar con información la que será la sexta
etapa del ciclo de gestión de riesgos. En resumen, una vez definidos los planes
independientes asignados a cada riesgo,

debemos buscar sus contextos comunes para poder ejecutarlos de forma eficiente con el
mayor rendimiento laboral y económico de cuánto vamos a invertir en seguridad. Nunca
debemos olvidarnos de documentar cómo ejecutamos cada procedimiento y las
herramientas usadas, así como el resultado de la aplicación de dicho procedimiento y sus
consecuencias inmediatas.

Evaluar los resultados de nuestro plan de seguridad

Nuestra empresa está pensada para funcionar a largo plazo, para producir beneficios tanto
para nuestros clientes, mediante nuestros productos o servicios, como económicos e incluso
de realización personal para nosotros mismos. Cuando fundamos nuestro negocio tenemos
claro que tendremos que ir acomodándonos a los cambios. A diario cambia el contexto en
el que trabajamos, cambia la sociedad, la legislación, la competencia, la tecnología,
nuestros clientes y nosotros debemos cambiar y adaptarnos.
Lo peor de todo es que entre todos esos cambios o junto a ellos aparecen nuevas amenazas
o se renuevan las ya existentes. Obviamente un virus informático que afectaba a MS-DOS
en los años 80 no va a afectar a Windows 10, pero eso no significa que no hayan aparecido
miles de nuevas aplicaciones maliciosas que sí nos pueden causar problemas. Por eso
decimos que la gestión de riesgos es un procedimiento cíclico y por eso la sexta etapa, la
que nos lleva de vuelta al principio, es la de recogida y evaluación de datos.

Nada más empezar planteamos un alcance, luego identificamos y evaluamos una serie de
riesgos y desarrollamos planes específicos que posteriormente ejecutamos. Pero no
podemos evolucionar si durante la ejecución de los planes y con posterioridad a dicha
ejecución no recogemos nueva información. Por ejemplo, podemos tener el problema de
que a diario intentan acceder varias veces al panel de control del CMS de nuestra web.
Como sabemos que la mayor parte de esos intentos las realizan arañas que exploran las
webs, nos bastará con cambiar la URL por defecto que establece el CMS para acceder al
mismo. Aplicada la medida deberemos continuar observando cuán a menudo ese riesgo se
materializa. Quizás hayamos reducido en un 95 % la incidencia al cabo de un mes, por lo
tanto cuando volvamos a evaluar esa contingencia deberemos considerar que no es probable
o frecuente, sino remota o improbable. Pero, por otro lado, el resto de incidencias que
quedan no serán probablemente robots automáticos, sino atacantes que específicamente
intentan acceder al panel de control de nuestra web, por lo que al ser ataques dedicados, no
automatizados, es posible que el daño que puedan llegar a causar sea de un impacto
superior en promedio. Este ejemplo nos muestra muy claramente cómo al interactuar con
los riesgos, los modificamos. Y por eso es tan importante recopilar información tras aplicar
los planes, porque debemos detectar los riesgos que desaparecen y decidir si debemos
seguir teniéndolos en cuenta. Debemos ver qué riesgos se han mitigado lo suficiente en
probabilidad o impacto como para que cambiemos el plan relativo a ellos. También es
importante que en base a nuevos datos detectemos nuevos riesgos que pueden ser
consecuencia de los planes anteriormente ejecutados. De manera muy simple podemos
verlo en el ejemplo del "firewall" que instalamos para mejorar la seguridad de nuestra red.
Instalando y configurando el "firewall" mejoramos la seguridad de la red, pero debemos
incluir medidas de seguridad adicionales para ese nuevo elemento de red y considerar que,
cualquier día, el propio "firewall" puede fallar, en cuyo caso perderíamos la conexión a
Internet, con todo lo que ello implique para nuestro negocio. Por lo tanto el nuevo ciclo de
gestión de riesgos deberá considerar esta nueva contingencia, evaluarla y describir un plan
específico que incluya cuestiones como el cambio de contraseñas del "firewall", hacer una
copia de seguridad de su configuración, tener un "firewall" de respaldo o la posibilidad de
adquirir uno en un tiempo aceptable y cualquier otra opción que se nos ocurra. Cuando
evaluamos los resultados de ejecutar nuestras políticas de seguridad, debemos contemplar
no solo los datos cuantitativos como, por ejemplo, la reducción de intentos de acceso
ilícitos a nuestra web. También debemos considerar el impacto cualitativo que tienen las
nuevas medidas de seguridad en el flujo de trabajo de nuestros empleados y en la
satisfacción de nuestros clientes.

Si obligamos a los trabajadores a usar contraseñas de más de 25 caracteres y de extrema

complejidad no podrán memorizarlas y las apuntarán, esto anula la seguridad frente a
quienes consigan acceso a dichas notas ya sean digitales o en papel. Por otra parte, la
cantidad de errores que podemos cometer al escribir contraseñas tan complejas y largas
hará que la frustración nos reste ganas de trabajar. Lo mismo ocurre con respecto a nuestros
clientes. Nuestras medidas de seguridad no deben ser evaluadas únicamente desde el prisma
de la prevención de riesgos, sino que el impacto de la seguridad aplicada puede redundar en
un exceso de complejidad que desmotive a nuestros clientes para usar nuestros servicios o
comprar nuestros productos. Por lo tanto, nunca debemos dejar de evaluar los resultados de
la aplicación de nuestros planes, debemos observar estos resultados desde el prisma de la
seguridad pero también desde su aplicación en el día a día, desde el de la usabilidad. La
retroalimentación que consigamos se inyectará directamente en las 5 fases del sistema de
gestión de riesgos para la seguridad de la compañía y así conseguiremos mantener un
estado inercial óptimo de evolución controlada.

3. riesgos de seguridad para empresas

ICS y el Internet de las cosas

En nuestro hogar, oficina o empresa, cada vez tenemos más dispositivos conectados,
algunos por placer y comodidad y otros por necesidad. Forman, entre otras cosas, lo que se
ha dado a conocer como el Internet de las cosas (IoT), aunque no es imprescindible para el
tema que nos ocupa que estén conectados a Internet. En el mundo industrial se emplean los
conocidos como

ICS, sistemas de control industrial; y los SCADA, sistemas de control de supervisión y

adquisición de datos. En las oficinas y en el hogar suelen usarse sistemas domóticos o de
los denominados de hogar inteligente. Toda esta tecnología nos facilita mucho las tareas
productivas, por ejemplo, hace innecesario que un operario esté sentado frente a un
manómetro controlando la presión de una válvula, ya que el sistema SCADA transmite esa
información a un centro de control desde donde pueden gestionarse los ICS para aumentar
o reducir la presión cuando corresponda. En casa y en la oficina podemos transmitir el
vídeo de nuestro "smartphone" al televisor, controlar la climatización desde una "tablet" u
observar a través de nuestras cámaras de videovigilancia mediante una computadora en un
cibercafé. Nota: nunca hagamos esto. Todas esas tecnologías suponen un escenario de
riesgo que debemos tener muy en cuenta a la hora de confeccionar el listado de
contingencias en la segunda etapa del plan de riesgos. Gran parte de los riesgos derivados
de esta tecnología se dan por un lado al justificar la falta de seguridad con frases del tipo:
¿a quién va a interesarle controlar mi termostato?, ¿quién va a querer saber el nivel de
llenado de mis tanques de combustible? Pues datos de ese tipo pueden no ser relevantes o
quizás sí. Si un día de frío el termostato indica que la calefacción debe permanecer apagada
es una señal de que no hay nadie en casa, hemos detectado un momento ideal para entrar a
robar. Quizás conocer cuánto combustible tenemos en el tanque que alimenta un generador
en nuestra explotación agrícola parezca insignificante, pero puede indicar a un ladrón
cuándo hay mucho combustible para robarlo o cuándo queda poco y puede saber que
llamaremos al proveedor, a quien podrían robar. El otro gran problema de estos dispositivos
es no haberlos dotado de sistemas de cifrado de comunicaciones, lo que podría facilitar que
alguien que acceda a nuestra red descubra contraseñas. Pero existen casos mucho peores en
los que el propio ICS almacena sin seguridad algunas contraseñas de acceso a redes wifi o a
servidores para transmitir su información. Dado que la seguridad de estos sistemas es a
menudo cuestionable, pueden ser utilizados como primer escalón de entrada a nuestra red y
recursos informáticos. A partir de ellos, un ciber atacante podría acceder a más recursos de
nuestra red generando daños inimaginables. Otro factor a considerar es que muchos
dispositivos, normalmente SCADA y domóticos, pueden almacenar mucha información
como datos históricos de multitud de sensores. Dicha información puede tener un gran
valor y en ocasiones está al alcance de cualquiera que se pare ante un puerto USB de un
SCADA que realiza volcados automáticos de datos sobre las memorias que conectamos. El
problema es que los ICS y los dispositivos conectados que conforman lo que conocemos
como Internet de las cosas está ganando presencia en gran cantidad de sectores, algunos de
ellos críticos. Hoy en día se utilizan sistemas ICS en cualquier proceso de fabricación no
artesanal. Los vehículos profesionales, como camiones y autobuses, pueden llevar sistemas
SCADA integrados para monitorizarlos. Las cámaras de seguridad con conectividad IP de
miles de hogares y comercios están accesibles a través de Internet con la configuración por
defecto. Además, la mayor parte de la industria, hasta hace poco, ni siquiera se planteaba la
necesidad de utilizar comunicaciones cifradas o de almacenar su propia configuración
cifrada. Esto nos ha llevado a la situación actual en la que una ingente cantidad de
dispositivos carecen de sistemas de seguridad, poniendo en grave riesgo empresas o
sistemas industriales completos. Algunos fabricantes empiezan a tomarse la seguridad un
poco más en serio, pero aún quedan decenas de miles de equipos antiguos instalados, sin
contar con que hay fabricantes que para producir más barato olvidan la seguridad. No hace
falta ser muy mal pensado para imaginar la gran cantidad de maldades que alguien podría
cometer si tuviese acceso, por ejemplo, a recursos técnicos de fábricas, hospitales,
aeropuertos, paneles informativos en carreteras. Para comprobar el nivel de inseguridad
existente podemos visitar webs como shodan.io, donde es extremadamente fácil encontrar,
por poner solo un ejemplo, cámaras de videovigilancia conectadas, gran cantidad de ellas
con la contraseña por defecto del fabricante. Todos estos riesgos y los que puedas imaginar
pueden ser explotados por ciberdelincuentes, empleados, activistas o incluso terroristas si tu
empresa pertenece, aunque sea tangencialmente, a un sector crítico como el suministro
eléctrico o de agua potable. Cualquier dispositivo conectado o que almacena información al
que tengamos acceso en nuestra empresa debe estar en un índice, para que sepamos su
situación, configuración, forma de acceso, si está actualizado, si es susceptible a cualquier
tipo de amenazas, etc. Solo tomando conciencia de esto y haciéndoselo entender con igual
contundencia a trabajadores, socios y personal externo, podremos reducir los riesgos que
este tipo de dispositivos representa.

Traer tu propio dispositivo y los riesgos de seguridad

La tecnificación de la sociedad en que vivimos ha influido, como no podía ser de otro

modo, en el mundo empresarial. Hoy en día es normal que cualquier persona tenga
"smartphone", "tablet" e incluso más de una computadora en casa. En muchos casos la
tecnología de nuestro ámbito privado se entremezcla con nuestra vida profesional y
empleamos ese "smartphone" o esa computadora en casa para hacer cosas del trabajo. A
eso es a lo que llamamos BYOD, sobre todo cuando el trabajador traslada ese dispositivo a
su lugar de trabajo y lo convierte en una herramienta productiva más de su día a día. BYOD

es el acrónimo en inglés de "Bring Your Own Device", que en español se traduce como:
trae tu propio dispositivo. Quizás los primeros en practicar BYOD fueron los comerciales
que, desde hace décadas y aún en la actualidad, usan su vehículo privado para visitar a los
clientes. Que los trabajadores aporten la tecnología de su propiedad puede suponer ciertos
beneficios para la empresa: reducción de costes de adquisición y comunicaciones, mayor
productividad del trabajador al usar recursos a los que ya está acostumbrado.
La actualización de la tecnología depende del propio empleado y generalmente es más
frecuente que la que realizan las empresas. Es más probable que el empleado realice trabajo
fuera de las horas laborales, lo cual es beneficioso para la empresa. Pero toda cara tiene su
cruz y también ocurre que es más fácil que el trabajador se distraiga con todo lo que haya
en su dispositivo que no tenga que ver con el trabajo. La integración de los dispositivos de
los empleados con los sistemas de la empresa supondrá una carga de trabajo extra para el
departamento de IT, por la falta de normalización con los dispositivos sancionados por la
empresa. Las distintas situaciones económicas de los empleados o su implicación personal
con la tecnología pueden repercutir en diferencias de productividad. Y lo más importante de
todo, sumamos a los riesgos que la empresa tiene de por sí todos los riesgos que los
trabajadores traigan junto con cada uno de sus dispositivos, tanto por el hardware como por
el software.

El BYOD muchas veces no es algo que la empresa pueda elegir o que fomente,
simplemente ocurre en cuanto un empleado configura el cliente de correo de su
"smartphone" personal para leer y contestar los e-mails del trabajo o cuando se permite que
los empleados utilicen la red inalámbrica de la compañía para acceder a Internet, ahorrando
consumo de datos en sus tarifas privadas. Pero no hace falta centrarse únicamente en los
"smartphones", hace años Windows XP era aún un sistema operativo moderno y
predominaba en el mercado y era extremadamente común la transmisión de virus entre
equipos a través de las memorias USB. Aún hoy en día prácticamente la totalidad de los
trabajadores afirma usar memorias USB propias para cuestiones laborales y, para ponerlo
aún peor, esas memorias suelen ser regalos, "merchandising" o similar, rara vez son
compradas a proveedores de confianza. Hoy día, transmitir "malware" a través de memorias
USB de forma inconsciente es más difícil, pero sí puede ocurrir de forma consciente, o las
mismas memorias pueden usarse para exfiltrar información de la empresa por parte de
empleados o socios desleales. También puede llegar a usarse "smartphones" o
computadoras, propiedad de un empleado, como vectores de acceso a una red empresarial.
Es mucho más probable que un particular no invierta en software de seguridad en su propio
PC, y si el trabajador lo utiliza en la red de la empresa puede actuar como caballo de Troya
para un ciberataque. Y lo mismo puede ocurrir con los teléfonos. El problema inverso es el
de los empleados que acceden a recursos de la empresa desde redes no seguras ni
controladas. La empresa no puede prohibir a un empleado que conecte su "smartphone" a la
red wifi de una cafetería, pero si usa esa conexión para acceder a recursos de la empresa
que no están apropiadamente configurados, podría abrir una brecha en la seguridad, puesto
que su tráfico de datos podría estar siendo monitorizado. Otro riesgo es la destrucción de
datos. Cuando un dispositivo deja de ser útil para la empresa, podemos disponer de un
protocolo de destrucción que garantice que nadie pueda extraer información de él, pero no
podemos destruir el dispositivo de un empleado que compra uno más moderno y vende el
antiguo, quizá sin haberlo borrado. Tampoco podemos obligar a un ex empleado a que nos
permita manipular su dispositivo para borrar información cuando deja la empresa.

Todas estas cuestiones y cualquier otra que se nos pueda ocurrir, como las copias de
seguridad, deben ser tenidas en cuenta antes de permitir que el trabajo y la información de
la empresa se almacene y procese en dispositivos y redes no controladas. Si nuestra
intención es permitir o fomentar el BYOD, debemos confeccionar una política específica de
seguridad e instruir a los empleados en el uso responsable de sus dispositivos.

Seguridad con los terminales de telefonía móvil

La telefonía móvil es una herramienta fundamental de comunicación en nuestros días y ha
superado con creces el concepto de llamada telefónica tradicional. Hoy en día, muchísimas
labores de gestión cotidianas de una empresa pueden llevarse a cabo desde un
"smartphone". Podemos comunicarnos por voz, mensajería o e-mail; podemos realizar
videollamadas o enviar fotografías: podemos escribir documentos, firmarlos, escanearlos;
podemos emitir facturas o incluso realizar pagos y cobros con tarjeta de crédito, pero el
coste de seguridad es elevado.

Los primeros teléfonos móviles carecían de cualquier sistema de seguridad y con el

equipamiento adecuado y la distancia adecuada podía escucharse cualquier conversación en
abierto. Hoy en día eso ya no es tan fácil, pero sigue siendo posible, como se demuestra a
menudo en múltiples conferencias de "hacking". El "smartphone" almacena información de
contacto, documentos, correos electrónicos, fotografías e incluso información sobre salud y
tarjetas de crédito. Cuando esos teléfonos los proporciona la empresa, es común, si no se
han establecido políticas de gestión de dispositivos, que el usuario acabe instalando
aplicaciones de uso personal que pueden ir desde inocentes juegos a aplicaciones
comprometedoras.

También está el camino inverso, el del "Bring Your Own Device", en el que el trabajador
utiliza su teléfono particular para tareas profesionales. Otro de los grandes riesgos de los
teléfonos es que no solo almacenan los datos, la información "per se", también almacenan
las credenciales de acceso a servicios como el e-mail, servicios de sincronización de
archivos, redes sociales, etc. Por tanto, un teléfono en malas manos puede suponer una
filtración de datos personales y profesionales tremendamente grave. Por si esto no fuese
suficiente, las ventajas de la sincronización de información en la nube implican que, si el
"smartphone" de un trabajador ve comprometida su seguridad, el atacante también tendrá
acceso a información de servicios "online" a los que se conecte el teléfono o de datos
almacenados en computadoras con los que se sincroniza el teléfono. También ocurre al
revés: si un atacante obtiene acceso a una computadora, dispondrá de acceso a toda la
información que esté sincronizada con el teléfono a través de estos servicios en la nube o
incluso a la totalidad de la información del teléfono si hay copias de seguridad del mismo
sin cifrar. En estos casos, la computadora comprometida puede ser tanto la del trabajo como
la de casa. La cantidad de riesgos que podemos identificar relacionados con la telefonía
móvil es escalofriante: desde el robo o pérdida de terminales, el "hackeo" de los mismos, el
"hackeo" de ordenadores con los que se sincronicen y hasta espionaje del más alto nivel.
Sin olvidar que los usuarios, por ahorro y comodidad, se conectan a prácticamente a
cualquier red inalámbrica que encuentran abierta, sin meditar ni por un segundo si alguien
puede estar controlando su tráfico.

Cuando nos enfrentamos a este escenario de riesgo, es fundamental que el plan de gestión
de riesgos para la seguridad de nuestra empresa incluya un apartado específico de
formación y concienciación, pero no solo respecto al uso del teléfono de la empresa,
también del particular, porque ya sabemos que cualquier información filtrada, personal o
profesional, puede suponer una brecha en la seguridad de la empresa. Algunos conceptos
básicos a tener en cuenta, tanto en la formación como en la política de seguridad, son:
poner PIN a la tarjeta SIM y al bloqueo del teléfono, mejor si este último es alfanumérico y
no el fácil de cuatro dígitos que podemos descubrir mirando por encima del hombro; el uso
de las huellas dactilares es un plus adicional en cuanto a seguridad si el terminal dispone de
sensor adecuado. Deshabilitar notificaciones y controles con el teléfono bloqueado, es
decir, que no podamos iniciar llamadas, usar controles por voz o ver ni responder
notificaciones sin desbloquear el teléfono. Los teléfonos de empresa, en cuanto sean un
número suficiente, deberían estar gestionados desde una plataforma MDM, gestión de
dispositivos móviles, a cargo del departamento de IT, para que solo dispongan de
aplicaciones autorizadas previo testeo.
 En caso de no poder implementar un MDM, es aconsejable crear un repositorio propio de
aplicaciones validadas y comprobadas desde el que instalarlas, teniendo en cuenta que
nunca deben instalarse aplicaciones que no provengan del desarrollador o de la tienda
oficial. Actualizar aplicaciones y sistema operativo, pero siempre tras la aprobación, previa
prueba, del departamento de IT. Desactivar el acceso a sistemas de localización para toda
aplicación que no sea imprescindible, incluido el propio sistema operativo. Nunca, bajo
ningún concepto, hacer más vulnerables nuestros propios terminales mediante "jailbreak" o
"ruteo". Mantener las interfaces WIFI, Bluetooth y USB desactivadas siempre que no
estemos utilizándolas. Se deben hacer copias de seguridad de todos los teléfonos para
minimizar así los daños en caso de daño, pérdida o robo.

Es muy aconsejable implementar un servicio de acceso a Internet o a la intranet de la

empresa vía VPN, acrónimo de red privada virtual, así se reducen los riesgos de conectarse
a redes inalámbricas no seguras. En resumen, las mejores prácticas son separar los
dispositivos de trabajo y personales, mantener ambos con un alto nivel de seguridad y no
confiar en redes ni software no controlados.
Ataques de denegación de servicio

En la actualidad, gran cantidad de empresas dependen, parcial o totalmente, de ciertos

servicios que funcionan gracias a su conexión a Internet. Hay empresas de venta "online",
empresas de servicios como chats, videollamadas, formación "online", telemedicina,
centrales de alarmas y un muy largo etcétera. Pueden tratarse de servidores propios
instalados en los centros de proceso de datos de nuestras empresas o alquilados a empresas
de alojamiento de servidores, pero tienen una funcionalidad específica de atención al
cliente, de provisión de servicios o como "Front End" de primera línea para recepción o
redistribución de datos. La disponibilidad de estos servidores es esencial para las
compañías, todo negocio cuya actividad o ventas dependa de dichos servidores debe hacer
todo lo posible por mantenerlos disponibles tanto tiempo como sea posible. La denegación
de servicio o sus siglas en inglés DoS, "Denial of Service",

consiste en hacer que un servidor, por saturación de tareas, no pueda cumplir con su
propósito. Y esto no causa únicamente problemas técnicos o económicos, sino que puede
degenerar en graves daños a la reputación de nuestra empresa. La denegación de servicio es
un estado del servidor, no tiene por qué ser un ataque, puede también deberse a lo que se
conoce como morir de éxito. Podemos tener una pequeña web y cuando algo de lo que
publicamos se vuelve viral recibimos tantas solicitudes legítimas que el servidor es incapaz
de procesarlas todas, ni siquiera de ponerlas en cola y acaba totalmente saturado sin atender
las peticiones, es decir, denegando el servicio.

Los ataques suelen denominarse DDoS, "Distributed Denial of Service". Estos son los
ataques intencionados en los que mucha gente realiza solicitudes de conexión a un servidor
sin importar la respuesta. La idea es lanzar tantas solicitudes como sea posible y desechar
las respuestas que pueda dar el servidor para, sumando las peticiones de todos los atacantes,
saturar la conexión o al propio servidor. Los ataques DDoS se realizan a menudo desde
'botnets' o redes de ordenadores o dispositivos controlados desde un servidor central. Es
decir, que un atacante, administrador de una botnet, puede hacer que todas las
computadoras que tiene esclavizadas realicen peticiones al mismo objetivo.

Los dueños de las computadoras de la "botnet" no son conscientes de que su equipo está
participando en un ataque DDoS y además, como las direcciones IP del ataque son todas de
víctimas de la "botnet", es complicado averiguar quién es el autor real del ataque. Los
ataques DDoS son muy comunes en acciones de protesta y de "hacktivismo". Suelen ir
dirigidos a empresas de cierto renombre, a webs de instituciones públicas o de
organizaciones políticas. Pero todos podemos ser víctimas del "Denial of Service", ya sea
por ataques deliberados o por morir de éxito. Lo peor es que para recuperarnos
probablemente tengamos que terminar cortando deliberadamente el servicio, esperar a que
cesen las peticiones legítimas y no legítimas y reiniciar el servicio. Si esto sucede en un
comercio electrónico, perderemos ventas. Si tenemos un servicio de mensajería,
probablemente muramos de éxito en fechas claves como Nochevieja, al igual que pasaba
hace no muchos años en los que pasada la medianoche de Nochevieja, las líneas telefónicas
se saturaban. Un caso especialmente crítico sería el de las centrales receptoras de alarmas,
aunque es aplicable a cualquier receptor de datos o telemetría. Un ataque de denegación de
servicio distribuido sobre sus servidores centrales impediría que las alarmas de sus clientes
notificasen su estado, lo que puede suponer dos cosas: si la alarma salta por falta de
comunicación, un formato lógico, todas las alarmas acabarían disparándose. Si las alarmas
solo se conectan para remitir una incidencia, no podrían hacerlo, por lo que un ladrón
podría estar robando tranquilamente. Incluso los servidores DNS o "Domain Name System"
son víctimas comunes de ataques DDoS, con lo que ello implica para el rendimiento de la
velocidad en Internet en determinados territorios y en ataques muy graves a nivel mundial.
 Los ataques DDoS pueden tener como objetivo, aparte del daño intrínseco, distraer a la
víctima de otro ciberataque mucho más discreto contra otros servidores. También pueden
ser algo parecido a un secuestro exprés: o pagamos o el atacante no interrumpe el ataque.
Los ataques DDoS deben controlarse en las distintas capas de la torre OSI, acrónimo inglés
de interconexión de sistemas abiertos de comunicaciones informáticas, principalmente en
las capas de enlace y aplicación. Cualquier servidor que reciba solicitudes de conexión o
cualquier nodo intermedio de la red puede ser víctima de un ataque DoS, es decir, puede
fallar el servidor a nivel de aplicación. Al no poder procesar las peticiones recibidas, por
ejemplo HTTP en un servidor web o un servidor DNS, o puede fallar un elemento de red
como un "firewall" o un "router" saturados por el propio tráfico. El último elemento de red
es la conexión del propio servidor, que puede ser incapaz de encauzar todo el tráfico
entrante, aunque a nivel de aplicación sí podría estar procesándolo. En caso de saturación
de red, hay que mantener vigilado el tráfico en "routers", "switches", "firewalls"... descubrir
cuáles son los cuellos de botella y ensancharlos, porque será el punto más estrecho de
nuestro canal el que derive en una denegación de servicio a nivel de enlace. Para
protegernos en la capa de aplicación, la que procesa las tareas, por ejemplo HTTP para
servir la web, debería implementarse sistemas para detectar solicitudes ilícitas para poder
ignorarlas. A nivel de red, tanto los proveedores de acceso a Internet como los centros de
procesamiento de datos, pueden hacer parte del trabajo y utilizar balanceadores de carga de
tráfico para desviar el exceso de tráfico, anular solo parte del exceso o incluso ralentizarlo
para evitar que llegue a saturar la capa de aplicación.

Exfiltración de datos de la empresa

La exfiltración es un término militar empleado para denominar a las operaciones que llevan
un objetivo desde territorio enemigo a territorio amigo. Cuando hablamos de exfiltración
como escenario de riesgo para nuestra empresa, el territorio enemigo es precisamente
nuestra empresa. Es el enemigo el que quiere llevar algo desde nuestra sede a otro sitio. Es,
en una sola palabra, un robo. Generalmente, la exfiltración en seguridad empresarial hace
referencia a información y a datos, no a bienes materiales o a personas. Hay casos
flagrantes de exfiltración, como las famosas filtraciones de Snowden o como el robo de la
base de datos de Ashley Madison, casos totalmente distintos pero cuyo objetivo era,
mediante robo de información desde dentro o desde fuera, causar daño al propietario de la
misma. A la hora de evaluar este escenario y los riesgos asociados debemos tener en cuenta
múltiples factores: ¿Qué información es importante para nosotros y puede serlo para la
competencia o para un cibercriminal? Cuando nos hagamos esta pregunta, tenemos que
evaluar desde las nóminas de nuestros trabajadores hasta las bases de datos de clientes, así
como las fichas técnicas de nuestros productos y servicios, nuestros manuales de actuación,
incluso nuestros propios planes de gestión de riesgos. Una vez que un lote o tipología de
información es identificada como sensible, debemos describir también por qué lo es.
¿Quién tiene acceso a esa información? Es fundamental saber qué miembros de nuestra
empresa tienen acceso a cada uno de esos bloques de información que hemos identificado
como sensibles. ¿Cómo se accede a esa información? Tanto si la información está en
soporte analógico como digital, debemos describir cómo las personas autorizadas pueden
verla, manipularla, transmitirla o borrarla

. Si ya sabemos qué información es valiosa, por qué lo es, quién puede acceder a ella, cómo
lo hace y qué puede hacer con ella, podremos descubrir todos los puntos vulnerables del
proceso de custodia y manipulación de la información, para evitar que llegue a destinatarios
indeseados. No podemos dejar de tener en cuenta que los propios socios o trabajadores de
nuestra empresa pueden ser el vehículo, voluntario o involuntario, de exfiltración de la
información. Esto no implica que debamos pensar que todos los que nos rodean son malos,
nada más lejos, pero hay individuos cuyos deseos personales o circunstancias pueden
llevarles a actuar contra nuestros intereses. Obviamente, lo único seguro es que solo
nosotros accedamos a la información, pero eso nos convertiría en una empresa totalmente
disfuncional, por eso debemos seleccionar con cuidado a nuestros colaboradores, tanto
internos como externos. Lo primero que necesitamos es que la información esté segura y
solo al alcance de quien la necesita para su trabajo. Esto implica desarrollar una política de
gestión de privilegios y permisos de ejecución, lectura y escritura, así como unas normas
específicas de lo que se puede y no se puede hacer con la información de la empresa, para
que ningún empleado, socio o subcontrata, alegue desconocimiento. Incluso la firma de
contratos de confidencialidad, conocidos en inglés como NDA, tiene una función reactiva
ante la exfiltración de información. Si desarrollamos las defensas de la empresa para evitar
jaqueos y restringimos el acceso a personas autorizadas, el siguiente paso es el registro de
dichos accesos. Cada acceso a información sensible debería quedar registrado, indicando
fecha, hora, la información específica a la que se ha accedido, quién ha accedido y, sobre
todo, qué ha hecho con esa información, como por ejemplo: imprimirla, copiarla a un
soporte externo, enviarla por e-mail, modificarla o borrarla. Además es interesante utilizar
sistemas de firma digital y de marca de agua para identificar a los destinatarios de ciertos
documentos o información.
Estos métodos hacen las veces del clásico test de fuga de datos en el que a cada sospechoso
de exfiltrar datos le damos una información distinta para ver cuál es la que se filtra y cuál es
el camino que sigue para volver hasta nosotros. Las técnicas de firma o marca de agua son
muy difíciles de aplicar a formatos como bases de datos o incluso textos que pueden
copiarse a mano, pero cualquier traba que pongamos hará más difícil el proceso de quien
quiera usar de forma ilícita nuestra información. Las acciones más normales que un socio o
empleado puede llevar a cabo con la información no tienen por qué ser malintencionadas.
Puedo imprimir un informe para leerlo cómodamente en mi sofá, aunque también puedo
hacer una fotocopia para dárselo a un miembro de otra empresa que me ha ofrecido una
recompensa o incluso un contrato. Podríamos buscar herramientas que registren las
impresiones e incluso que las marquen, aunque aún podría seguir leyéndose y copiándose,
sí. Pero, como hemos dicho, siguen siendo barreras. Puedo enviar un e-mail con el diseño
de una placa electrónica a la empresa a la que subcontratamos el ensamblado de nuestros
diseños, pero quizás esa empresa plagie mis diseños para hacer productos de marca blanca
o los revenda a mi competencia. Podemos hacer que parte del diseño esté precisamente
orientado a identificar, en forma de clave interna, al ensamblador. En resumen, la mejor
forma de evitar la paranoia es reducir la ventana de oportunidad de quienes, interna o
externamente, puedan robar información.

Contraseñas en la empresa, su construcción y renovación

Una contraseña en informática es una forma de identificarse ante un sistema para obtener
acceso al mismo. Que se conozcan nuestras contraseñas, sea cual sea el servicio al que dan
acceso, es uno de los peores problemas de seguridad que podemos tener. Por eso es
importante educar y concienciar a todos los miembros de nuestra empresa en el uso
responsable y seguro de las contraseñas, tanto si son para desbloquear el teléfono como si
nos dan acceso al correo electrónico o a una red social. Las contraseñas son algo casi
antinatural a la psique humana. Nuestro cerebro está preparado para recordar de forma
contextualizada, por eso solo aquellas cosas que tienen un significado son fáciles de
recordar o mejor dicho, difíciles de olvidar. Las buenas contraseñas son todo lo opuesto a lo
que normalmente recordamos, este es el motivo por el que muchas personas utilizan
palabras, frases, nombres o fechas especiales como contraseña, porque le resultan difíciles
de olvidar. Pero esas personas están cometiendo dos errores a la hora de elegir sus
contraseñas: la repetición y los 15 metros. El error de repetición consiste en usar la misma
contraseña en múltiples servicios. Cualquier atacante que descubra una contraseña la
probará en los demás servicios o cuentas de su víctima y muy probablemente acertará. Lo
que dice la teoría de los 15 metros es que normalmente la contraseña más empleada por una
persona está en un radio de 15 metros desde su centro de confort: una persona cuyo
despacho en casa sea el lugar donde más cómodo se siente, probablemente tendrá en dicha
estancia fotos, cuadros, libros, álbumes, discos, películas y muchas otras cosas que son
importantes o personales para ella y en las que probablemente se haya inspirado para
definir sus contraseñas. ¿Qué es lo que no debemos hacer al crear una contraseña?
¿Reutizarlas o utilizar información que otros puedan conocer sobre nosotros? Todos
nuestros gustos y datos personales o familiares en el mundo conectado en que vivimos
pueden ser descubiertos con facilidad. Hay tantas cosas sentimentales que son tan fáciles de
averiguar que usadas como contraseñas se convierten en vulnerabilidades. Entonces surge
la pregunta más importante: ¿cómo debería ser una buena contraseña? Las contraseñas
deben ser largas, porque dificultan cualquier proceso de ataque por fuerza bruta. Un ataque
por fuerza bruta consiste en probar una combinación posible tras otra de letras, números,
símbolos, hasta acertar con la correcta. Es muy rudimentario, pero si la contraseña es corta
es efectivo. Con una contraseña de 4 dígitos numéricos como el PIN de los móviles,

solo habría que probar 10 mil combinaciones, por eso los intentos de acceso a la SIM están
limitados a tres, como en las tarjetas de crédito. Si pasamos de 4 a 6 dígitos, las
combinaciones pasan a ser un millón, multiplicando por 100 el tiempo de ataque por fuerza
bruta anteriormente descrito. Volviendo al ejemplo de los 4 dígitos, sabemos que usando
solo números tenemos 10 mil combinaciones, pero si usamos las 26 letras minúsculas del
abecedario, las combinaciones serán 456.976. Si usamos mayúsculas, minúsculas, números
y signos de puntuación, tendremos más de 26 millones de combinaciones en 4 caracteres. Si
subimos a 8 caracteres, longitud que hoy en día se considera insuficiente, tendremos más de
722 mil millones de combinaciones. Las contraseñas deben ser tan aleatorias como sea
posible para que no puedan ser descubiertas por ingeniería social aplicando, entre otras, la
teoría de los 15 metros antes explicada. Está claro que es mucho más difícil de memorizar
x1-M.j que 1, 2, 3, 4, 5, 6, pero tiene sus ventajas y la principal es que estas contraseñas
también son resistentes a ataques por diccionario, no solo a los de fuerza bruta.

Un ataque por diccionario consiste en probar una lista de palabras y combinaciones

convencionales hasta dar con la adecuada. Los diccionarios suelen incluir formatos de
fechas, de documentos de identidad, nombres, apellidos, palabras comunes, etc., por eso es
útil la aleatoriedad al generar contraseñas, porque serán combinaciones que no aparecerán
en los diccionarios. Los sistemas informáticos modernos no almacenan las contraseñas de
los usuarios en texto plano, sino que realizan una serie de operaciones matemáticas
asignando valores numéricos a cada carácter de la contraseña, de forma que el resultado
final es otra cadena de caracteres. Este proceso se conoce como cifrado o encriptación.
Estas operaciones son irreversibles, es decir, que sabiendo la contraseña se puede calcular
el "hash", que es el resultado del algoritmo de cifrado de la contraseña. Pero sabiendo el
"hash" no podemos calcular la contraseña. Los algoritmos de "hash" más populares son
MD5 y SHA-1,

aunque hay decenas de algoritmos en uso. Cuando intentamos acceder a un servicio, lo que
se hace es comprobar el "hash" de la contraseña generado al introducir la contraseña con el
"hash" almacenado en el servidor. Si coinciden, tendremos acceso. Pero no hay que dejar
de ser precavidos, si alguien lograse acceder a las bases de datos de un servidor y
recuperara esos "hashes", puede hacer pruebas de diccionario o fuerza bruta hasta descubrir
la contraseña válida para cada uno de ellos. No debemos mantener activa la misma
contraseña durante demasiado tiempo. Imaginemos por un segundo que la supercontraseña
inviolable que asignamos a nuestro correo electrónico es descubierta por alguien que no
hace nada aparte de leer nuestros e-mails. Podrían pasar meses hasta que detectásemos que
están accediendo a tan privilegiada información. Por este motivo, tanto en caso de sospecha
como periódicamente, hay que cambiar de contraseña. Resumiendo: debemos usar
contraseñas largas, complejas y aleatorias, no reutilizarlas en varios servicios y cambiarlas
frecuentemente. También podemos limitar el número de intentos erróneos admitidos en un
proceso de acceso y por supuesto jamás debemos apuntar una contraseña en el típico papel
pegado al monitor, guardado en la cartera o apuntado debajo de un cubilete de lápices. Sí,
es difícil cumplir todas estas reglas, sobre todo considerando la gran cantidad de cuentas
privadas y profesionales que tiene cualquier persona hoy en día, pero es mucho lo que hay
en juego. Si dudamos de nuestra memoria, podemos utilizar un gestor profesional de
contraseñas, que las almacena de forma segura y nos permite acceder a ellas conociendo
una única contraseña maestra, que debe ser extremadamente segura. El mercado ofrece
varias opciones al respecto organizadas a modo de ecosistemas, los más modernos incluyen
además formas seguras de sincronización de las contraseñas entre distintos dispositivos.

4. Medidas de seguridad y prevención frente a ataques.

Medidas preventivas de seguridad en la empresa

Un delito es toda aquella acción u omisión voluntariamente cometida que sea contraria a la
ley vigente en el territorio y tiempo en que dicha ley es válida. Cualquier persona o
empresa es susceptible de ser víctima de un accidente o de un delito. No todas las
agresiones que puede sufrir nuestra empresa tienen por qué estar tipificadas como delito
cuando son cometidas. Por eso, cuando en lo sucesivo hagamos referencia a delitos ataques
o agresiones, estaremos hablando de cualquier acción que, con mala fe, tiene como meta
perjudicar directa o indirectamente a nuestra empresa o beneficiar a otros a costa de nuestro
perjuicio. Para que alguien decida cometer un delito, tienen que darse tres condiciones
fundamentales: motivación del delincuente, disponibilidad de un objetivo y ausencia de
impedimentos. Motivación puede ser el ideal ecologista de un activista que se encarama a
las instalaciones de una central nuclear, Un "hacker" puede motivarse por aspiraciones de
reconocimiento o por buscar un empleo en una empresa de seguridad, pero la motivación
más recurrente de cualquier delincuente es enriquecerse a costa de los demás. El objetivo
del activista será detener el funcionamiento de la central. El "hacker", buscando trabajo,
captará la atención de posibles contratistas haciendo pública información secreta de sus
víctimas. Un ladrón buscará cualquier cosa que revender, material o información, para
beneficio personal o transferir dinero de nuestras cuentas bancarias a las suyas. Si no
podemos anular la motivación del delincuente, lo único que nos queda es la tercera
condición: tendremos que reducir o eliminar las posibilidades de comisión de delitos. La
PSD o prevención situacional del delito es el conjunto de medidas tomadas para eliminar
uno o más de los tres factores que hemos indicado que son necesarios para que una persona
cometa un delito o una acción contra nuestra empresa aunque no sea delito. La idea fue
propuesta por Ronald Clarke, director del Home Office británico, cuando en 1976 detectó
que la tasa de suicidios había disminuido en las áreas en las que se iba sustituyendo el
suministro de gas butano por gas natural, cuya inhalación es mucho menos letal. Poco
después, Ray Jeffery llegó a la misma conclusión en Estados Unidos, pero aplicando el
concepto a la comisión de crímenes. Comprobó que si, por cualquier medio, el coste de
oportunidad de la comisión de un delito aumentaba, la cantidad de delitos disminuía. En
resumen, reducir la oportunidad de cometer un delito hace que gran parte de los potenciales
delincuentes que estuviesen interesados en cometerlo desistan sin pasar más allá de tener la
idea. En un mundo ideal, las contraseñas no serían necesarias, porque nadie accedería a la
información que no debe, pero como no poner contraseñas supone abrir una ventana de
oportunidad a un ladrón de información, implementamos esa medida de seguridad y su
mera existencia hace que muchos potenciales agresores ni siquiera se planteen cometer tal
delito, porque el esfuerzo de llevarlo a cabo con probabilidad de éxito e impunidad es
excesivamente alto.

Por ese motivo, empleamos vigilantes de seguridad, cámaras de videovigilancia, sistemas

de cifrado, contraseñas, sistemas de control de accesos, registro de datos, monitorización,
filtrado de tráfico de redes y muchas más. Porque la simple presencia de estas medidas de
seguridad entre un delincuente y su objetivo reducen la ventana de oportunidad de
cometerlo o de resultar impune. Por eso la mayor parte de las personas de forma
inconsciente descartarán la idea de delinquir contra aquello que esté protegido. El coste de
oportunidad no solo aumenta dificultando la posibilidad de que alguien cometa un delito, el
coste también se incrementa si el delincuente sabe que puede ser identificado, incluso
después de haber tenido éxito en la comisión del delito. El hecho de saber que no se puede
quedar impune de un delito tiene un efecto disuasorio, igual o superior, a cualquier barrera
que interpongamos ante la comisión del propio delito. De hecho, está demostrado que la
gravedad de un castigo no influye tanto en si alguien cometerá o no un delito, sino la
certeza de que el castigo, sea cual sea, acabará por ser impuesto y cumplido. Para aplicar la
prevención situacional, debemos por tanto eliminar una de las tres bases del delito, y
aquella sobre la que más control podemos ejercer es la seguridad. En una primera fase de
nuestros planes debemos implementar todos los medios posibles y razonables que reduzcan
la posibilidad de éxito del delincuente y que aumenten la probabilidad de identificación del
mismo, tanto si se tiene éxito como si no. La segunda fase será informar a los potenciales
agresores del alto coste de oportunidad de actuar en nuestra contra. Es decir, no se trata solo
de estar protegidos, sino de que se sepa que lo estamos y de que podemos identificar a
quien nos agreda.

Por tanto, aunque existan sistemas y métodos de seguridad ocultos y muy efectivos, no está
de más que algunos de los sistemas estén orientados directamente a la disuasión, que es al
fin y al cabo la forma más efectiva de prevención de los problemas de seguridad.

Metodologías de gestión de riesgos y COBIT

Existen distintas metodologías predefinidas de gestión de riesgos que podemos trasladar a

nuestra empresa. La gran ventaja de estas metodologías es que están estudiadas y
contrastadas, lo cual reduce los riesgos de implementar una metodología cuya eficacia, no
probada, redunde en más problemas que soluciones. En este capítulo vamos a ver en qué
consiste COBIT, un método general de gestión de tecnologías de la información
desarrollado por ISACA, y citaremos otras opciones disponibles. COBIT es el acrónimo de
"objetivos de control para información y tecnologías relacionadas"
 y es un sistema diseñado como conjunto de herramientas, recursos y asesoramiento para
entidades, públicas o privadas, que gestionan ingentes cantidades de información. ISACA,

acrónimo en inglés de "Asociación de auditoría y control de sistemas de información", es

una organización global sin ánimo de lucro cuyo eje de actividades se centra en el
desarrollo, mejora, estandarización y adopción de conocimientos relativos al tratamiento
tecnológico de información, cooperando tanto con entidades privadas como con
administraciones públicas. Uno de los pilares que hace de COBIT una herramienta eficiente
es su propósito de que los objetivos de nuestro negocio estén entrelazados con los objetivos
de nuestro tratamiento de la información, que podemos entender como que la gestión de
riesgos no es una tarea paralela o una carga adicional impuesta. La gestión de riesgos debe
ser una práctica que impulse a la empresa a cumplir sus objetivos, no solo una barrera para
neutralizar los problemas que puedan permitirlo.

Con esta visión es fácil comprobar cómo la gestión de riesgos es un proceso muy similar al
de gestión empresarial. Planeamos unos objetivos que serán el alcance. Definimos los
productos y servicios que podemos ofrecer, así como los riesgos a los que nos enfrentamos.
Evaluamos nuestros productos y servicios, su viabilidad y rentabilidad, así como las
amenazas en su probabilidad e impacto. Definimos planes de marketing y ventas al igual
que establecemos protocolos para anular, mitigar o reaccionar ante las amenazas.
Aplicamos dichos planes para vender y evitar los riesgos. Evaluamos resultados para
calibrar, renovar o modificar tanto el plan de empresa, como el de gestión de riesgos. Otro
de los grandes objetivos de ISACA al desarrollar y actualizar COBIT es ayudar a quienes lo
implementan a acomodarse a los requisitos que regulan el mercado de las tecnologías de la
información, ya sea a nivel legislativo o de estandarización. Desde el otro lado del espectro
de actuación de ISACA, también intenta ejercer su influencia en los distintos marcos
regulatorios a los que pueden acceder sus miembros, para que estos sean tan homogéneos
como sea posible, facilitando la estandarización de los procesos empresariales. Los
elementos que componen COBIT se agrupan en distintos grupos: el "framework" o entorno
de trabajo, que sirve para definir y organizar objetivos y que sean comunes a los de la
empresa.

Incluye un manual de buenas prácticas para la gestión de las tecnologías de la información.

La descripción de procesos, que empieza con algo tan básico como una estandarización del
lenguaje, y además entra en el plano organizativo para establecer las áreas de
responsabilidad para la gestión, planificación, ejecución y control. Los objetivos de control,
que son los puntos clave a los que deben prestar atención los gestores para asegurarse de
que los procesos de IT se ejecutan de forma segura y eficiente. Los manuales de gestión,
que sirven para establecer los criterios de las distintas fases de los planes de gestión, en
nuestro caso tanto para descubrir los riesgos como para medir la efectividad de los
procedimientos que planteamos y ejecutamos. Y por último, los denominados modelos de
madurez, que son los métodos empleados para la evaluación de los procedimientos, entre
los que se incluyen herramientas específicas de autoevaluación. La gestión de riesgos en IT
está íntimamente relacionada con el día a día de nuestra empresa. La información es tanto o
más valiosa que cualquier otro recurso material o personal, ya que los recursos pueden
reponerse y el personal puede contratarse, pero la información hay que volver a generarla u
obtenerla, sin contar con el daño que puede suponer su pérdida o publicación para nuestra
reputación como profesionales. COBIT es solo uno de los múltiples recursos que existen
para implantar metodologías prediseñadas a la hora de diseñar un plan de gestión de riesgos
específico para nuestra empresa, pero existen otras metodologías también contrastadas y a
nuestra disposición. Cada metodología actúa a modo de plantilla para que podamos hacer el
diseño a nuestra medida en base a parámetros preestablecidos. Cada metodología tiene sus
pros y sus contras y tendremos que encontrar la que más se ajuste a nuestras circunstancias
y procedimientos, para que su implementación no resulte traumática y sus resultados sean
efectivos. La Agencia Europea por la Seguridad de las Redes y la Información, ENISA,

propone una extensa lista de metodologías entre las que destacan: CRAMM, de la Agencia
británica de comunicaciones centrales y telecomunicaciones; SP800-30, del NIST
estadounidense, Instituto nacional de estandarización de las tecnologías; MAGERIT,
diseñado por el Consejo General de Administración Electrónica de España; MAHERI,
desarrollado por el Club francés de seguridad de la información; y OCTAVE, que es un
método diseñado en la universidad de Carnegie Mellon. Como puedes ver, hay múltiples
alternativas a COBIT para aplicar a cada empresa la que más se ajuste a sus necesidades.

Medidas preventivas genéricas para evitar riesgos

Frente a una contingencia cualquiera, podemos adoptar dos posturas básicas: podemos ser
proactivos o reactivos, es decir, podemos hacer gestión preventiva o en base a eventos. El
ejemplo coloquial de la gestión en base a eventos, que suena muy bien, es ser un bombero
que va apagando fuegos según se van encendiendo.
Aunque usemos casi indistintamente los términos preventivo o proactivo, en gestión de
riesgos una medida preventiva es el procedimiento desarrollado e implementado para evitar
o mitigar el suceso de una contingencia, mientras que las medidas proactivas son las que
nos ponen en situación de reaccionar de forma rápida y eficiente cuando el incidente tiene
lugar. Por tanto, la prioridad de las medidas preventivas es anular o minimizar la
probabilidad de que un riesgo se materialice, por ejemplo, cerrar con llave nuestro
despacho o cifrar los documentos que almacenamos en nuestra computadora o en discos
externos.

Una medida proactiva sería, por ejemplo, hacer copias de seguridad de mis datos en
previsión de que mi computadora se pueda estropear o de que me la roben. La medida
reactiva complementaria sería la restauración de la copia, imposible si no la hemos hecho
con anterioridad. Cuando estamos diseñando nuestro plan de gestión de riesgos, tras listar y
evaluar las potenciales contingencias a las que deberemos enfrentarnos, deberemos decidir
qué hacer respecto a cada una de ellas y siguiendo la máxima de "más vale prevenir que
lamentar", es mejor que llevemos la iniciativa en todo lo que podamos, es decir, que
seamos más preventivos que reactivos.
 Las medidas de anulación de un riesgo son aquellas medidas preventivas destinadas a
imposibilitar que el riesgo se materialice. Por ejemplo, desconectar un equipo de cualquier
red implica que no podrá ser "hackeado" sin presencia física. Las medidas de mitigación de
probabilidad son aquellas que intentan que el riesgo tenga las mínimas oportunidades de
suceder, aunque no se consiga la probabilidad cero, bien porque no es posible o porque
conseguirlo no sería rentable. Por ejemplo, si establecemos un protocolo de gestión de
contraseñas que obliga a los usuarios a cambiarlas cada seis meses, no repetirlas, diseñarlas
con más de ocho caracteres y que contengan mayúsculas, minúsculas y números, la
probabilidad de que alguien sin permisos descubra una contraseña y acceda a nuestro
sistema será muchísimo más baja que si no establecemos dicho protocolo. Las medidas
preventivas de mitigación y recuperación del daño, las proactivas, son aquellas destinadas a
facilitar las medidas reactivas que deberán ejecutarse cuando el riesgo se materialice. Hacer
copias de seguridad no impide que un disco duro falle o que un software malicioso cifre los
archivos de nuestra computadora, pero sí permite que tras recuperar las copias podamos
continuar trabajando, habiendo perdido únicamente lo que cambiase desde que se hizo la
última copia hasta que tuvo lugar la incidencia. Es de vital importancia que las medidas
preventivas sean revisadas periódicamente. No podemos esperar a que tenga lugar una
incidencia para comprobar si las medidas de anulación o mitigación que hemos
implementado son realmente efectivas. La vigilancia y actualización tanto de los propios
protocolos como de los riesgos a los que afectan debe ser constante. De esta forma,
mantenemos o incluso mejoramos el nivel de efectividad de los protocolos que definimos.
Es posible que entre las medidas preventivas de seguridad de red esté instalar un "firewall"
que gestione el tráfico entrante, para evitar que los ciberdelincuentes accedan a nuestros
servidores. Pero si alguien, pasado el tiempo, encuentra la forma de aprovechar una
vulnerabilidad del "firewall" para acceder a nuestra red, el propio firewall, que era una
medida de seguridad preventiva, se habrá transformado en un agujero de seguridad. Por eso
debemos mantenernos alerta e informados para detectar las nuevas vulnerabilidades que
pueden afectar a nuestra seguridad. En el peor de los casos la propia medida de seguridad,
puede ser la vulnerabilidad empleada por un atacante. Por ejemplo, una cámara de
videovigilancia, sin seguridad, se convierte en los ojos de un ladrón dentro de nuestra
empresa. Apagar la red inalámbrica de casa cada vez que salimos para evitar que alguien
acceda puede ser información sobre nuestra presencia o ausencia para cualquiera que nos
vigile. También hay casos extremos en los que la protección preventiva que supone un
antivirus se ha convertido en la herramienta empleada por software malicioso para obtener
privilegios de administración en el equipo informático que supuestamente protegía. Las
medidas preventivas no solo deben minimizar los riesgos, sino que en la medida de lo
posible deben tener la capacidad de alertarnos cuando suceda una incidencia, para
reaccionar, si es que debemos hacerlo, lo antes posible. Si las medidas preventivas están
correctamente diseñadas no solo reducirán el número e impacto de las incidencias, sino que
además nos alertarán de las mismas, permitiéndonos poner en marcha de forma inmediata
los protocolos reactivos de forma controlada y con un estrés mínimo.

Medidas reactivas para evitar riesgos de seguridad

Ya sabemos que las medidas proactivas o preventivas son los protocolos que establecemos
en nuestro plan de gestión de riesgos para mitigar su impacto o reducir la probabilidad de
que se materialicen.

Decimos que la gestión de riesgos es en base a eventos cuando la mayor parte de nuestros
protocolos de actuación están diseñados para ejecutarse tras el suceso de la incidencia. El
mayor inconveniente de este modelo de gestión es que los riesgos seguirán teniendo la
habitual incidencia y además los protocolos pasarán su prueba de fuego en un caso real. El
peor de los inconvenientes es la carga extra de trabajo y estrés que supone estar haciendo
nuestro trabajo habitual y tener que interrumpirlo para ejecutar estos procedimientos.
Aunque tomemos conciencia de estos inconvenientes, ningún plan de gestión de riesgos
está completo sin planes reactivos. Porque hay contingencias que por mucho que las
prevengamos, acabarán por suceder. Los protocolos reactivos podemos clasificarlos a su
vez en dos grupos:
 los que sirven para recuperarnos del incidente, a los que llamaremos "de recuperación", y
otros a los que podemos definir como "bloqueo o información". Las medidas de
recuperación son, como su propio nombre indica, aquellas cuyo objetivo es restaurar la
situación previa al problema que acabamos de sufrir. Su eficacia puede medirse en base a la
capacidad de recuperación y a la rapidez de la misma. Un sistema de recuperaciones
efectivo si, en un plazo razonable de tiempo y preferiblemente corto, es capaz de restaurar
los niveles de producción y eficiencia habituales de nuestra empresa con una mínima o nula
pérdida de información de oportunidades de negocio o incluso de recursos materiales. El
más clásico de estos métodos es la copia de seguridad, que permite recuperar información
en formato digital que se ha perdido por cualquier motivo. Otro medio reactivo de
recuperación podría ser disponer de un acceso a Internet adicional al que cambiamos si falla
el primero. Da igual si es de forma manual o automática. En ambos casos es reactivo
porque se aplica después del incidente. Pero, obviamente, el sistema automático es más
eficiente si además de hacer el cambio nos informa para que hagamos lo que dicte nuestro
plan de contingencia para recuperar el funcionamiento de la línea primaria. Los
procedimientos de bloqueo son los destinados a interrumpir un proceso dañino para nuestra
empresa. Por ejemplo, un potencial riesgo es que un ciberdelincuente acceda a nuestra red
para robar información. Los posibles bloqueos podrían consistir en forzar su desconexión
específica mediante la prohibición de acceso de su dirección IP o anular nuestro propio
acceso a Internet o nuestra red inalámbrica, dependiendo de lo que el atacante esté usando.
Junto con las medidas de bloqueo, que por desgracia suelen implicar también un
autobloqueo, podemos ejecutar además medidas de investigación que nos permitan ante
todo saber cuándo ha terminado la incidencia o el ataque, si es que realmente lo es. Pero no
es menos importante, en caso de que sea un ataque, saber a qué ha afectado, cómo han
conseguido atacarnos y quién lo ha hecho. Para la recopilación de información, la fuente
principal de la que tenemos que nutrirnos son los registros de datos de nuestros sistemas. La
recopilación de información en estos casos tiene una importancia vital, ya que puede
ayudarnos a implementar protocolos preventivos mucho más eficaces, a mejorar los
reactivos y, en caso de los ataques, no de los accidentes, a iniciar los procedimientos legales
necesarios para ejercer nuestro derecho a la justicia.

En lo relativo a ataques, debemos tener muy bien planificados los procedimientos de

recolección de información para que toda la que recopilemos pueda tener validez como
evidencia legal si llegamos a algún procedimiento judicial. Si el riesgo ante el que nos
enfrentamos es un ciberataque, una vez pongamos a salvo a nuestra empresa, es
recomendable comunicarlo a las autoridades policiales competentes en dicha materia.
Incluso si no queremos denunciar, informar a las fuerzas de seguridad del estado puede
ayudar a que localicen a los cibercriminales y prevenir así futuros problemas. Después de
todo lo visto, es fácil deducir que, aunque un plan esté orientado a eventos, dichos eventos
deben haber sido previstos con anterioridad para poder poner en marcha los mecanismos
que nos permitan reaccionar. Si el riesgo es un incendio, tenemos que haberlo previsto y
haber comprado un extintor. Pues del mismo modo, en el caso de la gestión de riesgos IT,
debemos conocer por anticipado toda nuestra infraestructura informática y de red para no
andar con experimentos. Y debemos haber establecido los procedimientos de bloqueo, los
sistemas de copias de seguridad, de registro y sobre todo debemos saber qué hacer con todo
ello.

5. Medidas preventivas contra los riesgos de seguridad

Mantenimiento y actualización de hardware y software

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el

vídeo
El parque informático de nuestra empresa es probablemente el conjunto de sistemas más
vulnerable a incidencias, fallos y sobre todo a ataques, Y aún así, es este tipo de tecnología
la que utilizamos para almacenar y procesar nuestra información, para comunicarnos, para
controlar nuestros procesos productivos, de ventas, y en general, nuestro negocio completo.
Irónicamente, también confiamos en todo tipo de equipos conectados para aumentar nuestra
seguridad, como por ejemplo controles de acceso, registros, sistemas de videovigilancia,
alarmas y más. Todos, absolutamente todos, los equipos necesitan mantenimiento. Son
dispositivos electrónicos diseñados con propósitos específicos y, como cualquier otro
ingenio, pueden estropearse o simplemente fallar por envejecimiento. Además, otro punto
en común es que todos estos dispositivos son una combinación de hardware y software. De
nada sirve una computadora sin su sistema operativo o un "switch" sin el "firmware" que se
ocupa de redirigir el tráfico. Una cámara IP tiene un software integrado que nos permite
conectarnos para recibir la señal de vídeo. Muchos de estos sistemas, como impresoras en
red, cámaras de videovigilancia y por supuesto casi cualquier elemento de red, como un
"router", un "switch" gestionado o un "firewall" disponen de servidor web integrado para
facilitar su gestión. También tienen su propio "firmware" o sistema operativo los equipos
domóticos para hogar u oficina inteligente, los sistemas de control industrial ICS y los
teléfonos móviles, que por desgracia para la seguridad, son habitualmente ignorados al
desarrollar estos protocolos de seguridad. Todo elemento de este tipo, es decir, que
contenga software, debería estar inventariado como parte de nuestro sistema de gestión de
riesgos.
Este inventario debe contar con información sobre la adquisición del equipo, al menos la
fecha, el proveedor, el modelo y el coste, e incluir además una copia del manual del
fabricante y una copia del sistema operativo o "firmware" original que venían instalados
cuando adquirimos el equipo. La salvaguarda del manual es útil para poder consultar dudas
en cualquier momento, sin depender de si el fabricante lo tiene disponible en su web. El
software originalmente instalado nos permitirá restaurar el estado original del equipo en
caso de problemas con el mismo, y la fecha y coste del equipo nos ayudarán a tener un
control sobre la edad de nuestros sistemas y a poder tasarlos para calcular su rendimiento,
amortización y coste de reemplazo. La tarea más importante que debe incluir nuestro
procedimiento de mantenimiento para prevención de riesgos es el de mantener nuestros
equipos actualizados. Hay que revisar periódicamente la disponibilidad de nuevas versiones
de software y analizar la lista de cambios incluida por el fabricante. Si nuestro equipo
soporta la nueva versión del software, antes de aplicarla debemos ejecutar dos pasos
fundamentales y que deben formar parte siempre del protocolo.

El primero de los pasos es hacer una copia de seguridad del equipo tal y como está
funcionando, con su software actual y todos los datos, ya sean de configuración del mismo
o de información. El segundo paso es comprobar que la copia de seguridad es útil y que
está completa. A partir de este punto, siguiendo las instrucciones del fabricante, podremos
instalar el nuevo software. Cada vez que actualicemos un equipo, debemos dejar constancia
en la ficha del mismo, indicando el procedimiento seguido, la fecha, y adjuntando la copia
de seguridad y copias de las versiones del software anterior y posterior a la actualización.
Podemos borrar copias de seguridad de actualizaciones anteriores a la última para ahorrar
espacio, pero siempre debemos conservar la última, por si el nuevo software fuese
deficiente en operatividad o en seguridad y nos viésemos obligados a volver a un estado
anterior. El último dato útil a incluir en la ficha del producto, respecto a la actualización del
software, es la próxima fecha prevista de revisión. Debemos establecer unos plazos de
comprobación, independientemente de si existen notificaciones por parte del fabricante. En
estos eventos que nos marquemos, no debemos centrarnos exclusivamente en la
disponibilidad de nuevas versiones de software, sino que debemos ir mas allá y buscar si se
han publicado vulnerabilidades que puedan ser explotadas en nuestros equipos, con la
versión de software que tenga instalada. Esta tarea es fundamental como parte de la etapa
de recogida de datos de nuestra estrategia de gestión de riesgos y nos permitirá descubrir
nuevos riesgos, para poder evaluarlos y diseñar protocolos específicos de protección.
Aunque hemos hablado de la actualización de software, el mantenimiento también debe
aplicarse de igual forma al hardware. Especialmente, a los soportes de información, como
discos duros, discos de estado sólido o cualquier otro soporte electrónico, magnético y
óptico. Hay que conocer su esperanza de vida, hacer controles de su estado de salud y tener
provisión de repuestos, para minimizar el tiempo de recuperación tras el fallo de cualquiera
de los elementos críticos de nuestra infraestructura.

Antivirus en los equipos como medida de seguridad

Una de las principales amenazas que existen para nuestra infraestructura informática y para
la seguridad de la información de nuestra empresa es el software malicioso o "malware". El
"malware" es casi tan antiguo como la informática moderna y sus programadores lo
desarrollan pensando en causar daño, dificultando o impidiendo el normal uso de nuestras
computadoras o para robar o secuestrar información. Casi tan antiguos como el "malware"
son los antivirus; aplicaciones que se ejecutan sobre el sistema operativo con privilegios de
administrador, capaces de monitorizar la actividad de los distintos procesos que se están
ejecutando para defender al usuario en caso de que alguno de ellos sea malicioso. El modo
de funcionamiento clásico de los antivirus es la comprobación de la firma digital de cada
archivo ejecutable que pretenda iniciar un proceso en el sistema operativo. Si dicha firma
digital se encuentra en la base de datos del antivirus –que no deja de ser una lista negra– el
programa no se ejecutará. El problema de este método es que es tremendamente ineficiente,
porque las firmas son fácilmente manipulables. Cambiando muy poco el código de un
software malicioso, obtenemos una nueva firma que no estará presente en las listas negras
de los antivirus. Para subsanar esta debilidad de los antivirus, se desarrollaron los sistemas
de búsqueda de código. Lo que hace en este caso el antivirus es analizar el propio código
que se ejecutaría y buscar algoritmos que reconozca como equivalentes a los utilizados en
el "malware" conocido. Es lo que se conoce como detección heurística. Es decir, que lo que
se busca no es el "malware" al completo, sino el común denominador de distintas
variaciones de un mismo "malware", permitiendo así defendernos de varios software que
provengan de la misma familia. Por desgracia, la eficiencia de estos sistemas no es excesiva
y, como en el caso de las firmas digitales, depende de que el "malware" que pueda estar
atacándonos utilice algoritmos que nuestro antivirus pueda reconocer. El peor de los casos
es el del software malicioso orientado a escalar privilegios dentro del sistema, para que, una
vez desplegado el "malware", puede hacer libremente lo que sea que esté programado para
hacer con la libertad con la que podría hacerlo el administrador del sistema. Son los
denominados "rootkit" y por lo general su función es desplegar otros "malware", una vez
que les han preparado el terreno. Hay antivirus que buscan este tipo de "malware" de forma
explícita por su alta peligrosidad, pero se da la paradoja de que algunos "rootkits"
aprovechan los privilegios del propio antivirus para hacer su escalada de privilegios. Tal y
como hemos visto, los antivirus son vulnerables a nuevas formas de "malware",
principalmente porque no pueden identificar lo que no conocen, aunque no por ello
debemos dejar de usar antivirus. La industria del antivirus es un juego del gato y el ratón en
el que el antivirus siempre irá un poco por detrás del "malware", pero eso no significa que
no sea capaz de defendernos frente a una gran parte de las amenazas que ya son conocidas.
Es decir, que el uso del antivirus tiene un efecto de mitigación de la probabilidad de
materialización del riesgo de infección por "malware". Además, la tecnología de defensa
"antimalware" avanza día a día y se desarrollan nuevos sistemas de detección de amenazas
en tiempo real y sistemas de inteligencia artificial capaces de analizar el comportamiento de
los distintos procesos que se ejecutan en nuestras computadoras, para decidir si son o no
una amenaza y actuar en consecuencia. Es conveniente emplear los antivirus no solo para
defendernos mientras usamos la computadora, sino que es conveniente realizar análisis
periódicos en modo seguro, que el antivirus pueda hacer búsquedas de firmas o heurísticas
sin tener que interactuar con otros elementos del sistema, para poder detectar "malware"
durmiente. Estos análisis suelen exigir el reinicio de la computadora y pueden tardar
bastante en ejecutarse, además de requerir que una persona decida ante cada elemento
sospechoso si desea bloquearlo, eliminarlo o ignorarlo. Es una tarea tediosa, pero altamente
recomendable. Ni qué decir tiene que el antivirus es una aplicación más de software y como
tal debe ser actualizada periódicamente y no solo su código. También hay que mantener
actualizadas sus bases de datos que son, al fin y al cabo, su principal herramienta para
detectar amenazas. En resumen: aunque los antivirus, tal cual la conocemos hoy, disten de
ser herramientas ideales como métodos preventivos de anulación de riesgos, sí cumplen una
función importante como mitigadores, ya que mucho o poco siempre reducen la
probabilidad de ser infectados con "malware" y esto es especialmente importante en
equipos informáticos que por obsolescencia o por falta de recursos no pueden ser
actualizados a versiones más modernas y seguras de sus sistemas operativos.

Proteger las comunicaciones con un Firewall

Si las computadoras son los equipos sobre los que trabajamos día a día, la red es el vehículo
de comunicación, tanto interna como externa. Nuestra red es la que permite disponer de
máquinas virtualizadas en servidores, compartir espacio de almacenamiento o incluso
imprimir o escanear documentos en red. Pero también usamos esa red para acceder a
Internet o para que, desde fuera de la oficina, conectados a Internet, podamos acceder a
nuestros recursos de la sede de la empresa.
 Las redes más comunes constan de un "router" y un "switch" que pueden estar integrados
en un único dispositivo. El "router" se conecta a Internet mediante la línea que nos
proporciona el proveedor de servicio y nuestros equipos se conectan al "switch". Internet y
nuestra red privada son independientes y hay que pasar a través del "router" para ir de una a
otra. Hace las funciones de centralita telefónica de forma, por lo general, muy básica.
Simplemente se indica de dónde a dónde tiene que ir el tráfico. Tanto si queremos
prepararnos frente a posibles amenazas que puedan llegar desde Internet como ataques
informáticos o accesos a recursos restringidos, como si queremos controlar qué conexiones
permitimos o denegamos desde nuestra red al exterior, lo que necesitamos es un "firewall".
Un "firewall" o cortafuegos es un dispositivo de red dedicado a filtrar el tráfico entrante y
saliente de una red. Su principal cometido es separar una red de confianza: la nuestra, de
una que no lo es: Internet.

Los cortafuegos pueden ser dispositivos de red específicamente desarrollados a tal efecto o
computadoras que ejerzan esa labor. Normalmente, filtran el tráfico en función de las
direcciones IP de origen y de destino y en base a los puntos sobre los que se quiere
establecer la conexión.
Por ejemplo, podemos crear una regla que permita a los equipos de nuestra red interna
conectarse solo a servidores incluidos en una lista blanca del "firewall". También podemos
crear una lista negra, de forma que cualquier conexión a esas direcciones será interrumpida
al pasar por el "firewall". Con respecto a los puertos tanto TCP como UDP, el "firewall"
puede bloquear o permitir el acceso tanto entrante como saliente, dependiendo
principalmente de cuál sea el puerto de destino.

Filtrar el tráfico entrante, tanto por su origen como por el punto al que deseen acceder, es
muy importante para evitar accesos no autorizados a recursos que debemos proteger.
Además, es posible que un servicio que esté disponible al exterior, aunque no sea útil para
nuestro trabajo, suponga una vulnerabilidad, y por tanto correríamos el riesgo de que dicha
vulnerabilidad fuese explotada para acceder a nuestra red o a alguno de nuestros equipos.
Un "firewall" bien configurado restringe –y mucho– la ventana de oportunidad de un
atacante. Cuantos menos puertos disponibles, menos vulnerabilidades podrán detectarse.
Restringir el tráfico saliente es igualmente útil para evitar la exfiltración, voluntaria o no, de
información. Por ejemplo, podemos evitar conexiones de redes P2P, para que no se
comparta contenido inadecuado desde nuestra red o para que no se use esa tecnología para
extraer nuestra propia información. También podemos restringir el acceso a determinadas
IP creando una lista negra para que nunca podamos acceder a ellas desde dentro de nuestra
red. Aunque esta función es útil para cuestiones de productividad, lo realmente importante
para la seguridad es poder hacer una lista negra de servidores clasificados como peligrosos
a los que no permitiremos que nuestros usuarios se conecten. Estos servidores pueden ser
"proxys" o distribuidores de "malware", servidores de publicidad para "adware", servicios
fraudulentos de web, correo electrónico o cualquier otro servicio. También existen
"firewalls" que funcionan sobre el propio sistema operativo de una computadora y como
filtro exclusivo para esa computadora. Es decir, que solo controlan el tráfico de la
computadora sobre la que funcionan. Son muy útiles para mantener una línea más de
defensa. Incluso si la ciberamenaza proviene desde el interior de nuestra red, ya sea porque
un atacante ha superado otras barreras de seguridad o porque es alguien con acceso lícito a
nuestra red. Estos "firewalls" están disponibles de serie en todas las generaciones de
Windows desde XP, incluyendo las ediciones de servidor. Sus configuraciones por defecto
suelen ser bastante permisivas y al instalar nuevas aplicaciones pueden crear sus propias
reglas en el "firewall" para que permita determinadas conexiones entrantes o salientes.

Es recomendable habilitar estos "firewalls" integrados sobre todo en equipos dedicados a

servicios específicos en red, porque debemos asegurarnos de que solo permite las
conexiones que nosotros deseamos. Ni un permiso de menos, porque entonces el servicio al
que está dedicado el equipo no funcionaría. Ni uno de más, porque estaríamos creando una
oportunidad para explotar una potencial vulnerabilidad. En el caso de las computadoras
Mac, el "firewall" integrado está orientado únicamente a permitir o bloquear conexiones
entrantes de red, dependiendo de la aplicación a la que estén destinadas. El resto está, por
defecto, bloqueado. En el caso de Linux, las reglas de "firewall" se configuran por línea de
comandos, en concreto con el comando IPTABLES, cuya configuración podéis ver
ejecutando IPTABLES -H. IPTABLES nos permite, entre otras cosas, establecer reglas,
autorizando o denegando conexiones entrantes y salientes en función de direcciones IP y
puertos. Las reglas aplicadas al "firewall" pueden consultarse mediante el comando SUDO,
espacio, UFW, espacio, status. Aparte del bloqueo, los cortafuegos tienen otra
funcionalidad de vital importancia: el registro de conexiones. Este nos permite mantener un
historial de todas las conexiones establecidas y bloqueadas, indicando tanto la fecha y hora
como el origen y destino de la misma. Lo cual nos permite detectar problemas y amenazas
tanto dentro de nuestra red como fuera y nos ayuda a mejorar las reglas de bloqueo y
redirección que aplica el propio firewall.
Prevención de Pérdida de Datos (DLP)

Si seleccionas líneas de la transcripción en esta sección, irás a la marca de tiempo en el

vídeo
De entre los muchos riesgos que pueden afectar a la seguridad y buen funcionamiento de
nuestra empresa, la pérdida y fuga de datos es quizás la más grave, ya que puede
desencadenar otros problemas de muy diversa índole. Al hablar de pérdida de datos
tenemos que considerar por un lado el borrado o corrupción de datos, que se soluciona
restaurando copias de seguridad y se previene con sistemas de registro de acceso para
identificar a los responsables. Pero el verdadero tema que nos ocupa ahora es la fuga de
información. Prevención de pérdida de datos es una traducción un tanto libre de "Data Leak
Prevention" o DLP,

que debería ser mejor traducida como prevención de fuga de datos. La fuga de datos es la
exfiltración o extrusión de información. El problema consiste, a muy grandes rasgos, en que
alguien que no debe se entere de información sobre nuestra empresa o propiedad de nuestra
empresa. Las fugas de información pueden ser actos accidentales, como ocurre en la
mayoría de los casos, o deliberadas.

En ambos casos, el daño que podemos sufrir es prácticamente incontrolable. No podemos

saber cuánto nos afectará que la competencia tenga conocimiento acerca de nuestros
procesos productivos o de fabricación o peor aún, de nuestras negociaciones con los
clientes. En estos casos las fugas estarían dando una ventaja competitiva a los otros
participantes de nuestro sector, debilitando nuestra posición, lo cual derivaría en pérdidas
de negocio y por tanto de ingresos. Mucha de la información que puede llegar a manejar
una empresa corresponde a datos privados de personas tales como nombres direcciones,
formas de contacto o incluso información fiscal o de tarjetas de crédito. En los casos más
delicados, esa información puede llegar a incluir datos tan sensibles como registros
médicos, afiliaciones políticas o religiosas, orientación sexual y muchas otras. Cada vez
más, los gobiernos de los distintos países están legislando para garantizar una protección a
este tipo de información obligando a las empresas a responsabilizarse de que será usada
solo para el propósito para el que fue solicitada y que no se compartirán con nadie sin la
autorización expresa del titular de dicha información. Ese tipo de legislación carga sobre las
empresas una gran responsabilidad y exige aplicar unas políticas y medidas de seguridad
mínimas que garanticen que esa información no solo se tratará conforme a lo pactado, sino
que no será filtrada voluntaria ni involuntariamente a terceras partes. Los casos más
famosos son los de robos de información de tarjetas de crédito por falta de medios de
seguridad o exfiltraciones de bases de datos de clientes de agencias de servicios "online",
que han podido contar con la participación voluntaria de trabajadores de las distintas
compañías afectadas. Ni siquiera sorprende hoy en día pensar en fugas de datos como la
sufrida por la NSA a manos de Edward Snowden o la publicación en 2016 de todo el censo
electoral mexicano en un servidor sin protección, que parece haber sido voluntariamente
expuesto. Para prevenir fugas de información, lo primero que debemos establecer es un
programa de concienciación de los trabajadores con acceso a los datos. A continuación, hay
que establecer unas políticas de gestión, registro y control que establezcan cómo debe
manipularse la información, qué herramientas y personal están autorizadas a hacerlo, y ante
todo registrar cada acceso y manipulación de los datos para que quede constancia de la
autoría de cada acción. La mayor parte de las fugas son involuntarias y uno de los casos que
más a menudo se da es el de responder a una cadena de e-mails o reenviar un e-mail, sin
haber eliminado la cadena de mensajes previos, los que normalmente aparecen debajo de
nuestra firma. Esto puede solucionarse con concienciación o eliminando la automatización
de su inclusión, de modo que si se envía habrá sido de forma deliberada. Una de las
herramientas más eficaces para prevenir la fuga de información es el cifrado, ya que los
datos serán únicamente accesibles para quien disponga de la clave de acceso. Debemos
tener en cuenta que no podemos garantizar la seguridad de la información almacenada en
ningún equipo comprometido por "malware", ni siquiera si está cifrada. Por este motivo, la
seguridad informática, tanto en computadoras como en servidores o teléfonos móviles, es
fundamental. También existen herramientas específicas para DLP que suelen constar de un
"set" completo de utilidades con funciones tales como el bloqueo de acceso sin autorización
a documentos marcados como confidenciales, cifrado de archivos y discos, bloqueo del uso
de unidades de almacenamiento extraíbles, bloqueo de aplicaciones, filtrado del tráfico de
red, filtrado del contenido de los e-mails o incluso sellado y firma de documentos en el
propio documento, en función de quién lo manipula. La mejor iniciativa de gestión de
riesgos frente a la fuga de información es disponer de una buena política de gestión de
privilegios, además de concienciar y controlar al personal. Si apoyamos estas medidas con
recursos técnicos que restrinjan la ventana de oportunidad, la seguridad será aún más
efectiva.

Verificación en dos pasos como sistema de seguridad

Los sistemas de control de acceso a servicios informáticos, ya sean a una cuenta de usuario
o de un sistema operativo a un servicio "online", suelen constar de dos pasos básicos: nos
pregunta quiénes somos y nos pide que lo demostremos, es decir, nos pide el nombre de
usuario y la contraseña. Los nombres de usuario son fáciles de descubrir en demasiados
sistemas y la contraseña, aunque no debería ser tan fácil, solemos basarla en datos fáciles
de descubrir y además la repetimos en distintos servicios. Por este motivo, se inventó el
sistema de verificación en dos pasos, también conocido como segundo factor de
autentificación, y por sus siglas en inglés 2FA. Este refuerzo de los sistemas de control de
acceso suelen cumplir con una serie de preceptos fundamentales: para acceder al servicio
hay que cumplir con la doble verificación,

no escoger la que más nos apetezca. Al menos uno de los dos factores no debe estar basado
en la memoria del usuario, sino en la posesión del mismo. El más común de los sistemas de
verificación en dos pasos hoy en día es la contraseña y un código TOTP, acrónimo inglés
de contraseña de un único uso basada en el tiempo. El TOTP es un número que cambia con
el tiempo y que obtendremos mediante un "token" electrónico o una aplicación en nuestro
teléfono móvil o computadora. Estos códigos suelen tener un tiempo de vida de 30
segundos, transcurridos los cuales, cambian. En el caso de los controles de acceso,
llamamos al generador de códigos "security token" o simplemente "token. Estos códigos se
generan en base a una ecuación matemática cuyos valores fijos son un instante de tiempo
específico y un número aleatorio conocido como "semilla". La variable de la fórmula es el
tiempo transcurrido desde el instante prea cordado entre "token" y servidor. Cuando
habilitamos un "token" para que sirva de generador de códigos para acceder a un servicio,
lo que hacemos es definir en ambos el algoritmo y sus parámetros, el instante temporal y la
semilla. Así, cuando queramos acceder al servicio, tras haber introducido una contraseña
válida, solicitaremos un código al "token" y el número que nos proporcione será igual al
que está esperando el servidor. Originalmente estos "tokens" TOTP eran unos pequeños
dispositivos electrónicos con una pantalla de cristal líquido que mostraban un número en la
pantalla al pulsar un botón.
Actualmente, los "token" hardware casi han desaparecido en el uso privado, ya que
cualquiera puede usar su teléfono móvil y una aplicación que hace la misma función sin
necesidad de que llevemos otros aparatos encima. Pero en el mundo empresarial siguen
usándose los "tokens" electrónicos, sobre todo si la empresa no proporciona un móvil al
empleado, para que este no tenga que tener una aplicación de seguridad de la empresa en su
teléfono particular.

Hoy en día, empresas tan importantes como Microsoft, Apple o Google han implementado
esta tecnología para que los usuarios de Outlook, iCloud y Gmail que lo deseen la activen
para hacer más seguro el acceso a esos servicios. En páginas web como twofactorauth.org,
podemos comprobar qué grandes empresas con servicios "online" ofrecen la verificación en
dos pasos para acceder a sus servicios. Otras empresas han optado por alternativas más
cómodas para el usuario, como enviarle un SMS o notificación al móvil con el código que
deben introducir tras verificar que usuario y contraseña son correctos. Evidentemente, este
mensaje solo se envía a un dispositivo previamente acordado por el servicio y el usuario.
 La implementación del segundo factor de autentificación es buena idea tanto si somos
usuarios de un servicio como si la implementamos para securizar el acceso de nuestros
empleados a herramientas internas de la empresa, o para que nuestros clientes accedan a los
servicios que les ofrecemos. En el caso de emplear la verificación en dos pasos para los
miembros de nuestra empresa, es conveniente usar los "token" electrónicos o que los
trabajadores tengan móvil de empresa, para que no tengan que instalar la aplicación en sus
teléfonos personales, sobre los cuales no tenemos ningún control. También existen sistemas
de doble verificación como llaves USB,

que deben estar conectadas a una computadora para que nos permita utilizarla, aunque
sepamos las contraseñas. De este modo, si nos levantamos de nuestra mesa para ir a una
reunión, con desactivar el "token" la computadora quedará bloqueada y por tanto más
segura. Aunque existen estándares que pueden ayudarnos a implementar un sistema TOTP
en nuestros servicios y aplicaciones, también existen empresas que proporcionan estas
herramientas para implementarlas en nuestras plataformas, de forma que podamos
despreocuparnos de su desarrollo y mantenimiento. Incluso en controles físicos de acceso
se usan sistemas de doble verificación combinando códigos, lectores de tarjeta, sensores
biométricos de diverso tipo, etc. La cuestión es que existen muchas opciones que no
influyen negativamente en la usabilidad de un sistema para que las contraseñas dejen de ser
el punto débil del mismo, y debemos considerar seriamente su implementación para
mejorar nuestra seguridad y la de nuestros clientes

6. Medidas reactivas contra los riesgos de seguridad.

Desconexión general de equipos ante un ataque

Nuestros protocolos de gestión de riesgos suelen estar orientados a mitigar la posibilidad de

que una amenaza se materialice, pero hay ocasiones en que aun a pesar de todos los
esfuerzos, llega el día en que sufrimos un ciberataque y tenemos que reaccionar. No vamos
a tratar aquí por qué llegó o si tomamos las medidas suficientes, eso vendrá después. Ahora
mismo, en este preciso instante, hemos detectado que estamos siendo atacados, no que
entraron y se fueron. Sea cual sea el tipo de ataque, está teniendo lugar en este momento y
tenemos que tomar una decisión. ¿Lo desconecto todo? Pues bien, como de lo que
hablamos es de hacer un plan de gestión de riesgos, si nos están atacando ahora tendríamos
que seguir el protocolo que diseñamos para estos casos, para el cual tendremos que volver
atrás y preguntarnos qué tipo de ataques podemos sufrir. Ya sabemos que podemos sufrir
un ataque distribuido de denegación de servicio o DDoS,

que consiste en realizar tantas solicitudes a la vez a nuestro servidor o red que no sea capaz
de procesarlas todas y colapse. En estos casos, si no tenemos forma de filtrar el tráfico o de
aumentar los recursos para atender más solicitudes, tendremos que dejar que el sistema
caiga o desconectarlo. Si cae, pueden ocurrir daños, como por ejemplo la corrupción de
alguna base de datos. Pero si lo desconectamos, podemos estar dejando sin servicio a
solicitudes de conexión lícitas. En este caso, la opción más acertada desde el punto de vista
de la seguridad sería la desconexión. La duración de un ataque de denegación de servicio
distribuido es indeterminada, no se puede predecir, así que mientras tanto podemos ir
creando poco a poco filtros en base a país de origen, a rangos de IP o a cualquier otro tipo
de filtro que se nos ocurra. Lo importante es que una vez que cese el ataque, el servidor esté
sano como para retomar la actividad normal. Pero hay casos peores, como un ataque
coordinado en el que los ciber atacantes han logrado acceder a nuestros equipos y operan
desde ellos dentro de nuestra propia red. En este caso, el instinto nos dicta que cortemos los
cables y tratemos de volver a poner todo en orden.
Para mí, es la opción más sensata a corto plazo, pero puede ocurrir que una vez que nos
pongamos a desenmarañar lo que nos hayan hecho no lo encontremos, o peor, que no
descubramos por dónde han entrado o qué nuevas puertas han abierto. En estos casos, si
además se quiere recoger toda la información que sea posible para posteriores
investigaciones policiales, podemos optar por dejar que el ataque continúe mientras nos
enfrentamos a él, en lugar de rehuirlo con la desconexión. Pero esta opción es únicamente
recomendable si en nuestro equipo contamos con profesionales de la seguridad, capaces de,
simultáneamente, rechazar el ataque y recabar evidencias legales de forma apropiada. Si no
disponemos de un equipo así ni de la posibilidad de contratarlo y que llegue a tiempo, es
mejor cortar por lo sano y contratar a ese mismo equipo de profesionales y forenses para
que recuperen lo que sea posible y recopilen evidencias a posteriori. Ni qué decir tiene que
no podemos permitir que un ataque continúe si no disponemos de copias de seguridad que
no estén "offline", es decir, fuera de la red que está siendo atacada. Si no dispusiésemos de
esas copias, el ataque podría corromper las copias que sí tengamos y por tanto imposibilitar
cualquier oportunidad de recuperarlo.

Hemos hablado de desconexión de la red de datos y de los accesos a Internet, pero lo

primero que hay que desactivar, prácticamente sin dudar, es la red inalámbrica, ya que ese
puede ser el punto de entrada y no la conexión a Internet. Por último, nos queda la
desconexión más radical: cortar el suministro eléctrico. Esta es una acción no recomendable
para ningún equipo informático. Estamos educados desde hace décadas para no apagar
mediante el "botonazo", porque la información en proceso que no esté correctamente
guardada puede corromperse. Pero en los casos en los que la amenaza sea precisamente esa,
un "malware" o un atacante que está borrando información deliberadamente o cifrándola,
como en el caso de los "ransomware", lo mejor es cortar por lo sano y evitar que el proceso
continúe. Una vez que la computadora está apagada, tampoco el "malware" podrá seguir
haciendo su trabajo. Quizás tengamos que recurrir a empresas de recuperación de datos o a
las copias de seguridad, pero también es posible que salvemos más que si vemos cómo todo
desaparece ante nuestros ojos. Así pues, en nuestro plan de riesgos debemos pensar qué
cosas nos pueden ocurrir para no tener que meditar sobre qué acciones tomar. Lo mejor es
crear un árbol de preguntas que en función de las respuestas nos conduzcan a un sí o a un
no respecto la decisión de desconexión de red o del suministro eléctrico. Así evitaremos
que el pánico nos impida decidir.

Análisis de registros en busca de pistas

Cuando las desgracias ocurren, ya sean ciberataques, fallos de sistema, pérdida o fuga de
datos, no podemos dar por solucionado el problema hasta que descubrimos las causas y
depuramos responsabilidades. Soy un firme defensor de los "logs" o registros, esos
enmarañados archivos de texto con miles y miles de líneas encabezadas por una fecha, que
informan sobre los procesos que van teniendo lugar en cada aplicación, cada sistema
operativo, en cada dispositivo de red. Los registros son la memoria de lo que ocurre en
nuestra infraestructura. Por eso cuando se diseña hardware o software considerar qué se va
a registrar y cómo se van a crear esos registros puede ser muy útil para las tareas de
depuración, que es una forma de registro exhaustiva también conocida como "debug
logging", utilizada para controles de seguridad y reconstrucción de eventos. La memoria de
los registros será tan longeva como el registro más antiguo que almacene. Pero los registros
ocupan espacio de almacenamiento y suelen borrarse los archivos más antiguos. Es decir,
por cada nuevo archivo de registro borramos el más antiguo. A pesar de esto, debemos
tener en cuenta que hace tan solo un año el tiempo promedio de detección de "malware" en
las computadoras de empresas estudiadas por Cisco era de ocho meses. Aunque eso solo es
el promedio, gran cantidad de "malware" tarda más de un año en ser detectado y algunos
jamás llegan a descubrirse.

Por eso tenemos que dimensionar el tamaño del almacenamiento de nuestros registros para
que sean capaces de absorber todos los "logs" que reciban durante el tiempo que
consideremos apropiado. Otra opción es no borrar registros, pero suele ser un método
bastante caro que implica adquisición de discos duros nuevos y almacenamiento de los
antiguos. Los sistemas de registro suelen estar en la misma máquina cuya actividad
registran, lo cual es muy arriesgado, porque un "malware" o un atacante podrían llegar a
manipular los "logs" dejándonos sin evidencias con las que reconstruir lo sucedido. Por este
motivo, es esencial no solo que los registros se hagan o se copien a un servidor
específicamente dedicado para ello, sino que ese registro general debe contar con su propia
copia de seguridad, preferiblemente "offline". Y ni qué decir tiene que no debemos
conceder a nadie permisos de escritura sobre los archivos de registro, salvo al propio
sistema que recibe los "logs" de los demás equipos.

Los "logs" más primarios o básicos a nivel informático que podemos necesitar analizar tras
un incidente son los registros del propio sistema operativo. Este registro guarda eventos
como conexión y desconexión de unidades externas, inicios y cierres de sesión de usuarios,
conexiones y desconexiones a redes de datos y muchísimo más. Prácticamente cualquier
cosa que hace la computadora queda registrada ahí. En el caso de Windows, se puede
acceder a dicho registro mediante el visor de eventos o "Event Viewer". En las
computadoras con MacOS o Linux, podemos encontrar los registros en la carpeta /var/log.
Y específicamente en MacOS, en la aplicación Consola. La aplicación por defecto para ver
los registros en Windows es el visor de eventos o "Event Viewer", mientras que en Linux o
MacOS podemos usar la consola integrada. De todos modos, los archivos de registro suelen
ser archivos de texto plano con la extensión .log que incluyen una línea de texto por cada
evento registrado. Cada evento suele empezar con un "timestamp", que es la fecha y hora
del reloj del equipo en el momento del evento. A continuación se añaden el resto de datos
relativos a la aplicación, acción, variables, etcétera que se quieran registrar. Como estos
archivos son texto plano, podemos acceder a ellos con cualquier editor de textos, aunque es
más cómodo utilizar aplicaciones de análisis de "logs" que nos permitirán aplicar filtros por
fecha y hora, resaltar eventos por palabras clave, hacer búsquedas de manera sencilla, etc.
Para otros equipos como dispositivos de red, herramientas multimedia, sistemas domóticos
o de control industrial,

suelen emplearse sistemas centralizados de registro como por ejemplo "syslog", un

protocolo ideado en 1980 que se usa para recolectar y administrar mensajes de registro de
eventos provenientes de otros equipos o plataformas. Este protocolo consta de un cliente
que forma parte del propio software o sistema cuya actividad se va a registrar y de un
servidor al que los clientes envían dichos registros. Es un estándar no oficial pero cuya
flexibilidad ha permitido que su uso sea muy extendido e implementado por múltiples
fabricantes, y por lo tanto es una opción más que fiable para implementar, y bastante
sencilla. Si en nuestro plan de gestión nos hemos preocupado de saber qué equipos de
nuestra infraestructura pueden registrar su actividad, o mejor, de que todos lo hagan,
sabremos dónde buscar la información cuando tengamos un problema. De hecho, el análisis
de los registros puede llegar a revelar problemas cuya existencia desconocíamos. Por eso su
análisis también debe formar parte de la etapa de evaluación del plan de riesgos, incluso
aunque no se haya detectado ningún problema al que tengamos que reaccionar.

Copias de seguridad como método de defensa

Ante las desgracias y las catástrofes, todos nos hemos planteado alguna vez aquello de
"ojalá pudiera volver atrás en el tiempo". Pues en informática podemos si nos preocupamos
de ello. Obviamente, con las copias de seguridad o "backups". Esto no es una sugerencia o
una posible idea que pueda convenir o no a nuestra empresa, es una obligación incluso si no
nos planteamos desarrollar un plan de gestión de riesgos a conciencia. No nos lo tomemos
como una opción a considerar, porque es la única opción. Las copias de seguridad nos
permiten recuperarnos de gran cantidad de riesgos: fallos de hardware que impiden acceder
a la información almacenada, fallos de software que corrompen la información,
modificaciones accidentales o maliciosas de archivos o bases de datos, pérdida de
información o de sistemas completos por ciberataques y muchas otras causas. Para que un
plan de copias de seguridad sea eficiente y pueda resultar útil en el peor momento, debe
cumplir una serie de requisitos de periodicidad, contenido, disponibilidad y seguridad. Las
copias de seguridad deben ser tan periódicas como sea posible. Hay que buscar el punto de
equilibrio entre la alta frecuencia de las copias y el coste en almacenamiento que ello
supone. Cuantas más copias queramos conservar más almacenamiento necesitaremos, pero
a mayor frecuencia, menor tiempo de recuperación. Pongamos un ejemplo, si hacemos
copia el día uno de cada mes de nuestra computadora o teléfono, en el peor de los casos
tendremos que restaurar la copia el último día del mes y habremos perdido el trabajo
intermedio. Si la copia fuese cada lunes, en el peor de los casos solo tendríamos que
recuperar siete días de datos. Pero el tamaño de las copias y su almacenamiento también
influye. Si por ejemplo podemos conservar cinco copias, tendremos copias de los cinco
últimos meses o de las cinco últimas semanas. Dependiendo de la antigüedad del problema
del que queramos reponernos, puede ser suficiente o no. Lo óptimo es alta frecuencia y un
gran número de copias, para que puedan ir muy atrás en el tiempo, pero al final siempre
tendremos que buscar un compromiso. Dado que nuestros recursos son limitados,
tendremos que decidir qué combinación de edad de las copias y de frecuencia de las
mismas es más conveniente.
El contenido de las copias de seguridad debe abarcar como mínimo todo aquello que sea
irrecuperable. Por ejemplo, si hay que prescindir de algo, no es necesario hacer un
"backup" del sistema operativo. Pero bajo ningún concepto debemos dejar de copiar
nuestros documentos y bases de datos, las que nosotros hemos creado. Si se pueden hacer
copias integrales, mejor, porque el tiempo de restauración será más corto que si hay que
recuperar primero el sistema y luego las copias. Cuando salvaguardamos nuestro trabajo,
debemos tener en cuenta todo lo que hace funcionar ese trabajo. Deberíamos respaldar
también archivos de configuración de nuestros equipos, ya sean servidores, equipos de red
o sistemas de control industrial; cualquier equipo es importante. También hay que procurar
respaldar los registros o "logs", porque en caso de sufrir un ciberataque es lo primero que
van a intentar borrar los atacantes antes de desconectarse. Para que una copia de seguridad
sirva como medida reactiva en el corto plazo, debe estar disponible de forma eficiente.
Básicamente podemos simplificar este punto calculando que el tiempo que tardemos en
tener la copia disponible nunca debe exceder al de la restauración de la propia copia. Esto
se aplica sobre todo a copias almacenadas remotamente, ya sea por medios telemáticos o
transportando físicamente el soporte digital. Si hay que restaurar un archivo, es conveniente
tener acceso al mismo de forma local, en nuestra propia oficina. Pero si hay que restaurar
un disco de nuestro servidor o computadora, podríamos haberlo almacenado en otra
ubicación geográfica. Esta ubicación no debería ser tan inalcanzable que no podamos
disponer de la copia el mismo día o como mucho al siguiente, en función de la hora a la que
surja la necesidad. La seguridad de los respaldos es fundamental. Ante todo no debemos
poner todos los huevos en la misma cesta. Es decir, que hay que hacer distintas copias en
distintos soportes y ubicaciones, para empezar porque los soportes sobre los que hacemos
copias son tan susceptibles a las averías como los equipos a los que respaldan. Las copias
que guardamos localmente muchas veces están conectadas en red, como es lógico, con los
equipos de los que guardan respaldos, lo cual también las hace vulnerables a las
ciberamenazas. Las copias "offline" son más seguras, pero no permiten automatización de
procesos. Si es posible, deberíamos tener una copia en red o disponible "online" para
pequeños problemas y dos copias "offline" para situaciones más graves: una guardada
nuestra propia oficina y otra en una ubicación geográfica distinta, para evitar que una
catástrofe pueda dañar simultáneamente todas las copias. Por tanto, tengamos siempre
copias de seguridad disponibles, tan frecuentes y a la vez longevas como sea posible. Y
pensemos en la seguridad de las propias copias, ya que son nuestra última línea de defensa
cuando los riesgos se materializan de forma que ni habíamos imaginado. En serio, haz
copias de seguridad.

7. Ransomware o secuestro de la informacion.

El riesgo del ransomware y el plan de contingencia

Este capítulo del curso lo vamos a dedicar a evaluar el riesgo específico del "ransomware".
El "ransomware" es una de las familias de "malware" que pueden causar problemas en la
infraestructura informática de nuestra empresa. Las acciones más habituales que el
"ransomware" acomete en nuestros equipos son el bloqueo del mismo y el cifrado de
nuestros archivos. Siempre que ha existido una normativa o legislación, hay quien la
quebranta, bien en solitario, bien en asociación con otros sujetos. Estas asociaciones
criminales son un hecho en el mundo de las ciberamenazas y una de las actividades más
rentables que han encontrado para ganar dinero de forma ilícita es el secuestro de equipos o
de información, es decir, el "ransomware".

Existen desarrolladores de "ransomware" que crean sus propios sistemas de explotación y

otros que venden u ofrecen el "ransomware" como un servicio a cambio de comisiones a
organizaciones criminales con mayor capacidad de blanqueo de capitales. Hay muchas
familias de "ransomware" siendo explotadas en la actualidad, la más conocida y que casi ya
no se usa es el conocido como virus de la policía, que simula ser un bloqueo de la policía
que pide el pago de una multa como pena por haber cometido alguna actividad ilícita
"online". Este método ha evolucionado a sistemas de bloqueo que afectan a determinados
sectores del disco duro, pero de los que se puede recuperar la información para empezar
desde instalaciones nuevas. Los "ransomware" más comunes en la actualidad, una vez que
se ejecutan en nuestra computadora o teléfono
 –porque también los hay para móviles– empiezan a crear copias encriptadas de nuestros
archivos y a borrar las originales. Entonces, el propio "ransomware" nos informa sobre lo
que acaba de hacer, nos informa de que ya no tenemos acceso a nuestra información, algo
que podemos comprobar navegando por el explorador de archivos. Y nos informa de cuánto
y cómo debemos pagar para recibir un programa que nos devuelva nuestra información. Si
el "ransomware" es lo suficientemente potente en cuanto a su diseño, explorará también
toda unidad externa y ubicación de red disponible desde nuestro usuario en la computadora
y también cifrará lo que en esas unidades se encuentre. Esto es especialmente común en
empresas con sistemas de compartición de recursos en red. Incluso si el "ransomware" llega
a ejecutarse sobre nuestros servidores, puede propagarse al resto de equipos, o al revés,
alcanzar el servidor desde un equipo infectado y desde allí propagarse. En la actualidad, el
mayor problema es la pérdida de información. Pero la Unión Europea está trabajando cada
vez más en legislaciones que protejan la información privada que la gente pone a
disposición de las empresas. Estas legislaciones son de aplicación a cualquier empresa,
europea o no, que opere en el territorio europeo, aunque sea a través de servicios en
Internet. La nueva legislación, que será de aplicación en torno a 2018, obligará a las
empresas que sean víctimas de ciberataques, sean "ransomware" o no, a reportarlo a las
autoridades policiales, y muy posiblemente a los propios usuarios, ya que sus datos
privados pueden haberse visto comprometidos. Esto supone un grave perjuicio para la
reputación de una empresa y además puede conllevar graves sanciones económicas. Ni qué
decir tiene que al estar tratando con criminales, el pago del rescate no nos proporciona
ninguna garantía de que el descifrador que recibamos, si los recibimos, sea capaz de
recuperar parte o la totalidad de nuestros datos.
 Además, tampoco podemos estar seguros de que el propio descifrador no sea una bomba
de relojería que vuelva a cifrarnos los datos pasado un tiempo; un "backdoor" para poder
acceder ilícitamente más tarde a nuestros equipos; o el instalador de otro "malware" que
convierta a nuestros equipos en esclavos de una "botnet" o red de ordenadores secuestrados.
Enumeremos algunos de los riesgos derivados del "ransomware": pérdida de acceso a
nuestras computadoras, pérdida de nuestros datos, infecciones por otro tipo de "malware",
pérdida de dinero por pago de rescate o por tareas de recuperación del problema, daño para
la reputación de la empresa, posibles consecuencias legales y más que seguro que se nos
ocurren. Si evaluamos el nivel de importancia del "ransomware" como riesgo, debemos
observar primero su frecuencia y probabilidad para después cuantificar la gravedad del
impacto. La frecuencia de los ataques de "ransomware" es muy alta. Es casi imposible que
alguna empresa o particular no haya recibido nunca un e-mail fraudulento que le invita a
descargar una factura o cualquier otra herramienta de ingeniería social que pretende
hacernos caer en la trampa. La ingeniería social es su principal puerta de acceso y la
segunda son las vulnerabilidades de nuestro sistema, principalmente en navegadores no
actualizados o con "plugins" vulnerables. La gravedad del impacto, basándonos en lo ya
comentado, es o muy grave o extrema. Y combinando este dato con la alta probabilidad,
nos encontramos ante un riesgo de tipo intolerable frente al que deberemos diseñar planes
de mitigación y de respuesta.

Prevención del ransomware: medidas fundamentales

Sabiendo que el "ransomware" es un riesgo intolerable para nuestra empresa, dado que
puede dejarnos sin acceso a nuestros equipos, haber anulado cualquier acceso a nuestros
datos e incluso causando un daño terrible a nuestra reputación, está claro que debemos
crear una política específica de protección frente a este problema dentro del plan de gestión
de riesgos de nuestra empresa. Para saber cómo protegernos, pensemos primero en los
vectores de infección empleados por este tipo de "malware", es decir, cómo llega a
instalarse y a ejecutarse en nuestras computadoras.
Las vías principales son la ingeniería social y los "exploits", siendo la primera de estas la
más recurrente y sorprendentemente fácil. La ingeniería social trata de engañar al
individuo, no a la máquina. Es el usuario el que es "hackeado", no la computadora o el
teléfono. El medio más comúnmente empleado para atacar con este tipo de "malware" es el
"phishing", e-mails cuyo formato, imágenes, lenguaje e idioma son muy parecidos a los de
una empresa o institución de reconocida reputación, como bancos, administraciones
públicas, empresas de transportes, etc. Estos e-mails suelen advertirnos de facturas
pendientes, paquetería pendiente de entrega o cualquier otra excusa que case con la
actividad de la empresa real a la que emula el criminal, y nos adjunta un archivo,
normalmente comprimido, que jamás debemos descomprimir, abrir ni ejecutar. Parece
complicado caer en la trampa, son demasiados pasos como para no darse cuenta, pero aún
así funciona. Miles de personas en el mundo en computadoras particulares o de empresas
caen en estas trampas. Podemos sucumbir al engaño por prisa, por desidia, por ignorancia o
en el peor de los casos por curiosidad. Para evitar todo esto, hay que prestar atención a los
detalles que nos indicarían que ese e-mail no es lícito. Y para aprender esas técnicas, lo
mejor es la concienciación y el entrenamiento. Todo miembro de nuestra empresa debería
estar concienciado. Dice el refranero que una cadena es tan débil como su eslabón más
débil. Y de igual forma ocurre con la seguridad: basta un trabajador inconsciente o
despreocupado para que un ataque de "ransomware" tenga éxito y nos cause graves
problemas. Por eso, aunque siempre habrá personas más atentas que otras, debemos
conseguir mediante educación, formación e incluso pruebas que el perfil de seguridad sea
cada vez más alto.

Parte de la concienciación puede consistir en ataques controlados. Es decir, en que las

personas responsables de seguridad en nuestra empresa o en una empresa subcontratada
realice ese tipo de ataques, generalmente de "phishing", para comprobar cuántos miembros
de la empresa picamos en el anzuelo, y después explicarnos por qué hemos fallado y cómo
podemos evitarlo en lo sucesivo. Frente a los "exploits", lo más importante es mantener
todo nuestro software actualizado, ya que la mayor parte de las actualizaciones incluyen
mejoras de seguridad. También es recomendable eliminar software o extensiones cuya
seguridad está altamente cuestionada, como por ejemplo Java y Flash como complementos
de los navegadores web. El filtrado de tráfico no es lo más eficiente, pero puede resultar útil
si se dispone de tablas de IP de baja reputación. No es de gran eficiencia frente al
"ransomware", pero siempre reduce un poco la ventana de oportunidad de los ataques. Ni
qué decir tiene que para evitar que el daño de un "ransomware" sea de proporciones
inimaginables, más nos vale que no afecte a usuarios con privilegios de administrador.
Debemos trabajar con cuentas sin privilegios de administración y recurrir a ellas
únicamente cuando tengamos que realizar tareas de mantenimiento, actualizaciones, etc.

Existen además soluciones específicas para prevenir que las vulnerabilidades de un sistema
o de las aplicaciones instaladas puedan ser explotadas. Son herramientas conocidas como
"anti-exploit" y una de las más accesibles para su implementación es EMET, acrónimo de
"Enhanced Mitigation Experience Toolkit",

que es un "set" de herramientas de Microsoft para mitigar la incidencia de los "exploits".

Existen muchos fabricantes y herramientas dedicados específicamente a la detección de
"exploits" y a evitar "malware" como el "ransomware", cada uno con sus ventajas e
inconvenientes, que deberemos evaluar en cada caso en contraposición a nuestras
necesidades, para escoger el más adecuado. Es conveniente que nuestros responsables de IT
se mantengan informados sobre las distintas familias de "ransomware" conocidas y sepan
qué recursos emplean nuestras computadoras, de forma que puedan configurar políticas de
seguridad aplicables a nuestros equipos e incluso anulen permisos en carpetas que los
usuarios realmente no necesitan pero que "ransomware" emplea para ejecutarse. El acceso a
recursos de red como NAS o espacio compartido en servidores debe estar perfectamente
compartimentado con permisos asignados por grupos y por usuarios, para que si alguien se
ve afectado, la crisis no abarque más allá de su área de trabajo. Los antivirus no son las
herramientas más eficientes contra el "ransomware", pero tienen cierta la tasa de éxito y
pueden ayudar a prevenir.

En ocasiones su detección es tardía, pero pueden evitar que el "ransomware" siga operando
y así limitar el daño. Son una barrera más en la defensa multicapa que debemos construir en
nuestros sistemas. Por tanto, debemos trabajar sobre varios puntos para incrementar la
seguridad, de forma que reduzcamos la probabilidad de éxito de infección por
"ransomware": concienciación de los usuarios, limitación de privilegios en los equipos y
recursos de red, filtrado de IP de baja reputación, actualización de software, protección
"anti-exploit" y antivirus.

Estoy infectado por ransomware, ¿qué hago?

El "ransomware" es un modelo de negocio, es una herramienta de secuestro de información

empleada por criminales para secuestrar la información de sus víctimas y exigir un pago
como rescate. Dado que las campañas de "ransomware" no suelen ser ataques específicos,
sino que suelen atacar a nivel global o por países, es fácil para los criminales experimentar
y descubrir cuál es el precio más alto que la mayor parte de sus víctimas están dispuestas a
pagar, haciendo extremadamente rentable el negocio. Los rescates suelen pagarse
actualmente en "bitcoins", que son unas monedas virtuales con un valor fluctuante frente a
las divisas legales, como cualquier moneda nacional. La gran ventaja que aportan las
criptodivisas como "bitcoin" a los criminales es que trazar sus transferencias es altamente
complicado, sobre todo si el objetivo es descubrir quién es el destinatario final del dinero.
Por tanto, es un dinero ilegal relativamente fácil de blanquear.
 Por este motivo, lo correcto es no pagar nunca. Pagar los rescates hace que el negocio sea
rentable para los criminales y que continúen repitiendo su modelo de negocio. Además, si
hemos pagado una vez, ¿por qué no íbamos a pagar una segunda o una tercera vez?
Habiendo tomado la dura decisión de no pagar, lo siguiente que haremos será darnos a
nosotros mismos las gracias, porque en su día calibramos los peligros del "ransomware" y
elaboramos un plan de prevención y respuesta que incluía copias de seguridad "offline" que
no han podido verse cifradas por el "ransomware", ya que están en una ubicación segura
desconectadas de la red. El primer paso entonces será, con una computadora que no haya
estado al alcance de la red afectada, comprobar que las copias de seguridad están realmente
disponibles y en buen estado.

En este paso podemos ser doblemente precavidos y clonar las copias de seguridad antes de
trabajar con ellas, por si ocurriese cualquier tipo de desgracia, como por ejemplo que se nos
dañasen por una descarga eléctrica o se rompiese un disco duro en una caída. Antes de
hacer nada más, debemos plantearnos si vamos a necesitar la ayuda de profesionales
externos, lo cual es aconsejable, siempre que la empresa a la que contratemos sea realmente
experimentada en estos asuntos. Si decidimos continuar adelante por nuestra cuenta
habiéndonos asegurado primero de que las copias de seguridad están disponibles,
procederemos a investigar el "ransomware" y buscaremos descifradores que expertos en
seguridad que se hayan enfrentado previamente al mismo "ransomware" hayan podido
programar y poner a disposición del público.
Si encontramos alguna de esas soluciones, es conveniente que antes de aplicarla sobre el
disco duro de algún equipo infectado lo clonemos y probemos sobre el disco clonado.
Aunque la operación de los descifradores tenga éxito, no deberíamos continuar trabajando
desde esas unidades. Lo que deberíamos hacer es extraer la información, es decir, los
archivos de datos, documentos, bases de datos y demás información, dejando cualquier tipo
de ejecutable o archivo sospechoso fuera de esta salvaguarda. Si no localizamos
descifradores para el "ransomware" que nos ha afectado, podemos guardar los discos
afectados por si en un futuro alguien programara esa herramienta específica y pudiéramos
recuperar la información. Tanto si los descifradores existen y funcionan como si no, no
debemos volver a usar los discos duros de los ordenadores afectados, ya que algunos
"ransomware" afectan a espacios específicos de los mismos que podrían permitirle
sobrevivir a un formateo. Por tanto, siempre deberemos restaurar nuestros equipos con
discos nuevos o que hayan sido sometidos a un proceso de borrado seguro.

Cuando restauremos los equipos, podremos restaurar las copias de seguridad, o si hemos
tenido éxito en la recuperación de archivos, decidir si compensa cargarlos o nos basta con
los de las copias. Mi opción personal es que si la copia de seguridad disponible es lo
suficientemente reciente, nos olvidemos de otra opción que no sea la copia, así evitaremos
posibles transferencias de problemas de los discos infectados a las nuevas instancias de
nuestros equipos. Por último queda la parte de investigación y recopilación de datos.
Tenemos que evaluar si el procedimiento aplicado como respuesta al "ransomware" ha sido
eficiente. Para esta evaluación no debemos tener en cuenta si existía o no un descifrador
que nos ayudase, ya que la próxima vez podría no existir.

Viendo cómo ha funcionado el procedimiento de respuesta y sus costes en tiempo y

recursos, podremos recalificar el proceso para optimizarlo en caso de que volviese a
suceder. Lo siguiente que hay que evaluar es por qué han fallado las medidas de
prevención. Hay que hacer lo posible por descubrir cómo ha llegado el "ransomware" hasta
nuestros equipos. Esta labor es en ocasiones muy complicada y suele requerir la ayuda de
expertos externos cuya experiencia nos oriente. Además, deberíamos denunciar el hecho a
las autoridades para que quede constancia de que estas actividades ilegales están teniendo
lugar y para que, si ya se han enfrentado al mismo "ransomware", nos pueda ayudar.

8. Otras ayudas para nuestro plan de prevención.

Pentesting o vulneración de sistemas

La seguridad informática de nuestra empresa, vista desde la perspectiva de la informática y

las tecnologías de la información, abarca demasiadas materias y muchas veces es difícil que
controlemos suficientes conocimientos sobre todas ellas. En esos casos, sobre todo si
nuestra infraestructura informática y de comunicaciones es crítica, puede resultar
conveniente recurrir a ayuda externa para que nos ayuden con la gestión de riesgos. Hay
muchos y muy buenos profesionales de la seguridad informática que pueden ayudarnos a
identificar y evaluar riesgos en nuestra infraestructura e incluso a desarrollar los planes de
mitigación y los protocolos de respuesta. Uno de los trabajos que suelen hacer estos
profesionales para las empresas que les contratan es el "pentesting" o test de penetración.
El "pentesting" es una actividad profesional destinada a localizar, explotar, catalogar y
evaluar las vulnerabilidades de un sistema informático, incluyendo desde sus redes hasta
sus computadoras, y en algunas ocasiones hasta los propios usuarios. Para llevar a cabo un
ejercicio de "pentesting" lo primero que debemos hacer es buscar profesionales con
experiencia y buenas referencias. Con su asesoramiento podemos marcar las reglas del
juego y las precauciones a tomar antes de que la prueba tenga lugar. Se suelen firmar
contratos de confidencialidad, de consentimiento, de exención de responsabilidad y de
limitación de las pruebas. De este modo, las actividades que realice el "pentester" estarán
sujetas a contrato y por tanto no serán ilegales. El objetivo del "pentester" no es conseguir
acceder o dañar nuestra plataforma, sino hacerlo de todas las formas imaginables y
factibles. De esa forma comprobaremos las vulnerabilidades reales que nos afectan y por
tanto a qué riesgos nos enfrentamos.

Además, si el "pentester" documenta apropiadamente cada fórmula de ataque que ha

probado, el método empleado y el grado de éxito obtenido, a continuación, podrá
aconsejarnos sobre las medidas a tomar para anular cada una de las vulnerabilidades
detectadas. Hay dos estilos generales de "pentesting": el libre y el orientado.
En el formato libre el "pentester" es libre, dentro de los parámetros del contrato, de intentar
atacar nuestra infraestructura de tantas formas como se le ocurra. Mientras que en el
formato orientado, le daremos al "pentester" un objetivo específico a cumplir. En este
segundo estilo, incluso podemos hacer que nuestros administradores trabajen activamente
en impedir la incursión del "pentester" o los daños que pueda causar. Sería lo más parecido
a unos juegos de guerra.

Las pruebas de "pentesting" pueden realizarse también desde el interior o desde el exterior
de nuestra propia red, asumiendo que las amenazas pueden provenir desde ambos lados.
También hay que tener en cuenta que los objetivos de un atacante real pueden ser de lo más
variados: desde el robo de información, para lo que necesitará acceder a nuestros sistemas y
extraerla, lo cual puede hacerse a través de conexiones a Internet desde el exterior, o
conectándonos a la propia red interna de la empresa o incluso mediante soportes físicos si
tiene acceso presencial a los equipos.

Otro tipo de objetivo de un agresor puede ser el sabotaje, por lo que si logra los suficientes
accesos y privilegios, aunque no saque información podría dedicarse a destruirla. Y otro
tipo de ataque bastante común con objeto de causar perjuicio puede ser la denegación de
servicio o DOS, que como ya sabemos, puede orientarse a saturar el tráfico de red o a
colapsar los recursos de una computadora o servidor impidiendo que siga funcionando.
Para los ejercicios de "pentesting", solo hay que informar al personal imprescindible de
nuestra empresa para que tome las precauciones pactadas con el "pentester", de forma que
no se vayan a dañar las infraestructuras o a perder datos durante las pruebas, ya que el
"pentesting", aunque es una actividad practicada con sumo cuidado, puede llegar a causar
problemas. Además, informar a más personal del necesario podría hacer que la prueba
fuese irreal, y el objetivo es descubrir riesgos reales.
También hay profesionales que pueden hacer pruebas más allá de lo puramente técnico,
llegando a hacer experimentos de "phishing" o de otras técnicas de ingeniería social que,
más que poner a prueba nuestra infraestructura, pone a prueba a los usuarios. Para estas
pruebas hay que ser muy precavido y evitar que implique una ridiculización o humillación
de quien falla, porque puede llegar a ser contraproducente y además cualquiera somos
susceptibles a caer en ese tipo de ataques. Por ello, antes de contratar a un "pentester" hay
que comprobar referencias y experiencia. Después de seleccionado el "pentester" o la
empresa de "pentesting", se establecen las reglas del juego y las dejamos por escrito. A
continuación y en base a las reglas pactadas, firmar los contratos que eximen al "pentester"
de responsabilidad legal, ya que sin ellos cualquier ataque que realice será delito. El
siguiente paso es evaluar junto con el profesional y nuestro departamento de IT el informe
de resultados, para desarrollar los planes de mitigación de vulnerabilidades detectadas y los
protocolos de respuesta ante amenazas. El objetivo del "pentesting" es encontrar problemas.
Nunca debemos considerar un fracaso que el "pentester" detecte vulnerabilidades, sino todo
lo contrario, debemos alegrarnos de haberlas descubierto de forma controlada.

El perito informático y su valor legal

Cuando las cosas se han dado realmente mal, cuando los riesgos se han materializado y
debemos recurrir a la justicia, lo primero que tenemos que hacer es llamar a un perito
informático. Un perito es literalmente un experto en una determinada materia. Se considera
experto en una materia a alguien con una titulación académica en la misma o con una
amplia experiencia contrastable, aunque lo ideal es que disponga de ambas cosas. Cuando
hablamos de peritos informáticos, lo que buscamos son expertos en materia de computación
y comunicaciones capaces de analizar la información que pongamos a su disposición de
forma científica para desentrañar una verdad.
 El objetivo de un perito no es emitir juicios de valor, sino demostrar si algo es auténtico o
no, si algo puede haberse hecho o no. La clave está en la palabra demostrar. Un perito debe
ser capaz de tomar una serie de elementos que un cliente pone a su disposición y, sin
basarse en nada más, responder a la pregunta que le haga el cliente. Pongamos un ejemplo,
alguien en nuestra empresa ha filtrado información confidencial y necesitamos que se
investigue. El perito, previa firma de contratos de permisos y de confidencialidad, podrá
analizar por ejemplo las bases de datos de correos electrónicos y dictaminar si alguna
cuenta fue usada para enviar adjuntos no autorizados. Podría descubrir desde qué cuenta se
hizo y si hay posibilidad de que esos e-mails fuesen enviados sin el consentimiento del
titular de la cuenta. El perito no debe valorar la información exfiltrada, si el hecho es
constitutivo de delito o motivo de despido, tan solo analizar si el e-mail es auténtico y toda
la información demostrable que pueda encontrar sobre su origen y destino. Es importante
que esto quede claro y que nunca nos dejemos llevar por peritos que valoren los resultados
de sus investigaciones, no es su trabajo y no deben hacerlo. El auténtico profesional del
peritaje tan solo responde a la pregunta de su cliente demostrando la veracidad de su
respuesta. También puede ocurrir que la respuesta no guste al cliente, por ejemplo, que el
perito no detecte ninguna evidencia de que sea enviaron e-mails que coincidan con los
patrones indicados por el cliente o que aunque estén ahí, por el motivo que sea, no se pueda
demostrar su autenticidad. Tanto si la respuesta satisface el cliente como si no lo hace, si
está debidamente justificada, el perito habrá cumplido con su tarea. Si el motivo por el que
recurrimos a un perito es para llevar a los tribunales alguna causa o problema, es
conveniente que la actuación del perito cuente con el apoyo, según la legislación de cada
país, de un fedatario público,

como por ejemplo un notario, que de fe de que el perito hace lo que dice estar haciendo.
Esta es la forma en que se crean las cadenas de custodia, que no deja de ser más que una
herramienta documental y administrativa que garantiza que el elemento que va a ser
investigado no ha sido alterado desde el momento en el que se inicia el peritaje, de forma
que otros expertos puedan también analizarlo para comprobar si las conclusiones del primer
perito son válidas. Esto es lo que se conoce como contra pericial. Podemos necesitar un
perito para investigar cuestiones tan variadas como fugas de información, manipulación de
datos, investigación del origen de ciberataques sufridos, verificación de si ciertos datos
como e-mails, chats, imágenes, audios, bases de datos o cualquier otro tipo de información
pueden o no haber sido manipuladas.
Incluso hay casos en los que un perito debe demostrar si una red o un sistema es o no
vulnerable a ciberataques. Los peritos, además de ser expertos en la materia informática,
deben saber desarrollar y defender sus metodologías de investigación, sus conclusiones, ya
que en muchos casos tendrán que exponerlas ante un tribunal en el que una de las partes
querrá poner en duda o su profesionalidad o sus conclusiones. Y como hemos dicho, es
importante que no emitan juicios de valor, puesto que estarían abarcando un área que no les
compete. No obstante, deben conocer el entorno normativo y legislativo en que ejercen su
profesión, para no incurrir en faltas que les perjudiquen a ellos mismos o a sus clientes. Los
peritos informáticos, aparte de para aportar pruebas en denuncias policiales si somos
víctimas de un delito o si estamos litigando con alguien en los tribunales, también pueden
resultar de mucha ayuda para la identificación y evaluación de riesgos, sobre todo aquellos
que puedan estar relacionados con el cumplimiento del marco legislativo que afecte a
nuestro negocio, como por ejemplo la protección de datos personales, que es uno de los
temas más comunes.

Tasación del parque informático de nuestra empresa

Cuando desarrollamos nuestros planes y protocolos de gestión de riesgos, debemos tener en

cuenta que siempre habrá algo que nos pueda fallar o que hay riesgos que es inevitable que
lleguen a ocurrir, aunque sea algo tan simple como la muerte por uso de un disco duro. Para
esos casos, es importante haber evaluado o tener un método de evaluación tanto de nuestra
infraestructura informática como de nuestra información y datos.

La tasación es la estimación del valor económico de un bien o servicio. Los tasadores son
profesionales con competencias en la materia de los bienes o servicios a tasar y cuya
función es ponerle precio a esos bienes o servicios de una forma justificada. Hablando a
nivel profesional, las tasaciones deben calcularse y justificarse en base factores objetivos,
no podemos basarnos en opiniones subjetivas o en sentimientos para poner precio a las
herramientas de trabajo. El objetivo de tasar nuestro parque informático, y si se puede los
servicios e información que de él dependen, es poder aportar un valor económico a la
evaluación de ciertos riesgos para así poder ponderarlos objetivamente. Además, teniendo
este valor monetario en mente, podemos evaluar la proporcionalidad de nuestros planes de
gestión, de forma que podemos saber más o menos cuánto invertimos respecto a lo que
protegemos.

Cuando nos planteamos tasar nuestra infraestructura informática, debemos tener en cuenta
además del hardware, el software, ya que podemos tener mucho dinero invertido en él. A la
hora de ponerle precio a nuestros bienes, hay que tener en cuenta que este depende de para
qué le ponemos precio. No es lo mismo poner precio a un equipo para venderlo de segunda
mano que para sustituirlo en caso de que deje de ser funcional por el motivo que sea.
Cuando tasamos bienes para venderlos, debemos pensar en su precio original, su edad, el
estado de mantenimiento, etc.

Existen diversas fórmulas que ponderan estos valores, todas ellas relativamente subjetivas,
porque influye mucho en el precio el interés del comprador. Pero no es lo que más nos
preocupa para gestión de riesgos. En gestión de riesgos lo que nos preocupa es saber cuánto
nos va a costar sustituir un equipo que ya no nos sirve porque se ha dañado, porque ha sido
infectado por "malware" y no podemos utilizarlo o confiar en su seguridad o por el motivo
que se nos ocurra. No es lo mismo el precio que le ponemos a un equipo que vendemos de
segunda mano que lo que nos va a costar sustituir ese equipo en caso de necesidad. Esa
tasación es la que debemos considerar en nuestros planes de gestión de riesgos, la del coste
de reposición, es decir, queremos sustituir el equipo que ya no nos sirve por uno igual o de
similares prestaciones para que nuestra empresa pueda continuar operando con normalidad.
Obviamente,
si sustituimos un computador de hace cinco años, no podemos pensar en reemplazarlo por
uno de similares prestaciones, sino de gama equivalente en la tecnología disponible al
momento de realizar la reposición a nuevo. Y como es lógico, este coste de reposición
siempre va a ser superior al valor del equipo que reponemos si estuviese en condiciones de
ser vendido. Cuando el bien que debemos reemplazar no sea un producto de mercado sino
información, trabajo desarrollado propio o subcontratado, la valoración deberá estimarse en
tiempo, coste por hora de personas involucradas, materiales, etc. Por ejemplo, si nuestra
empresa realiza diseños gráficos, si perdemos una semana de trabajo por un "ransomware"
o por un robo de equipos, el coste de reposición de discos o computadoras será en base a
los precios de mercado, mientras que el coste de reposición de la semana de trabajo perdida
deberá calcularse en base al número de horas/trabajador necesarias para recuperar el estado
anterior de trabajo. Cuando estas tasaciones se realizan de forma profesional por peritos, su
valor puede tener un significado muy importante en procesos judiciales o al litigar con las
aseguradoras para recibir compensaciones.

Obviamente, todo este trabajo de tasación debe llevar una parte de preparación previa como
el inventariado exhaustivo de equipos, aplicaciones y trabajo, que se anticipe a los
problemas, para que en caso de que sucedan existan ya las variables sobre las que el tasador
pueda realizar su trabajo de forma objetiva. Por lo tanto, inventariar exhaustivamente
absolutamente todo el hardware y el software de la empresa y mantener dicho inventario
actualizado y con datos de coste original, fechas de compra, fechas de baja, proveedores,
etcétera es lo mínimo que debemos hacer para que una tasación sea fiable y así sepamos
cuánto puede costarnos reponer todo lo que perdamos en un incidente.