Consejos HC

Cómo evitar un ciberataque cuando eres una empresa de recambios con 380 millones de clientes

Nadie está a salvo de sufrir un ciberataque, si bien es cierto que cuando más 'importante' y más información maneja el potencial objetivo, mayor es la posibilidad de que los crackers se fijen en ti para ciberatacarle. Esto es lo que ha pasado con un proveedor líder en repuestos de automóviles.

Imagen representativa de una tienda de recambios de coches
Imagen generada por la IA de Bing

Norauto, Feu Vert, Aurgi, Midas, Euromaster… son algunas de las más conocidas tiendas de reparación y recambios más conocidas de nuestro país. Su ‘público objetivo’ es amplísmo, ya que se compone de todo tipo de usuario que necesita o bien hacerle un mantenimiento a su vehículo o bien adquirir algún tipo de componente o pieza para arreglar algo en su coche, furgoneta, camión…

Se deduce fácilmente que estas cadenas de tiendas manejan ingentes cantidades de información, tanto de los clientes como de sus vehículos. Por lo tanto, ahí lo tienes: son un potencial objetivo para los piratas informáticos. Sin ir más lejos, la empresa Advance Auto Parts, con más de 90 años de historia y que opera cerca de 4.785 tiendas en norteamérica, ha padecido recientemente un ciberataque, tal y como nos cuentan los expertos del Área Técnica de EUROCYBCAR.

Teniendo en cuenta este suceso y que cada vez parecen producirse más a menudo, hemos querido averiguar si sería posible evitar este tipo de ciberataques, así como las medidas que cualquier empresa del sector de la automoción debería implementar si no quiere convertirse en el siguiente ‘blanco’.


Del primero al último: Una formación para todos

Es importante contar con una formación básica en ciberseguridad. Seguramente hayas escuchado hasta la saciedad aquello de que ‘el elemento humano es el eslabón más débil en la cadena de la ciberseguridad‘. De hecho, ta y como se destacaba en un informe de Verizon, el 85% de las infracciones de seguridad cibernética son causadas por errores humanos. Es importante destacar el término ‘error’, pues hace referencia a la no intencionalidad por parte de la persona de desencadena un posible ataque.

Por eso, resulta fundamental que absolutamente todos los empleados de una empresa que manejen dispositivos electrónicos -móviles, tablets, odenadores o cualquier otro aparato ‘conectado’-; por lo tanto, es algo que involucra tanto a los empleados de menor nivel como a los altos directivos, pasando por los mandos intermedios. En estos casos, la formación en ciberseguridad consiste en dotar de conocimientos y herramientas necesarias a la plantilla de una empresa.

No es algo obligatorio para las empresas, pero sí muy aconsejable, ya que como figura en el Reglamento General de Protección de Datos, saber cómo se controla y gestiona la información puede evitar que se produzcan fugas… que sí que puede tener graves consecuencias económicas -en forma de multas- para la empresa afectada -más allá de cómo pueda afectar también desde el punto de vista de la confianza, la imagen pública o la reputación-.

Si quieres ir un paso más allá en cuanto a formación y tu empresa desarrolla su labor para algún sector relacionado con la automoción o la movilidad -puede ser un fabricante de vehículos, una compañía aseguradora, un taller, un concesionario…- también es interesante que contemples formaciones específicas que combinen la ciberseguridad con el mundo del motor. En ese caso, te recomendamos que visites los cursos del Área de Formación de Grupo CYBENTIA.

Imagen representativa de una tienda de recambios de coches
Imagen generada por la IA de Bing


Los dispositivos, siempre actualizados

En la actualidad, el hecho de estar conectados permanentemente puede que tenga sus desventajas, al aumentar la exposición ante posibles amenazas, pero también conlleva numerosas ventajas. Una de ellas es que la conectividad ayuda a que el software de cualquier dispositivo pueda permanecer al día durante más tiempo y, que lo tanto, la vigencia de un ordenador o un móvil se prolongue a lo largo de los años. Toda una ventaja, pero que debemos aprovechar; ¿cómo? En realidad, de una manera muy sencilla.

Por un lado, basta con que se dejen activadas las actualizaciones automáticas para que, en cuanto estén disponibles, se instalen en el dispositivo. O si no lo deseas, sí que se puede pedir al dispositivo que lance un mensaje de alerta cada vez que el responsable del software lance una actualización, con el fin de que el usuario la acepte.

¿Por qué es bueno contar siempre con ‘la última versión’? Por supuesto, el motivo principal es que las actualizaciones suelen llevar incorporados ciertos parches con el objetivo de solucionar posibles fallos o vulnerabilidades que pudieran ser aprovechadas por los ciberdelincuentes. Pero es que estas up-dates también optimizar el rendimiento y funcionamiento de un sistema, algo que seguramente termina por mejorar la productividad del empleado.

¿Recurrir a la nube? Si no hay más remedio…

Como es lógico, que la información que maneja una empresa salga ‘de sus cuatro paredes’ también hace que se encuentre más expuesta. Es lo que puede pasar en todas aquellas compañías que recurren a la nube para almacenar, gestionar o guardar sus datos e información. Al fin y al cabo, cuando los servidores de una empresa se encuentran en la nube, no significa que se encuentren en un lugar virtual, sino que al final se hallan en super-servidores externos. ¿El problema? Que son servicios que suelen utilizar muchas empresas, de tal forma que cuando existe una vulnerabilidad o fallo contra esa ‘nube’, las víctimas afectadas pueden ser muchas.

En todo caso, hay ocasiones en las recurrir a un servicio en la nube resulta imprescindible para una empresa. Por un lado, porque es una solución económica y escalable con facilidad, es decir, que si las necesidades de almacenamiento de una empresa crecen, es muy sencillo ‘ganar espacio’ en la nube. Pero lo mejor que se puede hacer en este caso es apostar por las tecnológicas de reconocido prestigio para recurrir a sus servicios. Es decir, un Azure de Microsoft, un Drive de Google o un Amazon Web Services; ninguno es infalible, pero sí que disponen con un mayor número de medidas de respaldo en caso de verse afectadas.

Pero si por dimensionamiento de la empresa no necesitas ingentes cantidades de espacio, en ese caso lo mejor es contar con un ‘tradicional’ servidor físico, que puedas tener bajo control.

Una buena protección frente a los virus

Desde siempre, los anti-virus nos han acompañado y han sido algo que la gente tenía muy interiorizado como algo que era casi obligatorio de tener instalado en el equipo. Y si eso era así en usuarios particulares con información personal, se le debería dar aún mayor importancia en las grandes empresas. Y es que… ¿en cuántos equipos de muchas compañías de todo tipo no deja de aparecer el mensaje emergente de que la licencia del antivirus está caducado?

Por eso, también resulta imprescindible que los dispositivos se encuentren protegidos con un antivirus de calidad. En este sentido, lo cierto es que -por fortuna- existe una gran variedad de soluciones para instalar. Aquí, como en el caso de la nube, el consejo más importante es el de apostar por las firmas ‘de toda la vida’. De esta forma, existen productos como ESET Endpoint Securitty, McAfee Endpoint Security, Trend Micro OfficeScan, Sophos Endpoint PRotection… Por supuesto, en el caso de empresas, siempre deben ser antivirus de pago.

Mensajes y contraseñas, los principales aspectos a proteger

Algo tienen los ‘mensajes entrantes’ que todo el mundo siente la necesidad de abrirlos cuanto antes, comprobar su contenido e, incluso, hacer click en los enlaces que contiene. Algo que pasa tanto si el mensaje te llega a través de WhatsApp, SMS o, por supuesto, correo electrónico. Pero, a menos que tengas identificado de forma muy clara que el mensaje procede de una fuente conocida -un familiar o un amigo que, además, siempre utilizan contigo un mismo estilo-, desconfía.

Ahora mismo, existen ciberataques que te pueden llegar con formatos distintos, pero muy convincentes. Por ejemplo, cada vez llegan más mensajes de tipo spam o correo basura que ya no son simplemente mails no deseados con contenido publicitario, sino que también pueden contener un malware o programa informático que se instalará en el equipo e impidiendo que se pueda desactivar.

Otro tipo de correo peligroso que se ha vuelto algo común es de tipo phishing o suplantación de identidad. Dentro de las empresas de cierto tamaño, hemos visto casos de trabajadores que han recibido un supuesto correo de su jefe dándole algún tipo de orden como que debía realizar algún movimiento bancario hacia un número de cuenta.

Por otro lado, también se han producido situaciones en las que eran los propios directivos a los que se pretendía engañar; aún recordados un caso del año 2020 en el que las víctimas -nada menos que directivos ejecutivos, propietarios o fundadores- recibían un correo electrónico que les ‘informaba’ de que, supuestamente, sus contraseñas de Microsoft Office 365 iban a caducar. Como solución a esa caducidad, el correo incluía un enlace a una web donde se podía introducir la clave para que siguiera en vigor.

En cuanto a las contraseñas, hay muchos consejos para seguir, todos ellos muy sencillos de aplicar. Por ejemplo, esa ‘palabra clave’ debe contener, como mínimo, ocho caracteres, que combinen mayúsculas, minúsculas, símbolos y números. Además, se recomienda no utilizar palabras sencillas y datos de carácter personas -como nombres o fechas-.

¿Una curiosidad? Si utilizas caracteres, evita que sean los que más próximos están entre sí, fisicamente, dentro del teclado. Una vez que la tengas escogida, te retamos a que compruebes su nivel de ciberseguridsad, introduciéndola en estecontraseñómetro y así podrás ver el tiempo que una máquina puede tardar en descubrirla. Si es demasiado sencilla u obvia, ya te decimos que será en cuestión de décimas de segundo.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.