Recientemente se están sucediendo numerosos ataques informáticos a empresas que están produciendo que su actividad se paralice y pierdan y/o publiquen datos confidenciales y datos relacionados con clientes y proveedores. Los últimos más relevantes han sido el caso de Phone House y Glovo.

 

¿Qué les ha ocurrido?

 

En el caso de Phone House el ciberataque se centró en cifrar los datos que poseían y denegar el acceso a sus sistemas, imposibilitando la continuidad de su actividad. Además, para que esos datos no fuesen publicados y pudiesen acceder a sus sistemas, se les solicitaba un rescate económico.

La plataforma Glovo España sufrió un hackeo que hizo que las credenciales de los repartidores y de los usuarios de la aplicación quedaran expuestas. Estos datos personales se pusieron a la venta en la dark web de Internet.

¿Por qué han sido ciberatacados?

 

Según publicó la empresa Phone House, las medidas se seguridad no fueron suficientes para evitar el ciberataque y proteger los datos de sus clientes. En este caso, la empresa telefónica, tenía implantadas medidas de seguridad y desde el principio notificó a la Agencia Española de Protección de Datos (AEPD) que habían sufrido una brecha de seguridad.

En el caso de Glovo, un fallo de seguridad hizo que los ciberatacantes accedieran a ese antiguo panel. A través del acceso de usuarios no autorizados accedieron a la interfaz de una antigua interfaz del panel de administración. Desde ese acceso obtuvieron la base de datos que contenía los datos personales de los clientes y repartidores. Por lo que podemos ver, aquí las medidas de seguridad no fueron las adecuadas. Su actuación fue rápida, y bloquearon ese acceso en cuanto se enteraron, e hicieron una revisión de los datos que fueron robados. La compañía asegura que los datos bancarios no han sido publicados puesto que esa información no se almacena. Al igual que Phone House, notificaron la brecha de seguridad a la AEPD en cuanto ésta fue descubierta.

 

¿Qué consecuencias tendrá esto para la empresa y para sus clientes?

 

Las consecuencias son prácticamente las mismas en ambos casos:

  • Mala reputación
  • Inversión en medidas de seguridad adecuadas
  • Desconfianza entre sus usuarios y proveedores
  • Pérdida de dinero y clientes
  • Desconfianza a la hora de utilizar la app
  • Probabilidad de que sus datos hayan sido obtenidos por otras entidades y se utilicen con otros fines
  • Problemas de vulnerabilidades, que tengan que cambiar la contraseña de la app y de otros perfiles

 

¿Qué podemos hacer para evitar sufrir un ciberdelito?

 

  • Formación especializada del personal para prever y anticiparse a los ciberdelitos, así como poder actuar frente a ellos en el caso de que ocurran.
  • Realizar un análisis de riesgos para conocer las vulnerabilidades de mi entidad.
  • Implantar medidas se seguridad adecuadas teniendo en cuenta el análisis de riesgos previamente realizado.

Conclusión

 

Debemos cambiar la idea que tenemos acerca de que los ciberdelitos solo afectan a las grandes empresas. Esta idea es generada y fomentada por los medios de comunicación, ya que solo difunden aquellos ataques que se producen contra las grandes empresas, pero tanto las PYMES como los autónomos pueden ser víctimas de ciberataques. Esta última afirmación se confirma con los informes que podemos encontrar en la página web de la AEPD sobre el número de notificaciones de brechas de seguridad que se producen al día. La cifra que encontraríamos, nos sorprendería. Si eres autónomo o diriges una PYME, tú también puedes ser víctima de un ciberataque. Por ello, debes invertir en dos cosas fundamentales: en medidas de seguridad, y en una formación que ofrezca los conocimientos suficientes para que tu empleado adquiera la formación necesaria en ciberseguridad para prevenir los ciberataques.