La sala d’actes de la Cambra de Comerç de Terrassa s’ha omplert aquest dimarts de gom a gom d’executius en cap, grans empreses i pimes convençudes que la digitalització les fa més àgils, competitives i sostenibles, però també més vulnerables. La sessió, organitzada per Cambractiva sota el títol “Ciberatacs: El preu de la modernització tecnològica per a les empreses catalanes”, ha respost a moltes de les preguntes que avui es fan les companyies davant d’una amenaça oculta i creixent.
La sessió ha comptat amb la presència de Ramon Talamàs, president de Cambra de Comerç de Terrassa, que ha donat la benvinguda als ponents: Oscar Salvador, cap d’unitat de Resposta Activa de l’Agència Catalana de Ciberseguretat; Roger Sales, cap de la Regió Policial Virtual del cos de Mossos d’Esquadra; i Víctor Villalobos, analista en ciberseguretat i especialista en operacions de seguretat de GFT IT Consulting.
Les estadístiques dels ciberatacs s’han disparat. Durant 2023 una de cada deu empreses va patir un incident i el primer trimestre de 2024 els atacs a empreses han augmentat un 28%.
Oscar Salvador (Agència Catalana de Ciberseguretat): “L’increment dels ciberatacs és brutal. Cada any són més estan més capacitats i són més al món local”
“L’increment és brutal. Cada any són més, estan més capacitats i són més al món local. Se centren cada dia més en les pimes”, ha explicat Oscar Salvador, que proposa les empreses que “no inverteixin només en ciberseguretat. Cal estar preparats, treballar un pla “B”, crear còpies de seguretat per si un dia patim un impacte que paralitza l’empresa. En molts casos, l’alternativa és tancar”.
El cap d’Unitat de Resposta Activa de l’Agència Catalana de Ciberseguretat ha explicat que durant l’any 2023, universitats, hospitals i administracions públiques van patir vuit mil milions d’atacs cibernètics a Catalunya. D’aquests, 2.671 es van arribar a materialitzar i 80 es van traduir en incidents crítics (recordar els casos de l’Hospital Clínic i de la UPC). L’expert, però, ha alertat que des de l’Agència Catalana es detecta que els ciberdelinqüents se centren cada vegada més en les petites i mitjanes empreses. “És per una qüestió de ciberseguretat. Ara mateix resulta més accessible a l’atac una petita empresa que un hospital. És molt important que totes les empreses coneguin a quins tipus d’amenaces estan exposades”.
El ransomware i el phising són els dos tipus d’atac més habituals que pateixen les empreses. Per una banda, el ransomware persegueix el robatori de dades crítiques de l’empresa. Per altra, el phising busca la suplantació a través del robatori de credencials. La finalitat en ambdós casos és o econòmica o bé disruptiva. “L’atacant busca sempre tres objectius: backups (còpies de seguretat), dades i credencials”, recorda Oscar Salvador.
L’expert ha incidit en la importància “de la doble verificació i la doble autenticació sempre que sigui possible. L’inici de la prevenció d’un atac comença amb la conscienciació dels usuaris. És molt important que tots els treballadors sàpiguen on pot acabar un cas de phising. Hem de posar-nos en el pitjor dels escenaris i cal que l’empresa compti amb un pla de continuïtat davant un atac per recuperar-se com més aviat millor”.
Roger Sales (Mossos d’Esquadra): “En el 90% dels ciberatacs, darrere hi ha el factor humà. En cas de dubte, no fem mai clic”
Des de la policia catalana, Roger Sales ha recordat que “en el 90% dels ciberatacs, darrere hi ha el factor humà. En cas de dubte no fem mai clic”, ha dit als empresaris, a qui ha recomanat “formar la vostra gent” per garantir entorns segurs a les empreses.
El cap de la Regió Policia Virtual ha repassat els actuals atacs més freqüents: “ransomware” ( encriptació de dades), “spyware” (programes); i tres tipus d’atacs molt freqüents: el “phising” (a través de correus electrònics i enllaços), el “smishing” (missatge de text o aplicacions de missatgeria tipus SMS), i “vishing” (trucades i missatges de veu per obtenir informació crítica o sensible).
Sales ha recordat que la primera clau de protecció és la bona gestió de les contrasenyes. “Han de ser llargues i robustes, cal aplicar el doble factor de protecció, fer ús de clauers virtuals, i programar el canvi de contrasenyes cada tres mesos”. El cap ha fet referència també a diferents estafes virtual força habituals com són BEC i CEO. “Hem de crear hàbits de verificació, per exemple una trucada. Cal establir procediment de treball que de manera analògica – com una trucada – ens facilitin un segon factor d’autenticació per protegir-nos d’aquestes pràctiques enganyoses”.
Oscar Salvador, durant la seva ponència a Cambra de Comerç de Terrassa, acompanyat per Roger Sales i Victor Villalobos / Nebridi Aróztegui
Pel que fa al ransomware, algunes mesures de prevenció són xifrar les dades crítiques de l’empresa, i “comptar amb còpies de seguretat prou aïllades”. Cal recordar que els atacs tipus ransomware tenen la finalitat de robar les dades i impedir així que l’empresa continuï amb l’activitat. Sales ja estat contundent “davant d’un atac d’aquest tipus, el nostre suggeriment és no pagar per recuperar les dades”.
“Phising” i IA
L’enginyer informàtic Víctor Villalobos ha recordat que protegir-se avui és vital, perquè mostrar-se vulnerable “provoca una pèrdua de confiança i reputació amb clients i preveïdors difícil de recuperar”.
L’analista de ciberseguretat en entorns industrials, bancaris i de producció, ha centrat la seva intervenció en la intel·ligència artificial (IA) i la ciberseguretat. Villalobos ha explicat el perfeccionament que ha permès la IA generativa (ChatGPT, xatbots) en la millora dels correus electrònics, SMS i trucades, canals d’entrada dels tipus atac més freqüents: “phising”, “smishing” i “vishing”.
Villalobos ha recordat que un 41% dels incidents de seguretat tenen com a inici un “phising”, i un 57% de les empreses a escala global pateixen atacs diaris o setmanals. “El ‘phising’ comença amb un clic, però té un efecte en cadena”, recorda Villalobos. “Comprèn l’accés a recursos privats de la companyia, l’enviament de missatges maliciosos des d’un compte de correu corporatiu i filtracions d’informació, obtenció de credencials amb privilegis”. L’expert ha alertat que “la IA millora la qualitat dels missatges enganyosos. I com els anteriors ponents, també coincideix en el fet que la formació és clau en la ciberseguretat: “hem d’acostumar-nos a dubtar com pràctica de seguretat”.
L’analista de ciberseguretat ha facilitat claus per descobrir si un correu electrònic és maliciós. Són característiques del “phising” la “sensació d’urgència, adreça de correu que imita una legítima, encobriment d’enllaços i faltes d’ortografia. En casos més sofisticats, les pàgines poden, fins i tot, tenir inclosa una pantalla amb el login del 2FA falsa”.
Per la seva banda, els SMS maliciosos solen utilitzar dos vectors d’atac. “O bé s’identifiquen com a membres tècnics de l’equip d’una aplicació, o bé responen a un frau bancari amb la finalitat d’obtenir dades dels usuaris”. I finalment, sobre el “vishing”, Villalobos ha alertat dels “deepfakes”, és a dir, la generació via IA de contingut audiovisual, suplantant la imatge i veu de persones, amb la finalitat enganyosa de semblar la persona real.
Amb tot, la IA també té efectes positius per a la ciberseguretat. Permet la detecció d’intrusions a través del “Machine Learning”, la prevenció d’atacs de “phising” utilitzant el processament de llenguatge natural, la detecció de patrons de comportaments anòmals i l’agilització de la resposta a les alertes o incidents de seguretat amb automatització de tasques.
