Luis Navarro
Socio fundador de la empresa Ciberseguridad Global
El año que acaba de concluir ha sido, por desgracia, en el que la ciberdelincuencia se ha consolidado como un problema de primer orden a nivel mundial. El creciente uso de la tecnología, la interconectividad y el teletrabajo son tres factores que la pandemia ha potenciado de una manera que no habíamos visto hasta ahora y que, con toda seguridad, han llegado para quedarse.
Son aspectos positivos, pero que también entrañan riesgos para instituciones, particulares y, sobre todo, empresas, las cuales cada vez utilizan más la tecnología y las herramientas digitales para una gestión de instalaciones más eficiente, aplicándolas en sistemas que impliquen reducciones de costes, automatización de procesos y, por supuesto, para comunicarse y almacenar datos.
A lo largo de 2021, todos los días hemos leído noticias sobre compañías afectadas por la ciberdelincuentes dentro y fuera de España. Buen ejemplo de ello es que Adif fue víctima de un ataque mediante ‘ransomware’ (‘secuestro de datos’ en español) por parte deREvil, el mismo grupo de origen ruso que utilizó este programa dañino para obtener acceso a los datos de empresas a través de su ataque a la multinacional de tecnología y seguridad Kaseya, usada por firmas de todo el mundo para alojar información de carácter confidencial.
Por otro lado, Ryuk -el virus ‘ransomware’ especializado en organismos públicos y grandes corporaciones- ha dado quebraderos de cabeza a instituciones como el Ministerio de Trabajo o el SEPE, pero tampoco se salvó el sector privado, con el grupo hotelero Meliá a la cabeza en nuestro país.
Los ciberataques a empresas van en aumento y los piratas informáticos son cada vez más profesionales: irrumpen en los sistemas, cambian contraseñas, cifran datos y paralizan completamente las operaciones durante días. En la mayoría de los casos para exigir el pago de un rescate, habitualmente realizado bajo la criptomoneda Bitcoin.
Ninguna compañía es inmune a estos riesgos y casi todas son conscientes de la importancia de este problema.El sector inmobiliario no es una excepción. El mejor inicio para protegerse es comprender los riesgos y vulnerabilidades propias y desarrollar un plan que contemple prevención, monitorización y respuesta ante incidentes. Y es que el antes, durante y después son escenarios que hay que abordar de forma diferente.
En primer lugar, hay que tener en cuenta que las inmobiliarias atraen a este tipo de delincuentes de muchas formas, pero sobre todo por que las transacciones que realizan contienen cantidades valiosas de información: financiera, de clientes, de seguros o contraseñas.
Además, las organizaciones almacenan cada vez más datos en la nube, trabajando con gran variedad de proveedores, lo que ofrece amplias oportunidades para que un ataque interno o externo cause estragos.
Comprender los riesgos y las vulnerabilidades
No todas las compañías relacionadas con el sector inmobiliario se enfrentan al mismo nivel de riesgo ante una infracción de ciberseguridad. Eso dependerá́ de factores como el tipo de empresa, las diferentes jurisdicciones legales en las que se realizan los negocios y la cantidad y naturaleza de la información personal involucrada, es decir, tarjetas de crédito, números de cuentas bancarias, datos de carácter confidencial…
Además, el riesgo también depende de su preparación ante un posible ataque. Por ejemplo, su personal técnico puede ser experto en la administración y mantenimiento de sistemas… pero, la pregunta clave es: ¿están preparados y formados con las últimas herramientas de ciberseguridad y usan metodologías de prevención para proporcionar respuestas competentes y en un tiempo de recuperación razonable?
Tipos de fraude cibernético comunes en el sector inmobiliario
Hay una gran variedad de técnicas que los ciberdelincuentes suelen aprovechar para acceder a sistemas y capturar información privada, aunque las más usadas son las siguientes:
- Compromiso de correo electrónico empresarial (BEC): Al suplantar direcciones y falsificar estilos de mails, los ciberdelincuentes pueden comunicarse con cualquier participante en una transacción, aportando detalles de ventas falsos o solicitudes de información adicional para aprovechar la frecuencia de los correos electrónicos durante, por ejemplo, la venta de un inmueble. Muchos de ellos parecen auténticos e incluso pueden vincularse a plataformas reales para proporcionar una credibilidad adicional. En el sector inmobiliario y centrándonos en el proceso de cierre de un contrato, el ataque BEC puede producirse en cualquier momento, pero es común que se realice justo antes de la firma. Es en ese momento cuando los ciberdelincuentes envían mails falsos a los clientes con detalles del cierre de la operación e instrucciones con datos de cuentas fraudulentas. Una vez que se realiza la transferencia bancaria, el dinero se retira inmediatamente y, con frecuencia, no se puede rastrear.
- Software malicioso: El ‘malware’ es probablemente el más conocido de los ciberataques, capaz de espiar el ordenador, capturar información bancaria o instalar un virus para eliminar los datos. Es difícil de rastrear y fácil de viralizar, lo que significa que un ataque de este tipo puede terminar infectando una gran variedad de PCs y dispositivos móviles.
- ‘Ransomware’ (secuestro de datos): Esta subcategoría de ‘malware’ captura los datos de dispositivos, encriptándolos y, posteriormente, solicitando un rescate por parte de los piratas informáticos. El ‘ransomware’ puede ser devastador para una empresa, infectando no solo equipos y dispositivos móviles, sino también otros conectados como cerraduras inteligentes, luces o sistemas de seguridad.
Todos estos ciberataques, junto a otros muchos tipos de menor envergadura, se están multiplicando de manera exponencial y todo apunta a que, como decíamos al principio, seguirán aumentando debido al creciente uso de la tecnología, la interconectividad y el teletrabajo. Que las empresas sean capaces de evitarlos o minimizarlos al máximo será un factor de éxito de cara a sus clientes, proveedores, partners y, por supuesto, la competencia.
