Archivo de la categoría: Seguridad & Internet

Actualización sobre Pawn Storm: nuevos objetivos y campañas motivadas por la política

Introducción
En la segunda mitad de 2017, Pawn Storm, un grupo agentes de espionaje extremadamente activo, no se abstuvo de continuar con sus descarados ataques que, por lo general, no se tratan de incidentes aislados. A menudo, podemos relacionarlos con ataques anteriores al observar cuidadosamente tanto los indicadores técnicos como los motivos. Desde 2015, se han sucedido una serie de ataques de Pawn Storm contra organizaciones políticas en Alemania, Ucrania, Montenegro, Turquía, EE. UU. y Francia. En la segunda mitad de 2017, se han vuelto a ver ataques contra organizaciones políticas. Estos ataques no muestran mucha innovación técnica en el tiempo, pero están bien preparados, son persistentes, descarados y, a menudo, es difícil defenderse contra ellos. Pawn Storm cuenta con un gran arsenal de herramientas y lleno de trucos de ingeniería social, malware y exploits, y por tanto, no necesita mucha innovación; además de, ocasionalmente, usar sus propios días cero y abusar rápidamente de las vulnerabilidades del software inmediatamente después de que se lanza un parche de seguridad.

En verano y otoño de 2017, Trend Micro observó que varias organizaciones fueron atacadas por Pawn Storm con ataques de phishing de credenciales y spear phishing. El modus operandi de Pawn Storm es bastante constante a lo largo de los años, siendo algunos de sus trucos técnicos utilizados una y otra vez. Por ejemplo, el uso del tab nabbing, técnica de phishing que se utilizó contra los usuarios de Yahoo en agosto y septiembre de 2017 en emails sobre temática política en EE.UU. En 2015, Trend Micro ya advirtió contra este método en el que se cambia una pestaña del navegador para que apunte a un sitio de phishing después de desviar la atención del objetivo. A menudo, podemos relacionar estrechamente las campañas actuales y anteriores de Pawn Storm con datos que abarcan más de 4 años. Posiblemente esto se deba a que los agentes del grupo siguen un guion cuando preparan un ataque contra sus objetivos. Esto tiene sentido ya que el volumen total de sus ataques requiere una cuidada administración, planificación y organización para tener éxito. A continuación, se muestran dos correos electrónicos de phishing de credenciales típicos que se dirigieron a organizaciones específicas en octubre y noviembre de 2017. Se supone que uno de los correos electrónicos es un mensaje del servidor de Microsoft Exchange del destinatario sobre una contraseña caducada. El otro dice que hay un nuevo archivo en el sistema OneDrive de la compañía.

Figura 1: Uno de los tipos de correo electrónico de phishing de credenciales enviado por Pawn Storm en octubre y noviembre de 2017

 

Figura 2: Segundo tipo de correo electrónico de phishing de credenciales enviado por Pawn Storm en noviembre de 2017. Se ha eliminado el logotipo de la organización de destino de la captura de pantalla y cambiado el color para no revelar la fuente.

Si bien estos emails no parecen ser de naturaleza avanzada, el equipo de Trend Micro ha visto que la pérdida de credenciales suele ser el punto de partida de ataques adicionales, incluido el robo de datos confidenciales de las bandejas de entrada del correo electrónico. Trend Micro ha trabajado con uno de los objetivos, una ONG en los Países Bajos, que sufrió dos ataques a finales de octubre y principios de noviembre de 2017. Se pudo evitar con éxito que ambos ataques causaran algún daño. En un caso, la compañía pudo advertir al objetivo en las 2 horas posteriores a la instalación de un sitio dedicado de suplantación de identidad de credenciales. En un ataque anterior avisamos a la organización 24 horas antes de que se enviaran los correos electrónicos de phishing.

Federaciones Olímpicas de Deportes de Invierno
El fabricante de seguridad también ha visto varias Federaciones Olímpicas Internacionales de Deportes de Invierno, como la Federación Europea de Hockey sobre Hielo, la Federación Internacional de Esquí, la Unión Internacional de Biatlón, la Federación Internacional de Bobsleigh y Skeleton y la Federación Internacional de Luge, entre los objetivos del grupo en la segunda mitad de 2017. Esto es digno de mención debido a la correlación temporal entre varios jugadores olímpicos rusos que fueron suspendidos de por vida en otoño de 2017. En 2016, Pawn Storm tuvo cierto éxito al comprometer a la WADA (Agencia Mundial Antidopaje) y al TAS-CAS (el Tribunal de Arbitraje del Deporte). En ese momento, Pawn Storm buscaba un contacto activo con los principales medios de comunicación, ya sea directamente o por medio de representantes, y tuvo influencia en lo que algunos medios publicaron en documentos robados de ambas organizaciones.

Objetivos políticos
En la semana de las elecciones presidenciales de 2017 en Irán, Pawn Storm creó un sitio de phishing dirigido a los usuarios de chmail.ir webmail. Trned Micro pudo recopilar pruebas de que los correos electrónicos de phishing de credenciales se enviaron a los usuarios de chmail.ir el 18 de mayo de 2017, solo un día antes de las elecciones presidenciales en Irán. Anteriormente, el equipo de investigación de la compañía informó de una actividad similar focalizada contra organizaciones políticas en Francia, Alemania, Montenegro, Turquía, Ucrania y Estados Unidos.

A partir de junio de 2017 se crearon sitios de phishing que imitaban los ADFS (Active Directory Federation Services) del Senado de EE.UU. Al observar las huellas digitales de estos sitios de phishing y compararlos con un gran conjunto de datos que abarca casi 5 años, se pueden relacionar de manera única con un par de incidentes de Pawn Storm en 2016 y 2017. El verdadero servidor ADFS del Senado de EE. UU. no está accesible en la Internet abierta; sin embargo, el phishing de las credenciales de los usuarios en un servidor ADFS que está detrás de un firewall sigue teniendo sentido. En caso de que un agente ya tenga un punto de apoyo en una organización después de comprometer una cuenta de usuario, el phishing de credenciales podría ayudarle a acercarse mucho más a los usuarios de interés de alto perfil.

El futuro de las campañas motivadas políticamente
Es muy probable que en un futuro cercano las campañas de descrédito de influencia política no desaparezcan. Las organizaciones políticas deben poder comunicarse abiertamente con sus votantes, la prensa y el público general. Esto los hace vulnerables al hackeo y al spear phishing. Además de eso, la opinión pública puede ser alcanzada con relativa facilidad a través de las redes sociales. Las redes sociales continúan formando una parte sustancial de la experiencia online de los usuarios y las plataformas también permiten a los anunciantes llegar a los consumidores con sus mensajes. Esto hace que los algoritmos de las redes sociales sean susceptibles de abuso por parte de diversos actores con malas intenciones. La publicación de datos robados, junto con la difusión de noticias falsas y rumores en las redes sociales, brinda a los interesados malintencionados herramientas poderosas. Si bien una campaña de influencia exitosa puede parecer relativamente simple, necesita mucha planificación, persistencia y recursos para tener éxito. Algunas de las herramientas básicas como difundir noticias falsas en las redes sociales ya se ofrecen como un servicio en el mercado negro.

Tal y como Trend Micro menciona en su documento sobre el resumen general de Pawn Storm, otros actores podrían iniciar sus propias campañas con el fin de influir en la política y en los temas de interés nacional e internacional. Agentes de países en desarrollo aprenderán y probablemente adaptarán métodos similares rápidamente en un futuro próximo. En 2016 Trend Micro publicó un informe sobre C Major, un grupo de espionaje que se centra principalmente en atacar al ejército indio. Al profundizar en el blanco al que se estaba dirigiendo C Major, se encontró que este grupo de agentes no solo ataca al ejército indio, sino que también tiene redes de bots dedicadas para objetivos comprometidos en universidades iraníes, objetivos en Afganistán y objetivos en Pakistán. Recientemente hemos sido testigos de que C Major también tiene interés en comprometer objetivos militares y diplomáticos en Occidente. Solo es cuestión de tiempo que los agentes como C Major se interesen en influir en la opinión pública en el extranjero también.

Con las Olimpiadas y varias importantes citas electorales a nivel mundial en 2018, podemos estar seguros de que las actividades de Pawn Storm continuarán. Trend Micro seguirá supervisando sus actividades específicas, así como actividades de grupos similares, ya que la ciberpropaganda y la extorsión digital seguirán en uso.

Indicadores de Compromiso (IoC):
• adfs[.]senate[.]group
• adfs-senate[.]email
• adfs-senate[.]services
• adfs.senate[.]qov[.]info
• chmail.ir[.]udelivered[.]tk
• webmail-ibsf[.]org
• fil-luge[.]com
• biathlovvorld[.]com
• mail-ibu[.]eu
• fisski[.]ca
• iihf[.]eu

Autor: Feike Hacquebord, investigador senior de amenazas de Trend Micro

Resumen de seguridad de Trend Micro: Cinco cosas aprendidas en 2017 


Los incidentes geopolíticos, las amenazas de malware global y omnipresentes brechas de datos en las que se han visto involucrados grandes nombres han sido temas muy presentes en nuestro día a día en los últimos 12 meses. Desde las filtraciones de CIA Vault7 y NSA Shadow Brokers, a las campañas de ransomware WannaCry y NotPetya, o a las impactantes revelaciones de Uber del mes pasado, los CISO españoles han tenido mucho material sobre el que reflexionar. Ahora que estamos estrenando 2018, el equipo de Trend Micro considera que puede ser útil recapitular algunos de los acontecimientos más importantes que han tenido lugar en 2017, con la vista puesta en fortalecer los sistemas para los próximos 12 meses.
A continuación, se incluye el top cinco de sucesos para Trend Micro, sin seguir ningún orden en particular.

1.El ransomware evoluciona

Desde hace varios años, el ransomware ha causado importantes dolores de cabeza a las organizaciones. Pero en 2017 ha sido cuando hemos visto la amenaza utilizada de una manera sin precedentes para causar el caos a una escala global. Los ataques WannaCry y Petya/NotPetya de mayo y junio pueden haber presentado objetivos, grupos de ataque y tácticas ligeramente diferentes, pero pusieron de relieve cómo el ransomware podría emplearse en combinación con los exploits desarrollados por los Estados para extenderse de forma sorprendente a través de las redes. Bad Rabbit nos mostró otra variante sobre este tema, diseñada para infectar a las víctimas a gran escala usando ataques watering hole.

Estos incidentes nos han enseñado la importancia de aplicar parches para reparar las vulnerabilidades conocidas tan pronto como se disponga de una solución, y advirtieron lo que puede suceder cuando los gobiernos buscan socavar la seguridad de cientos de millones de usuarios investigando exploits en los programas de software más populares.

2. BEC está costando miles de millones a las empresas

Actualmente, de todos los riesgos relacionados con el mundo “ciber” a los que enfrentan las organizaciones en la actualidad, el Compromiso del Email Empresarial (BEC) parece ser uno de los más fáciles de reducir. Sin embargo, según el FBI, las pérdidas registradas en el período que va desde octubre de 2013 a diciembre de 2016 superaron los 5.300 millones de dólares. Trend Micro prevé que esta cantidad aumentará hasta los 9.000 millones de dólares el próximo año a medida que las organizaciones continúen mostrando cuán expuestos están su personal y sus procesos a la ingeniería social.

Puede que no haya malware que detectar en la mayoría de las estafas BEC, pero con una plantilla mejor formada y concienciada, y algo tan simple como garantizar que dos miembros senior del departamento financiero autoricen y firmen las grandes transferencias de fondos, las organizaciones pueden aislarse mejor.

3.Empresas de gran renombre siguen cometiendo errores de novatos, todavía

¿Cuándo van a aprender? En los últimos 12 meses se ha visto otro listado de organizaciones que “deberían haber conocido mejor” que sufren daños por brechas datos e incidentes de privacidad. Yahoo (3.000 millones), Uber (57 millones) y Equifax (145,5 millones) son algunas de las que nos vienen a la mente como los ejemplos más clamorosos de empresas que tenían los recursos, pero no la cultura corporativa correcta o la estrategia para mantener a raya a los hackers. Muchas organizaciones más se vieron en aprietos después de encontrar información sensible de clientes o de su propiedad expuesta en Internet de forma pública a través de configuraciones erróneas de la base de datos cloud, a menudo en manos de un tercer partner. Las semejanzas de Verizon, Accenture, WWE e incluso del Departamento de Defensa de EE.UU. fueron insuficientes. En un caso, una firma de análisis de datos del partido Republicano filtró la información de identificación personal (PII) de 198 millones de votantes estadounidenses que datan de hace una década.

Si no ocurre otra cosa, estos incidentes nos dicen una vez más que las empresas aún no tienen los conceptos básicos en materia de ciberseguridad, y están fallando a la hora de extender las políticas a los partners y proveedores.

4.El cumplimiento de GDPR aún no está funcionando

A medida que avanza el año, el reloj también lo ha hecho y no se parará hasta el 25 de mayo de 2018, fecha en que finalmente entrará en vigor el Reglamento General de Protección de Datos (GDPR) de la UE. Es difícil recordar una ley nueva con implicaciones de ciberseguridad y privacidad de tan gran alcance para las empresas. Sin embargo, la falta generalizada de conocimiento y la aceptación de cúpula directiva siguen siendo preocupantes, a pesar de las altísimas multas que están a la vista por incumplimiento. Gartner estima que menos de la mitad de todas las empresas cumplirá totalmente antes de la fecha límite.

Una reciente investigación de Trend Micro de este año reveló una inquietante falta de interés por parte de ejecutivos de nivel-C: los altos ejecutivos eluden la responsabilidad en el 57% de las empresas. Las compañías necesitan entender y conocer mejor qué datos tienen, crear un plan de notificación de brechas e invertir en tecnologías más avanzadas para mantener a raya las amenazas.

5.Del IoT al cloud, las vulnerabilidades seguirán siendo el talón de Aquiles

Ya lo hemos dicho, pero merece la pena mencionarlo de nuevo, las vulnerabilidades son una de las mayores amenazas a la seguridad a las que se enfrentan las empresas. No importa si se encuentran en el firmware del dispositivo IoT, las aplicaciones web, en el software de las instalaciones físicas o en su infraestructura cloud; si hay un agujero explotable en su entorno informático, éste podría ser el objetivo. Hemos visto organizaciones tan diversas como el NHS y Equifax severamente afectadas por sus fallos a la hora de parchear bugs conocidos con rapidez. En el caso del Servicio de Salud, WannaCry provocó interrupciones que forzaron la cancelación de aproximadamente 19.000 operaciones y citas.
De Devil’s Ivy a KRACK, cada mes están saliendo a la luz nuevas vulnerabilidades y métodos de ataque, algunos con enormes implicaciones para la seguridad de los sistemas que muchas organizaciones ejecutan. Los CISO deben asegurarse de contar con un enfoque integral y automatizado para la administración de parches y la agilidad para responder de manera rápida y efectiva a cualquier amenaza descubierta recientemente.

 

Para más información sobre las predicciones para 2018 de Trend Micro, consulte el informe: Cambios de paradigma.

Trend Micro IoT Security ofrece soporte para Mentor Automotive ConnectedOS™

A medida aumentan las capacidades de los coches conectados y estos se vuelven más inteligentes, los requisitos de seguridad para los sistemas automovilísticos se encuentran también en constante crecimiento. Los ataques recientes, dirigidos principalmente a los sistemas de bloqueo de puertas y frenos, han demostrado la vulnerabilidad de los coches inteligentes o smart cars, hasta el punto de que algunos fabricantes se han visto obligados a retirar ciertos modelos.

Trend Micro IoT Security es compatible con Mentor Automotive ConnectedOS™ de Mentor, una compañía de Siemens. Mentor Automotive ConnectedOS™ está desplegado en muchos sistemas de infoentretenimiento en el vehículo (IVI) y en sistemas de información al conductor (Cluster) para una variedad de fabricantes de automóviles.

“Los dispositivos IoT plantean inmensos desafíos para todas las industrias, ya que abren nuevas áreas de ataque a los delincuentes. La seguridad efectiva para IoT debe implementarse en todos los niveles, en el dispositivo, así como en la red y el servidor”, explica Eva Chen, cofundadora y CEO de Trend Micro. “Con IoT Security como soporte de Mentor Automotive ConnectedOS ™, estamos listos para incorporar la seguridad desde el primer momento y asegurarnos de que no sea solo una opción de última hora”.

Trend Micro IoT Security es una solución de seguridad para dispositivos IoT que se conectan fuera del vehículo con comunicaciones IP en sistemas operativos de propósito general. Reduce los riesgos de seguridad al adoptar la solución en la fase de diseño y desarrollo. Esto ofrece mayor seguridad general para el coche conectado dados los agujeros de las vulnerabilidades que se producen con las medidas de protección cerradas, que permiten a los atacantes acceder al sistema.

“El soporte de Trend Micro para Mentor Automotive ConnectedOS™ nos ayudará a abordar de manera más efectiva las crecientes preocupaciones de nuestros clientes del sector de la automoción sobre la seguridad del sistema”, indica Michael Ziganek, director de infoentretenimiento de la unidad de negocio de automoción de Mentor.

Las funciones principales de Trend Micro IoT Security son:

  • Detección de riesgos
    • Identificación de riesgos utilizando detección de anomalías
    • Verificación de la integridad del archivo
    • Detección de vulnerabilidades
  • Protección del Sistema
    • Control de acceso
    • Detección de intrusiones
    • Parches virtuales
  • Visibilidad de la seguridad
    • Cuadro de mandos de seguridad y consola de gestión

Mentor ha realizado demostraciones de Trend Micro IoT Security ejecutándose en Mentor Automotive ConnectedOS™ en las recientemente clausuradas ediciones de:

Además, entre los días 9 y 12 de enero de 2018 en Las Vegas, USA, Mentor estará en CES 2018 Mentor Hospitality Suite, Westgate Hotel: http://www.ces.tech/
(Por favor, contacte con Mentor en embedded_events@mentor.com para concertar una visita a stand)

Para más Información sobre Trend Micro IoT Security, por favor, visite: https://www.trendmicro.com/us/iot-security/.

Para obtener más información sobre las vulnerabilidades presentadas por los dispositivos IoT, consulte este estudio:

https://www.trendmicro.com/vinfo/us/security/threat-intelligence-center/internet-of-things

Trend Micro adquiere Immunio y extiende la seguridad de la nube híbrida al ciclo de vida DevOps

La adquisición y el desarrollo interno reducen aún más los controles de seguridad

Trend Micro Incorporated anuncia la adquisición de Immunio, compañía con sede en Montreal, Canadá, pionera en el ámbito de la seguridad de aplicaciones web en tiempo real.

A medida que las empresas crean y despliegan aplicaciones cada vez más rápido y en todas partes, desde la nube hasta los contenedores, cualquier retraso en el ciclo de vida de DevOps puede provocar, a su vez, demoras en todo el negocio. Con la adquisición de Immunio, Trend Micro resuelve esta problemática ya que amplía las capacidades de su solución Hybrid Cloud Security, con nuevas funcionalidades que le permiten extender su oferta de seguridad para la nube híbrida brindando protección automatizada a lo largo de todo el ciclo de vida de DevOps, abarcando todas las fases del desarrollo de herramientas y aplicaciones.

“Estamos entusiasmados con la adquisición de la tecnología de protección de aplicaciones de Immunio, su equipo de expertos en seguridad de aplicaciones y sus clientes”, comenta Bill McGee, vicepresidente senior y director general de Hybrid Cloud Security en Trend Micro. “Los cambios tecnológicos, como el cloud computing y las plataformas de contenedores, permiten un desarrollo de aplicaciones más rápido. La seguridad de aplicación en tiempo de ejecución de Immunio permite a nuestros clientes aumentar la protección contra vulnerabilidades de software dentro de las aplicaciones que están desarrollando”.

Trend Micro también está mejorando sus capacidades de seguridad específicas para contenedores soportando escaneo de imágenes del contenedor, lo que permite identificar y resolver los problemas de seguridad antes del envío a producción. Los clientes podrán escanear imágenes en el registro del contenedor para que los equipos de desarrollo puedan solucionar los problemas antes del despliegue y aplicar las capacidades de protección en tiempo de ejecución en función de los hallazgos de las imágenes. Estas funciones estarán disponibles de forma general en abril de 2018.

Según Gartner, en 2019 más del 70% de las iniciativas empresariales DevSecOps habrán incorporado seguridad automatizada para vulnerabilidades y escaneo de configuración para componentes de código abierto y paquetes comerciales, en comparación con menos del 10% registrado en 2016.

Las nuevas capacidades de Trend Micro encajan y se ajustan perfectamente en el ciclo de vida de DevOps, con Immunio proporcionando detección temprana y protección contra vulnerabilidades en las aplicaciones y escaneado de imágenes de contenedores, lo que permite la publicación y protección de imágenes de contenedores seguros. El resultado de esta combinación son aplicaciones seguras y resistentes, y mejoras notables en las operaciones en tiempo de ejecución, ya sea que se encuentren en entornos on-premise o en la nube pública.

Para McGee, “muchos de nuestros clientes más avanzados han adoptado las prácticas de ciclo de vida de DevOps y están utilizando Trend Micro Deep Security de manera automatizada para brindar protección a servidores y aplicaciones. Estos nuevos avances incrementan la protección que ofrecemos y garantizan que las organizaciones pueden continuar desarrollando e implementando.

 

Radiografía de las empresas españolas ante GDPR

El 73% de las organizaciones desconoce la cuantía de las multas a las que se expone si incumple el GDPR, según Trend Micro

 

  • Los altos directivos eluden la responsabilidad del GDPR en el 57% de las empresas españolas 
  • El 68% de los encuestados en España no sabe que las bases de datos de email marketing contienen PII y para el 32% de las empresas el principal desafío es no contar con la suficiente protección en seguridad TI 
  • El 20% de las organizaciones afirma que una multa “no causaría molestias” en su negocio si se descubre una violación de datos, mientras que para el 5% supondría la banca rota

178 días son solo los que nos separan de la aplicación del Reglamento General de Protección de Datos de la UE (GDPR), que supondrá una revolución en la manera en que las empresas recopilan, almacenan, tratan y comparten los datos personales de sus clientes y colaboradores. Sin embargo, los informes continúan revelando que las organizaciones simplemente no han avanzado lo suficiente para estar listas para su cumplimiento. El GDPR es un intento único por actualizar y armonizar las leyes de privacidad de datos de los 28 estados miembros de la UE y adecuarlas a la era digital, pero las empresas siguen sin careciendo de una orientación específica sobre cómo “se deben proteger los datos de todos en todas las transacciones”, lo que genera incertidumbre respecto a cuál es el mejor enfoque y cómo comenzar.

Conocimiento del GDPR

En el caso de España, los consejos de administración no están tratando el GDPR con la seriedad requerida, lo que conlleva a que haya un exceso de confianza en lo que respecta al cumplimiento. Esta es la principal conclusión que se extrae del último estudio que Opinium Research ha realizado para Trend Micro, y en el que se ha encuestado a más de 1.000 responsables de la toma de decisiones de TI de empresas de todo el mundo.

La investigación pone de manifiesto que existe un buen conocimiento de los principios sobre los que se sustenta el GDPR, con el 100% de los directivos españoles encuestados sabiendo que debe cumplir con la regulación, y prácticamente la mayoría asegura haber leído sus requisitos (95%). Además, el 82% de las empresas nacionales está convencida de que sus datos están tan seguros cómo es posible, frente al 79% de la media global.

A pesar del alto grado de concienciación percibida, existe cierta confusión sobre lo que constituyen los ‘datos personales’ que se necesitan proteger. De los participantes en el estudio en España, el 68% no sabía que la fecha de nacimiento de un cliente se debe considerar como un dato personal, lo que contrasta con que solo una cuarta parte (24%) de los líderes empresariales españoles no clasificaría las bases de datos de email marketing como datos personales; incrementándose la proporción a  tres de cada diez (29%) en el caso de una dirección postal; y a casi uno de cada diez (15%) si hablamos de la dirección del correo electrónico de un cliente. Con esta información sin proteger, las empresas están poniendo en bandeja a los hackers los motivos para cometer robos de identidad. Por tanto, cualquier organización que no esté protegiendo correctamente su información corre el riesgo de ser multada.

Por tanto, las compañías de España confían más en sus defensas que sus homólogas de otros países, y también se toman la delantera en su capacidad para identificar datos personales. Según la media global que arroja el estudio, seis de cada diez empresas (64%) no considerarían la fecha de nacimiento de un cliente como dato personal, lo que les coloca 4 puntos por detrás de España. Además, cuatro de cada diez (42%) no clasificarían las bases de datos de email marketing como datos personales, es decir, 18 puntos por detrás de los líderes empresariales españoles.

Por su parte, el 90% de las compañías participantes en el estudio afirma contar con un proceso formal para notificar a la autoridad de protección de datos un incidente de seguridad dentro del plazo de las 72 horas que marca la nueva ley. Sin embargo, el 25% de las que han confirmado disponer de este protocolo dice que evita notificar a los clientes la existencia de una brecha de seguridad.

Cuánto cuesta no cumplir

Cuando se trata de sanciones, las empresas españolas podrían recibir una sorpresa. Tres cuartos (73%) desconocen la cuantía de la multa a la que se podrían enfrentar, y solo una cuarta parte (27%) reconoce que podrían ver sacrificada entre el 2% y el 4% de su facturación anual global. Si bien el promedio mundial no parece mucho más prometedor, pues la investigación apunta a que el 66% de los encuestados no parece estar preocupado por la cantidad con la que podría ser sancionado, mientras que un tercio (33%) conoce las multas que conlleva la nueva ley.

En España el 20% de las empresas afirma que una multa “no les importaría o no les causaría demasiado inconveniente”, pero estas actitudes pueden cambiar una vez que estén al tanto de las verdaderas consecuencias financieras de una infracción, llegando a provocar incluso el cierre del negocio.

Cuando se les preguntó cuál sería el mayor impacto en caso de incumplimiento, el 82% de las organizaciones en España cree que la reputación y el daño al valor de la marca son el mayor obstáculo en caso de incumplimiento, y algo más de la mitad (52%) aseguró que tendría un mayor impacto entre los clientes existentes. El 30% afirmó temer que las perspectivas de nuevo negocio se vieran afectadas, mientras que 17% considera que la multa tendría el mayor impacto.

“La falta de conocimiento en lo que rodea al GDPR que han demostrado las organizaciones en este estudio es asombrosa. Las fechas de nacimiento, las direcciones de email, las bases de datos de marketing y las direcciones postales son información crítica de los clientes, y es preocupante que todavía existan tantas compañías españolas no lo sepan, a pesar de que se muestren tan confiadas”, explica David Sancho, responsable de investigación de Trend Micro en Iberia. “Si las empresas no protegen esta información, no están respetando una normativa inminente, ni a sus clientes, por tanto, indudablemente no están listos para cumplir con el GDPR”.

Pero la confusión no termina aquí. Trend Micro preguntó a las empresas españolas sobre quién debería rendir cuentas ante una pérdida de datos de la UE por parte de un proveedor de servicios estadounidense. Solo una cuarta parte (25%) de los directivos entrevistados ha sabido identificar correctamente que la responsabilidad recae en ambas partes, un porcentaje mejor que la media global (14%). El 43% de las organizaciones de nuestro país piensa que la multa recaerá en el propietario de la información de la UE, mientras que algo más de una cuarta parte (28%) cree que solo el proveedor de servicios de EE.UU. tendría la culpa.

¿Quién debe garantizar el cumplimiento de GDPR?

Llama la atención también que las empresas en España tampoco están seguras de quién debería hacerse cargo de garantizar el cumplimiento de la regulación. De los encuestados, el 22% cree que el CEO debe ser responsable de liderar el cumplimiento del GDPR, mientras que el 12% de los participantes considera que debe ser el CISO y su equipo de seguridad quienes deberían tomar la iniciativa. Sin embargo, solo el 12% de esas organizaciones cuenta realmente con un alto ejecutivo involucrado en el proceso de GDPR, lo que marca una diferencia de 9 puntos por debajo de la media (21%). No obstante, la mayoría de las empresas españolas (66%) tiene al departamento de TI liderando este proceso, mientras que solo el 19% tiene a un miembro de la junta directiva involucrado.

“A tan solo escasos seis meses de que entre en vigor, el GDPR debería ser la mayor preocupación de los consejos de dirección. Pero las conclusiones que se extraen de este estudio sugieren que todavía se trata de un proyecto faraónico en los consejos de administración. Si las organizaciones no toman en serio el reglamento, podrían estar expuestas una multa que supone una parte importante de los ingresos globales. Ahora, la tarea de los directivos de nivel C es ver el GDPR como una cuestión más de negocio que de un problema de seguridad, antes de que llegue a esa etapa”, señala Sancho.

“Prepararse para el GDPR supone una tarea tremenda que abarca desde invertir en tecnologías innovadoras y de última generación hasta implementar políticas de notificación y protección de datos. Pero esta preparación no servirá de nada si las empresas no entienden a qué datos se aplica esta ley y qué partes son las responsables. En este sentido, todavía hay una brecha educativa en toda la industria, y es necesario abordarla, y eso que España es el país que más esfuerzos y recursos ha destinado a la formación y concienciación de los empleados (56%) de todos los participantes en el estudio a nivel mundial”, continua el responsable de investigación de Trend Micro en Iberia.

Con amenazas que llegan a diario bajo diferentes tipos y formas, las organizaciones no solo carecen de experiencia y conocimiento para combatirlas, sino que también se necesita tecnología intergeneracional. El GDPR establece que las empresas deben implementar tecnologías de vanguardia para combatir los riesgos a los que se enfrentan. En este sentido, de todos los países participantes en esta investigación, España es el que lidera la implementación de nuevas políticas de protección de datos (46%), así como de tecnologías avanzadas para identificar intrusos en las redes como medida de precaución (45%), situándose once puntos por encima de la media mundial. Por su parte, el 35% ha optado por desplegar tecnologías de cifrado y el 34% ha invertido en soluciones de prevención de fugas de datos (DLP).

El compromiso de Trend Micro con el cumplimiento del GDPR comienza con su seguridad intergeneracional XGen™, que protege los datos personales a través de toda la empresa. Esta tecnología está optimizada para todos los entornos en los que se pueden almacenar datos, ya sea física y virtualmente, en la nube o en contenedores. XGen es una estrategia y una plataforma que abarca a todas las soluciones de Trend Micro, permitiéndolas estar conectadas a alertas y reportando brechas de datos en el mismo momento en que se producen. Este enfoque proporciona a las empresas las herramientas más modernas que el GDPR exige.

“La protección se ha convertido en una prioridad y la seguridad de la información debe contar con procedimientos para detectar un problema, saber manejar y controlar una brecha, remediar las consecuencias de esa violación e informar a las partes interesadas sobre el problema y su respectiva solución. Este nuevo enfoque del tratamiento de datos derivado de la nueva normativa europea requerirá que las compañías tengan una organización interna específica y medidas adaptadas para responder a las directivas impuestas por la ley”, concluye David Sancho.