La ciberseguridad también es clave para el Tercer Sector

El pasado mes de junio, el equipo de una ONG Acreditada se encontró con que no podían acceder a su servidor ni a toda su información. Habían sufrido un incidente de ciberseguridad, y les estaban pidiendo rescate en bitcoins.

Decidieron no aceptar el chantaje y denunciar ante la Guardia Civil. Con el correo electrónico, lo guardado en la nube y lo que tenían en papel han podido retomar su actividad, aunque les ha llevado un mes de trabajo. A día de hoy han reforzado sus medidas de seguridad, y realizan hasta cuatro copias de la información en lugares diferentes. Lección aprendida para al menos minimizar daños si vuelve a ocurrir.

La vulnerabilidad del más débil

Porque lo cierto es que ocurre. “2023 fue un año sin precedentes en ciberamenazas” así de contundente se muestra el informe INFORME SOBRE AMENAZAS AVAST Q4/2023. Aunque podríamos pensar que los ataques se dirigen a grandes compañías e instituciones, estas seguramente están mejor preparadas y protegidas, y se lo ponen más difícil a “los malos”. Por eso, entidades más vulnerables tecnológicamente hablando se convierten en objetivo. Y en ese grupo también estamos las entidades no lucrativas.

El caso real de la ONG Acreditada con la que abrimos este post es solo un ejemplo. Hay más, y en ONG de todos los tamaños. Algunos de estos ciberataques, por afectar a grandes organizaciones no lucrativas de ámbito nacional e internacional, se han hecho públicos. Otros no llegan a conocerse pero no por ellos sus consecuencias son menos graves.

Los riesgos de la digitalización

La realidad es que el Tercer Sector ha avanzado enormemente en digitalización, y eso es una buena noticia. La tecnología permite agilizar procedimientos y optimizar la gestión. Pero al mismo tiempo, también se multiplican las brechas de seguridad y los riesgos. Además, en muchos casos las entidades gestionan datos sensibles de donantes y de beneficiarios. Por ello, es fundamental ser conscientes de la necesidad de proteger la información. Según el informe Nonprofit Tech for Good 2023, el 27% de las ONG a nivel mundial han sufrido un ciberataque.

Desde Fundación Esplai, a través de su iniciativa Gestión Tercer Sector, que entre otras cosas ofrece asesoramiento en el ámbito tecnológico, recuerdan la regla del ‘zero trust’. La mejor manera de prevenir un ciberataque es ser conscientes de que nos puede ocurrir, y sospechar de todo aquello que nos suene extraño. Incluso si viene de personas o entidades de confianza.

Tipos de ciberataques

Una de las formas que puede adoptar un ataque cibernético es la suplantación de identidad. Parece que nos escribe alguien que conocemos o en quien confiamos, pero en realidad no es así. Utilizan la técnica del phishing y nos piden que hagamos algo (facilitar unos datos, una contraseña …).

Es conveniente desconfiar de cualquier mensaje “raro”. Es frecuente recibir mensajes por correo electrónico o SMS, un aviso de recogida de un paquete, nos ha tocado un premio. También más sofisticados y camuflados en el entorno laboral: un documento para firmar digitalmente, una factura para descarga …Si abrimos esos mensajes en un dispositivo de la asociación o fundación en la que trabajamos, estaremos poniendo en peligro a toda la organización.

Lea también: La próxima amenaza de ciberseguridad son los gusanos informáticos de IA

Otro tipo de ciberataque, denominado BEC, consiste en que el estafador utiliza el correo profesional para hacerse pasar por alguien vinculado a la organización. Y de ese modo, incluso simulando ser “el jefe”, puede solicitar el pago de una factura falsa o pedir determinados datos bancarios. Y como muestra, mientras preparamos este artículo a varios compañeros les ha llegado un correo “supuestamente” de nuestra directora, un claro intento de fraude.

El empleado, principal elemento de prevención

Por otro lado, conviene también tener en cuenta la técnica del malware, que consiste en infectar un ordenador o un servidor con un software malicioso. De este, modo, el atacante puede acceder a toda su información, ya sea para utilizar esos datos de forma fraudulenta o para “secuestrarlos” (ransomware) y pedir un rescate económico. Acceder a una web falsa, descargarse un archivo, una app o un programa de origen dudoso, abrir un adjunto de un e-mail fraudulento… Cualquiera de estas acciones puede hacer que ese software se instale en nuestro dispositivo.

Por eso, es muy frecuente que el ciberataque que sufre una entidad haya entrado a través de un dispositivo de un empleado. Esto quiere decir dos cosas: que es fundamental que nuestros sistemas estén dotados de medidas de protección. Y que la mejor prevención es la sensibilización y formación a cada persona de la organización.

Cómo plantear la estrategia de ciberseguridad

Hemos preguntado a David Merino, responsable Infraestructura y Seguridad de Unicef España, qué pasos debe seguir una ONG para determinar sus necesidades de ciberseguridad. Nos ha explicado que ellos toman como referencia el marco de seguridad del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, que se basa en cinco pilares:

1. Identificar. Tener claro cuáles son nuestros activos, sistemas, servicios, personas, datos, etc., para poder gestionar adecuadamente nuestros riesgos.
2. Proteger. Implementar las medidas necesarias para asegurar la protección de las áreas vulnerables.
3. Detectar. Contar con las herramientas que nos permitan localizar lo más rápidamente posible los incidentes de seguridad.
4. Responder. Desarrollar las capacidades suficientes para gestionar correctamente un incidente de seguridad, y así contener y mitigar su impacto. Es importante analizar e informar convenientemente del mismo.
5. Recuperar. Integrar los procesos apropiados para restaurar lo antes posible los servicios, activos y operaciones afectados por el ciberataque. Se recomienda mantener una comunicación adecuada durante todo el proceso de recuperación.

Medidas básicas de prevención en el día a día

También hemos consultado con un experto en ciberseguridad qué medidas básicas debe adoptar una ONG en su día a día para prevenir ciberataques. Jorge Sanz, director del Máster en Ciberseguridad del Centro Universitario U-tad, nos da cinco sencillas pautas que no requieren grandes desembolsos ni conocimientos técnicos avanzados:

1. Formación y concienciación. Capacitar a los empleados en las prácticas básicas de seguridad para que sepan identificar el phishing, navegar de forma segura y cuidar la confidencialidad de la información.
2. Contraseñas fuertes y únicas para cada servicio. Se pueden utilizar gestores de contraseñas para almacenar y generar contraseñas seguras. Muchos ofrecen versiones gratuitas o con descuentos para organizaciones sin fines de lucro.
3. Instalar siempre las actualizaciones. Es crucial mantener todos los sistemas operativos, aplicaciones y cualquier otro software actualizados con los últimos parches de seguridad. Automatizar estas actualizaciones, en la medida de lo posible, puede reducir la carga de trabajo y mejorar la seguridad.
4. Antivirus y antimalware. Disponer de estas soluciones, y actualizarlas regularmente, no garantiza la ausencia de problemas, pero sí mitiga el riesgo de padecerlos.
5. Copias de seguridad regulares. En caso de sufrir un ataque, tener copias de seguridad recientes de los datos críticos marcará la diferencia entre una recuperación rápida y la pérdida de información vital.

FUENTE: »La ciberseguridad también es clave para el Tercer Sector» Fundacionlealtad.org. 11/03/2024. (https://www.fundacionlealtad.org/la-ciberseguridad-tambien-es-clave-para-el-tercer-sector/).