La ciberseguridad también es clave para el Tercer Sector
El pasado mes de junio, el equipo de una ONG Acreditada se encontró con que no podían acceder a su servidor ni a toda su información. Habían sufrido un incidente de ciberseguridad, y les estaban pidiendo rescate en bitcoins. Decidieron no aceptar el chantaje y denunciar ante la Guardia Civil. Con el correo electrónico, lo guardado en la nube y lo que tenían en papel han podido retomar su actividad, aunque les ha llevado un mes de trabajo. A día de hoy han reforzado sus medidas de seguridad, y realizan hasta cuatro copias de la información en lugares diferentes. Lección aprendida para al menos minimizar daños si vuelve a ocurrir. La vulnerabilidad del más débil Porque lo cierto es que ocurre. “2023 fue un año sin precedentes en ciberamenazas” así de contundente se muestra el informe INFORME SOBRE AMENAZAS AVAST Q4/2023. Aunque podríamos pensar que los ataques se dirigen a grandes compañías e instituciones, estas seguramente están mejor preparadas y protegidas, y se lo ponen más difícil a “los malos”. Por eso, entidades más vulnerables tecnológicamente hablando se convierten en objetivo. Y en ese grupo también estamos las entidades no lucrativas. El caso real de la ONG Acreditada con la que abrimos este post es solo un ejemplo. Hay más, y en ONG de todos los tamaños. Algunos de estos ciberataques, por afectar a grandes organizaciones no lucrativas de ámbito nacional e internacional, se han hecho públicos. Otros no llegan a conocerse pero no por ellos sus consecuencias son menos graves. Los riesgos de la digitalización La realidad es que el Tercer Sector ha avanzado enormemente en digitalización, y eso es una buena noticia. La tecnología permite agilizar procedimientos y optimizar la gestión. Pero al mismo tiempo, también se multiplican las brechas de seguridad y los riesgos. Además, en muchos casos las entidades gestionan datos sensibles de donantes y de beneficiarios. Por ello, es fundamental ser conscientes de la necesidad de proteger la información. Según el informe Nonprofit Tech for Good 2023, el 27% de las ONG a nivel mundial han sufrido un ciberataque. Desde Fundación Esplai, a través de su iniciativa Gestión Tercer Sector, que entre otras cosas ofrece asesoramiento en el ámbito tecnológico, recuerdan la regla del ‘zero trust’. La mejor manera de prevenir un ciberataque es ser conscientes de que nos puede ocurrir, y sospechar de todo aquello que nos suene extraño. Incluso si viene de personas o entidades de confianza. Tipos de ciberataques Una de las formas que puede adoptar un ataque cibernético es la suplantación de identidad. Parece que nos escribe alguien que conocemos o en quien confiamos, pero en realidad no es así. Utilizan la técnica del phishing y nos piden que hagamos algo (facilitar unos datos, una contraseña …). Es conveniente desconfiar de cualquier mensaje “raro”. Es frecuente recibir mensajes por correo electrónico o SMS, un aviso de recogida de un paquete, nos ha tocado un premio. También más sofisticados y camuflados en el entorno laboral: un documento para firmar digitalmente, una factura para descarga …Si abrimos esos mensajes en un dispositivo de la asociación o fundación en la que trabajamos, estaremos poniendo en peligro a toda la organización. Lea también: La próxima amenaza de ciberseguridad son los gusanos informáticos de IA Otro tipo de ciberataque, denominado BEC, consiste en que el estafador utiliza el correo profesional para hacerse pasar por alguien vinculado a la organización. Y de ese modo, incluso simulando ser “el jefe”, puede solicitar el pago de una factura falsa o pedir determinados datos bancarios. Y como muestra, mientras preparamos este artículo a varios compañeros les ha llegado un correo “supuestamente” de nuestra directora, un claro intento de fraude. El empleado, principal elemento de prevención Por otro lado, conviene también tener en cuenta la técnica del malware, que consiste en infectar un ordenador o un servidor con un software malicioso. De este, modo, el atacante puede acceder a toda su información, ya sea para utilizar esos datos de forma fraudulenta o para “secuestrarlos” (ransomware) y pedir un rescate económico. Acceder a una web falsa, descargarse un archivo, una app o un programa de origen dudoso, abrir un adjunto de un e-mail fraudulento… Cualquiera de estas acciones puede hacer que ese software se instale en nuestro dispositivo. Por eso, es muy frecuente que el ciberataque que sufre una entidad haya entrado a través de un dispositivo de un empleado. Esto quiere decir dos cosas: que es fundamental que nuestros sistemas estén dotados de medidas de protección. Y que la mejor prevención es la sensibilización y formación a cada persona de la organización. Cómo plantear la estrategia de ciberseguridad Hemos preguntado a David Merino, responsable Infraestructura y Seguridad de Unicef España, qué pasos debe seguir una ONG para determinar sus necesidades de ciberseguridad. Nos ha explicado que ellos toman como referencia el marco de seguridad del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, que se basa en cinco pilares: Medidas básicas de prevención en el día a día También hemos consultado con un experto en ciberseguridad qué medidas básicas debe adoptar una ONG en su día a día para prevenir ciberataques. Jorge Sanz, director del Máster en Ciberseguridad del Centro Universitario U-tad, nos da cinco sencillas pautas que no requieren grandes desembolsos ni conocimientos técnicos avanzados: FUENTE: »La ciberseguridad también es clave para el Tercer Sector» Fundacionlealtad.org. 11/03/2024. (https://www.fundacionlealtad.org/la-ciberseguridad-tambien-es-clave-para-el-tercer-sector/).