El espionaje industrial apunta a empresas sensibles en sectores como el energético o tecnológico, sobre un trasfondo de tensiones geopolíticas e inestabilidad económica. Algunas informaciones secretas de estas organizaciones son particularmente objetivadas.
Espionaje industrial: la mayor ciberamenaza
Definición del espionaje industrial
El espionaje industrial, o espionaje económico, se refiere a un conjunto de actividades de espionaje llevadas a cabo con fines económicos o comerciales. Implica una intrusión en las organizaciones por parte de individuos aislados, empresas o gobiernos. El objetivo: recopilar datos confidenciales para obtener diferentes ventajas, como las competitivas. Estos pueden emplear diferentes métodos de ciberespionaje, como el phishing o la ingeniería social, según el objetivo elegido. Además, las consecuencias financieras del espionaje industrial para las empresas son significativas y pueden incluso poner en peligro su actividad. También perturban la estabilidad económica de una nación.
Una alerta lanzada por la alianza de los Five Eyes
Sectores de tecnologías avanzadas fuertemente afectados
Los sectores más avanzados son predominantemente víctimas de espionaje industrial. Es el caso de las empresas de inteligencia artificial, de computación cuántica o de biotecnología. Los ataques de espionaje industrial afectan a las organizaciones de defensa y energía, pero también fuertemente a su cadena de suministro. Pero, ¿cuáles son las informaciones objetivo?
Los tipos de información objetivo del espionaje industrial
Las informaciones técnicas y tecnológicas
Las informaciones relacionadas con el diseño técnico de productos o el desarrollo de tecnología representan una ventaja competitiva. Así, en el sector informático, los algoritmos de aprendizaje automático o los esquemas de diseño de chips electrónicos son codiciados. En el sector energético, los procesos de producción de energía renovable o las técnicas de producción de baterías avanzadas son un tesoro para los espías. En el sector de defensa y aeronáutica, el espionaje industrial puede apuntar a los planos de sistemas de armamento avanzado o sistemas de navegación y comunicación para vehículos espaciales. En estos casos, más que una simple pérdida financiera, el espionaje industrial perturba la seguridad de la defensa nacional.
Las estrategias empresariales detallan el conjunto de ejes de innovación, desarrollo y financiación de las organizaciones. Así, en el sector financiero, los detalles sobre los planes de fusión y adquisición o los modelos propietarios de análisis de inversiones son altamente sensibles. Su pérdida puede perjudicar la competitividad de las empresas. En el sector farmacéutico, los datos sobre ensayos clínicos o procesos de fabricación también enfrentan riesgos de espionaje.
Ejemplo de espionaje de información estratégica
En 2023, dentro de la empresa NVIDIA, un desarrollador de software está sospechoso de haber revelado información secreta relacionada con el código fuente de un software de asistencia al estacionamiento, recuperada de su antiguo empleador, Valeo. Este último asegura que esos datos habrían beneficiado al desarrollo de NVIDIA.
La información sobre el personal y los talentos
De hecho, el espionaje industrial también pasa por la detección de personas clave, capaces de aportar información sensible. Algunos fichajes en organizaciones son estratégicos y tienen como objetivo dañar el buen funcionamiento de la empresa, intentando recuperar sus conocimientos. En un momento en que la competencia económica es cada vez más fuerte, la fuga de habilidades afecta a la permanencia de una empresa.
¿Cómo proteger su información del espionaje industrial?
La información altamente sensible, que no debe ser ampliamente comunicada, generalmente lleva una mención de protección «difusión restringida«. Incluso a veces están clasificadas como secreto de la defensa nacional.
Sin embargo, además de medidas jurídicas y técnicas, los colaboradores tienen la responsabilidad de adoptar buenas prácticas de ciberseguridad para limitar los riesgos de fuga de información.
Velar por la confidencialidad de los intercambios
Los intercambios entre colaboradores, incluso anodinos, pueden constituir datos clave para los espías. Para intercambiar información sensible en reunión, los colaboradores se aseguran de cerrar bien la puerta de la sala. Sin embargo, a distancia, los colaboradores utilizan la videoconferencia, incluso para reuniones sensibles. Entonces se vuelve más difícil asegurarse de que todas las puertas estén bien cerradas y que ninguna persona ajena a la empresa pueda escuchar los intercambios. Solo una videoconferencia cifrada de extremo a extremo, de cliente a cliente, conforme al RGPD, garantiza la total confidencialidad de los intercambios.
Las organizaciones deben prever una serie de medidas de defensa en caso de infiltración. Estas pueden formar parte de un plan de gestión de crisis o de continuidad de actividad. En este contexto, se recomienda el uso de una solución de visiocolaboración altamente segura. Ella toma el relevo de la herramienta de comunicación principal comprometida y asegura así la reanudación de la actividad lo más rápido posible, al mismo tiempo que facilita el trabajo de los equipos de gestión de crisis.
La captura de información relacionada con la actividad científica y tecnológica de una nación compromete su estabilidad y competitividad. Mencionado durante la última cumbre de los Cinco Ojos, la protección del potencial científico y técnico de las naciones requiere medidas de ciberseguridad máximas.
Desde 2011, Francia ha implementado la Protección del Potencial Científico y Técnico (PPST). Este dispositivo regulatorio de seguridad, de nivel interministerial, dirigido por el Secretariado General de la Defensa y de la Seguridad Nacional (SGDSN), está distribuido en 6 ministerios diferentes:
Ministerio de Agricultura
Ministerio de Defensa
Ministerio de Desarrollo Sostenible
Ministerio de Economía y Finanzas
Ministerio de Salud
y Ministerio de Educación Superior, Investigación e Innovación
Su objetivo es prevenir cualquier fuga o intento de captura de esta información sensible, gracias especialmente a la creación de zonas de régimen restrictivo (ZRR). En estas, lugares de investigación o de producción, por ejemplo, de gran interés para la nación, se opera un control estricto de los accesos físicos o virtuales a la información sensible. El PPST complementa otros sistemas de seguridad como el de la protección de los Organismos de Importancia Vital (OIV) o del secreto de la defensa nacional.
¿Cuáles son los riesgos en caso de exposición de esta información sensible?
En caso de captura, esta información relativa al potencial técnico y científico de la nación puede ser desviada para fines de desestabilización o criminales. Los riesgos se clasifican en 4 categorías:
Daño a los intereses económicos de la nación
Desarrollo de arsenales militares
Proliferación de armas de destrucción masiva
Terrorismo
Sectores concernidos
Diferentes sectores científicos y técnicos están, por lo tanto, concernidos por el PPST:
la biología,
la medicina,
la salud,
la química,
las matemáticas,
la física,
las ciencias agronómicas y ecológicas,
las ciencias de la tierra, del universo y del espacio,
las ciencias y tecnologías de la información y la comunicación
las ciencias de la ingeniería…
Así, laboratorios de investigación, empresas y universidades deben ser protegidos de los riesgos de interceptación de datos.
Proteger el potencial científico y técnico del ciberespionaje
El acceso a las ZRR puede ser físico pero también virtual. Por lo tanto, la seguridad de los sistemas de información constituye un desafío mayor para proteger el potencial científico y técnico del ciberespionaje.
Asegurar los sistemas de información de régimen restrictivo (SIRR)
Un sistema de información de régimen restrictivo (SIRR) hace transitar información de régimen restrictivo (IRR), es decir, sensible y cuya divulgación presentaría uno o varios de los riesgos mencionados anteriormente. Su acceso constituye, por lo tanto, un acceso virtual a una zona RR. Cabe destacar que los SIRR están sujetos a la instrucción interministerial n.º 901 sobre la protección del secreto y de la defensa nacional.
En la guía de protección digital del potencial científico y técnico de la nación publicada por la ANSSI figura una lista de medidas de seguridad a implementar por las organizaciones que disponen de un SIRR. Entre ellas, el despliegue de una política de seguridad de los sistemas de información (PSSI), enumerando el conjunto de buenas prácticas y procedimientos en materia de seguridad informática a respetar por los colaboradores y otras partes interesadas.
En efecto, el SIRR engloba todo tipo de soportes y equipos electrónicos como ordenadores portátiles, USB o servidores y supone, por lo tanto, paralelamente una sensibilización a la ciberseguridad de los usuarios.
Ejemplos de medidas de seguridad a implementar:
cifrado de comunicaciones
cifrado de discos duros de los puestos de trabajo
control de acceso
Velar por la seguridad de los puestos de trabajo
Los puestos de trabajo contienen cierta cantidad de información sensible que debe ser protegida. La ANSSI, a través de su guía, recuerda la importancia de eliminar la totalidad de los datos presentes en un puesto de trabajo antes de una reasignación de material. De la misma manera, es esencial eliminar los derechos de acceso a los sistemas de información tan pronto como termine el período de empleo de un usuario.
Utilizar una tecnología de cifrado de extremo a extremo de las comunicaciones
Las herramientas de comunicación desplegadas en las empresas, especialmente en establecimientos en zona RR, deben responder a un nivel de seguridad máxima. Primero, la solución utilizada debe ser Secure by design y respetar así un cierto número de criterios de seguridad, desde su concepción hasta su despliegue en la organización. Así, su impacto en la seguridad de la red de la empresa será notablemente disminuido o nulo. Por otro lado, las comunicaciones intercambiadas en mensajerías en línea o en videoconferencia son objetivo de espionaje informático e industrial. Solo una tecnología de cifrado de extremo a extremo de los flujos de comunicaciones audio, video y data puede evitar la recuperación de sus datos.
Mostrar la mayor reactividad en caso de ataque
En caso de crisis ciber, una solución de comunicación segura y de emergencia es igualmente indispensable para asegurar la continuidad de actividad del establecimiento. Debe permitir a los colaboradores continuar sus intercambios gracias a un canal de comunicación «out of band», es decir, diferente al utilizado habitualmente.
El software de videoconferencia seguro Tixeo responde a esta necesidad. Gracias a su tecnología de cifrado de extremo a extremo soberana y su despliegue altamente seguro en versión on-premise, permite acompañar a los establecimientos en su gestión de crisis y su ciberresiliencia.
Primer cumbre de los Cinco Ojos sobre el tema en 2023
El 16 y 17 de octubre de 2023 tuvo lugar por primera vez una cumbre de los Cinco Ojos sobre la temática de la protección del potencial científico y técnico de la nación. Durante esta cumbre, los 5 países de la coalición (Estados Unidos, Reino Unido, Canadá, Australia, Nueva Zelanda) alertaron sobre las amenazas que pesan sobre la innovación y la investigación. Más específicamente, es el gobierno chino el que fue señalado como el principal peligro para la innovación y los intereses de las naciones. «El gobierno chino está comprometido en el robo de propiedad intelectual y la adquisición de experiencia más sostenida y sofisticada, que no tiene precedente en la historia de la humanidad», declaró Mike Burgess, director general de los servicios de inteligencia australianos.
Las operaciones de espionaje industrial, de origen chino, de hecho, conocen un aumento sin precedentes. «Los sectores de la inteligencia artificial, la informática cuántica y la biología sintética están particularmente en el punto de mira en este momento, según los altos funcionarios.» Un recrudecimiento del ciberespionaje de origen estatal que no ahorra tampoco a los países europeos. El documento Cinco principios para asegurar la investigación y la innovación fue publicado al término de la cumbre y presenta varias recomendaciones para maximizar la protección del potencial científico y técnico. Entre ellas: el conocimiento y gestión de los riesgos ciber, la protección del entorno de trabajo, la sensibilización de los colaboradores o la seguridad de las asociaciones, proveedores y prestadores de servicios.
La certificación de seguridad para productos y soluciones digitales es una garantía de fiabilidad. ¿En qué consiste esta certificación y cómo garantiza un alto nivel de ciberseguridad?
Definición de una certificación de seguridad
La certificación de seguridad para soluciones y software informático implica evaluar un producto según normas específicas de ciberseguridad. Este proceso es hoy en día crucial para garantizar la protección de los datos y los sistemas frente al aumento de las ciberamenazas. La certificación de seguridad también ayuda a las empresas en la búsqueda de soluciones digitales seguras para sus usos estratégicos y sensibles. Finalmente, permite armonizar los niveles de seguridad de las soluciones y participar en la creación de un sistema digital de confianza. Existen diferentes certificaciones de seguridad a nivel internacional y en Europa. Aquí hay un resumen:
Certificaciones de ciberseguridad internacionales
Common Criteria (CC)
Common Criteria es el estándar internacional de certificación de ciberseguridad de tecnologías de la información. También conocida como «Common Criteria for Information Technology Security Evaluation», esta norma internacional (ISO/IEC 15408) permite evaluar la seguridad de productos de TI por laboratorios acreditados e independientes, según criterios técnicos y organizativos exigentes. Los certificados son reconocidos internacionalmente por los firmantes del Acuerdo de Reconocimiento de Common Criteria (CCRA), entre ellos la ANSSI en Francia.
FIPS 140-3
Desarrollada por el National Institute of Standards and Technology (NIST) en los Estados Unidos, la norma FIPS 140-3 se enfoca especialmente en la verificación de la seguridad de los módulos de cifrado. Esencial para productos usados en entornos gubernamentales y sensibles, la norma analiza especialmente:
Las funcionalidades y capacidades del módulo de cifrado
Las interacciones con otros sistemas
La gestión de accesos y operaciones autorizadas
La seguridad de los componentes de software
El mantenimiento y las actualizaciones seguras
Las medidas contra diversas formas de ataques potenciales. Esta norma propone cuatro niveles cualitativos de seguridad (básicos a muy elevados), adaptados a diferentes aplicaciones y entornos de TI.
Certificaciones de ciberseguridad europeas
El proyecto de Certificación de Ciberseguridad Europea
El esquema de certificación EUCC se basa en el esquema internacional Common Criteria para la certificación de productos TIC, sus hardware y software (firewalls, dispositivos de cifrado y firma electrónica, routers, smartphones, tarjetas bancarias, etc.). En octubre de 2023, un primer proyecto de acto de ejecución del EUCC fue publicado por la Comisión Europea y abierto a comentarios. H4 EUCS (Esquema Europeo de Certificación para Servicios en la Nube) en estudio En la misma línea que el EUCC, la certificación EUCS busca específicamente aprobar la seguridad de productos y servicios alojados en la nube. La propuesta de texto está ahora bajo estudio del Grupo Europeo de Certificación de Ciberseguridad (ECCG) y permitirá reforzar la seguridad del cloud computing en Europa. En el marco de la directiva NIS 2 y el Acta de Resiliencia Cibernética, estos proyectos de certificaciones europeas buscan armonizar los niveles de seguridad de las soluciones de TI.
En Francia: el visado de seguridad de la ANSSI
La certificación de seguridad emitida por la ANSSI (Agencia Nacional de la Seguridad de los Sistemas de Información) es una referencia en Francia y también en Europa. Basada en el estándar internacional de certificación Common Criteria, este esquema de certificación nacional evalúa la robustez de una versión específica de un producto en un momento dado, en función del estado del arte de los ciberataques. Para emitirla, los laboratorios y expertos acreditados analizarán varios criterios de seguridad, como:
La conformidad con los estándares y regulaciones nacionales e internacionales de seguridad de los sistemas de información en vigor
Las medidas de seguridad técnicas y organizativas
La resistencia a ataques, incluyendo intentos de intrusión, hackeo y explotación de vulnerabilidades.
La gestión de accesos y autenticación para controlar el acceso a datos y recursos.
El cifrado y la protección de datos
La resiliencia y gestión de incidentes
El mantenimiento y actualizaciones de seguridad, para responder a nuevas amenazas y vulnerabilidades Además, la ANSSI también ofrece una calificación de seguridad para productos y servicios digitales destinados a sectores críticos y estratégicos (OIV y OSE). Esta responderá a exigencias reglamentarias específicas, como la Ley de Programación Militar, entre otras. La calificación de seguridad de la ANSSI atestigua así la adecuación entre las soluciones y las necesidades sensibles identificadas de las empresas. El proveedor debe demostrar que podrá cumplir sus compromisos a largo plazo.
¿A qué productos se dirigen las certificaciones de seguridad?
Muchos productos y soluciones informáticas pueden aspirar a una certificación de seguridad, siempre que expongan datos y/o sean utilizados por organizaciones sensibles. Aquí hay algunos tipos de productos que pueden beneficiarse de las certificaciones de seguridad:
Hardware Informático: servidores, routers, firewalls y otros equipos de red…
Software: sistemas operativos, aplicaciones y bases de datos…
Soluciones en la Nube: Servicios de computación en la nube, almacenamiento y aplicaciones basadas en la nube…
Productos de Cifrado: Módulos de cifrado, herramientas de gestión de claves…
Soluciones de Seguridad Móvil: Aplicaciones e infraestructuras de seguridad para dispositivos móviles…
Sistemas de Control Industrial (ICS) e Internet de las Cosas (IoT): dispositivos conectados en varios sectores industriales…
Tixeo, certificado y calificado por la ANSSI durante más de 6 años
El software de videoconferencia segura Tixeo ha sido certificado y calificado por la ANSSI durante más de 6 años. Gracias a su cifrado de extremo a extremo y su versión on-premise, ofrece a las empresas en sectores críticos una total confidencialidad para sus intercambios y, sobre todo, una alta capacidad de resiliencia operativa. A través de su certificación y calificación, el Estado francés recomienda su uso para aplicaciones sensibles. Otros sellos europeos confirman la seguridad de su solución.
Los ataques relacionados con el ciberespionaje llevados a cabo por entidades estatales o paraestatales se multiplican y apuntan a las empresas europeas. Principalmente, se enfocan en organizaciones esenciales para el buen funcionamiento o la economía de un país.
Consecuencia de las inestabilidades geopolíticas
El aumento de los ataques estatales y paraestatales
Desde la guerra en Ucrania, los conflictos en el ciberespacio continúan fortaleciéndose y la tipología de ciberatacantes se diversifica. Así, más actores estatales usan métodos tradicionales de cibercriminalidad, como los ransomware, para apuntar a organizaciones privadas o públicas. En consecuencia, se vuelve cada vez más complejo identificar precisamente a los autores de estas actividades maliciosas. Además, las técnicas utilizadas son más sofisticadas y efectivas, ya que movilizan más recursos y causan más daños. De hecho, la lucha contra el ciberespionaje fue una de las misiones principales de la ANSSI en 2022. Las acciones de ciberespionaje pueden afectar sistemas de información durante meses sin ser percibidas por las organizaciones.
Organizaciones gubernamentales, empresas, administraciones o institutos de investigación son los blancos preferidos del ciberespionaje. Es en estas entidades donde los ciberatacantes pueden recolectar datos sensibles, relacionados con la actividad económica, industrial o científica de una nación. Esto puede comenzar con el hackeo de correos electrónicos de colaboradores para obtener información confidencial.
Recientemente, la ANSSI declaró que varias empresas francesas han sido objetivo de ciberespionaje llevado a cabo por la unidad de hackers APT 28 (o Fancy Bear), cercana a los servicios de inteligencia militares rusos. Estos últimos habrían explotado varias vulnerabilidades de seguridad para infiltrarse en correos electrónicos de Outlook, entre marzo de 2022 y junio de 2023.
¿Cuáles son las consecuencias del ciberespionaje?
Impactos financieros para las empresas
El ciberespionaje tiene impactos económicos significativos en las empresas. Primero, el ataque generalmente se descubre varios meses después de la infiltración y se hace público de inmediato. Esto daña la imagen de la organización y lleva a una pérdida de confianza por parte de sus clientes y socios. El espionaje industrial también puede llevar a una pérdida de mercados y al robo de datos relacionados con la propiedad intelectual de la organización. Todo esto contribuye a desestabilizar financieramente a las empresas.
Daño a los intereses de la nación
Además, el espionaje de empresas que operan en sectores críticos puede perseguir intereses distintos a los financieros. Por ejemplo, cuando se trata de infraestructuras relacionadas con los sectores de energía, TIC o salud, el ciberespionaje contribuye a la desestabilización del país, en términos económicos, sociales e incluso de seguridad. En un contexto de guerra y amenaza terrorista, los organismos estatales apuntan a sectores estratégicos. En 2023 se descubrió la infiltración de Mirage, actor de la ciberamenaza china, en las redes de la Agencia Federal Alemana de Cartografía y Geodesia en diciembre de 2021. Aunque no se conoce hoy el tipo de información comprometida, esto demuestra que estos ataques pueden corromper profundamente un sistema y potencialmente instalarse en él a lo largo del tiempo.
El fortalecimiento de la ciberseguridad europea más esencial que nunca
Con la directiva NIS 2 o DORA, Europa se prepara desde ahora para reforzar la ciberseguridad de las organizaciones más sensibles, especialmente contra el ciberespionaje. Los ciberataques estatales también entran en el espectro de la ciberdefensa de las naciones. Así, los actores militares de la ciberdefensa se movilizan para defender los sistemas de información de organismos críticos, con el fin de evitar la parálisis de organismos estatales o privados. En el mismo sentido, la DGSI participa en la ciberdefensa detectando e identificando lo antes posible las injerencias cibernéticas estatales.
Los Juegos Olímpicos 2024: un contexto favorable para la desestabilización de las empresas
En vísperas de los Juegos Olímpicos 2024 en París, las autoridades ya advierten de un «nivel sin precedentes de riesgos de ciberataques«, que también podrían apuntar a empresas, siempre con el objetivo de desestabilizar al país organizador. Las organizaciones en todos los sectores esenciales y críticos deben prepararse para una potencial crisis cibernética. Se esperan medidas técnicas de ciberprotección, especialmente para proteger las comunicaciones y los datos confidenciales. Pero también se recomienda enfatizar la formación en buenas prácticas de ciberseguridad internamente. De hecho, los colaboradores y los líderes son generalmente las primeras puertas de entrada en el SI de las empresas en caso de ciberespionaje.
Para demostrar su confiabilidad, las soluciones de tecnología de la información pueden obtener una certificación de seguridad. Esto representa una gran ventaja para los productos de TI en el mercado, en un contexto donde la ciberseguridad es ahora un desafío crucial para las organizaciones. Pero, ¿cómo podemos asegurarnos de la credibilidad de una certificación de seguridad de un país a otro?
¿Qué es una certificación de seguridad?
La certificación de seguridad para soluciones y software de TI implica evaluar el producto según normativas específicas de ciberseguridad. Estas pueden estar relacionadas con un sector y las regulaciones vigentes en cada país. Por tanto, dependiendo del país emisor, la certificación puede no cumplir con los mismos requisitos de ciberseguridad. Es por ello que es crucial analizar los criterios que determinan el nivel de credibilidad de una certificación en ciberseguridad.
Criterios para determinar el nivel de credibilidad
El poder ciber de la nación
El poder cibernético o «cyber power» contribuye al prestigio de una nación a nivel internacional. Se trata de su capacidad para utilizar las tecnologías digitales y el ciberespacio para alcanzar sus objetivos nacionales e internacionales, gracias a estrategias gubernamentales, operaciones defensivas o la movilización de recursos. Diferentes índices mundiales permiten determinar este nivel de poder cibernético.
El índice NCPI del Harvard Belfer Center
El National Cyber Power Index (NCPI) del Belfer Center es un índice de poder cibernético de las naciones. Este índice utiliza modelos de datos cualitativos y cuantitativos para evaluar las capacidades y el logro de objetivos de los Estados. Se refiere a 29 indicadores, distribuidos en dos categorías:
Los indicadores de intención
Los indicadores de intención reflejan las prioridades y motivaciones de un Estado en materia de ciberseguridad. En otras palabras, demuestra cómo el país planea utilizar sus capacidades cibernéticas, en función de sus objetivos estratégicos y políticos. Estos son diversos: defensa, espionaje, control de la información, influencia en la definición de normas del ciberespacio o operaciones ofensivas.
Los indicadores de capacidad
Los indicadores de capacidad evalúan las capacidades técnicas y los recursos de un país en el plano ciber, independientemente de cómo haya elegido utilizarlos. Esto incluye, en particular: la experiencia técnica, la infraestructura, las herramientas y tecnologías disponibles, y los recursos humanos calificados en ciberseguridad.
Los resultados del informe NCPI 2022
En el informe NCPI 2022, los autores evaluaron el poder cibernético de 30 países en el mundo. Así, en el top 10, se encuentran los Estados Unidos, China, Rusia, el Reino Unido y Francia en 9ª posición. Alemania y los Países Bajos se sitúan más abajo en la clasificación. Francia obtiene un puntaje de capacidad de aproximadamente 40 para el objetivo de «influencia en la definición de normas del ciberespacio». Se sitúa así en 4ª posición. En puntaje de intención, Francia se clasifica en el top 4 de las naciones más involucradas en el objetivo de defensa.
La evaluación del Internal Institute for Strategic Studies (IISS)
El IISS también ha desarrollado una metodología para determinar las capacidades ciber de una nación y cómo estas contribuyen a su poder. El instituto clasifica estas capacidades en 7 categorías distintas:
Estrategia y doctrina
Gobernanza, mando y control
Capacidad esencial de ciberespionaje
Habilitación y dependencia respecto al ciberespacio
Ciberseguridad y resiliencia
Liderazgo mundial en asuntos del ciberespacio
Capacidad de ciberseguridad ofensiva
Además, en su «Cyber Capabilities and National Power» publicado en 2021, el IISS analiza la posición de Francia en estos dominios. Se puede leer que «Francia es en muchos aspectos el primer país de la UE en materia de ciberseguridad y planificación de la resiliencia«.
Transparencia de Francia en materia de ciberseguridad
Por otra parte, Francia demuestra una mayor transparencia en la cuestión de la ciberseguridad. En efecto, el informe estipula que el país «mantiene una separación clara entre las operaciones cibernéticas defensivas y ofensivas«. Así, la ANSSI se dedica exclusivamente a operaciones defensivas y no forma parte de la comunidad de inteligencia. A diferencia de la National Security Agency (NSA) en los Estados Unidos o del Government Communications Headquarters (GCHQ) en el Reino Unido. «Esta distinción es importante para algunos en Francia, sobre la base de la hipótesis de que los objetivos y el ámbito de competencia de una agencia de inteligencia, especialmente su disposición hacia el secreto, pueden interferir con algunos de los objetivos y prácticas necesarios para la ciberseguridad del sector civil, incluida la necesidad de una mayor transparencia con respecto a las violaciones de ciberseguridad«.
El poder ciber de una nación es, por lo tanto, uno de los criterios esenciales a tener en cuenta para evaluar la credibilidad de una certificación de seguridad. De hecho, cuando un país está altamente clasificado, demuestra su alto nivel de exigencia y capacidad en materia de ciberseguridad. Otro criterio decisivo es el esquema nacional de certificación.
El esquema de certificación nacional
El único estándar internacional para la evaluación de la seguridad de productos y sistemas informáticos es el Common Criteria (CC). Este analiza criterios técnicos, pero también organizacionales y relativos a los procesos de la empresa para otorgar un nivel de seguridad más o menos elevado (7 niveles). Estos criterios son muy exigentes y suponen la implementación de medios importantes por las organizaciones. Así, solo grandes empresas o grupos tienen los medios para aspirar a una certificación del CC. Sin embargo, esta dificultad de atribución está en oposición con el deseo de desarrollar un sistema digital de confianza, que agrupe organizaciones de todos los tamaños, multinacionales como PYMEs.
Para facilitar este proceso de certificación, Francia y Alemania, con su experiencia como países certificadores, han creado esquemas de certificación nacionales, orientados a la evaluación técnica de los productos:
Estos esquemas han permitido ampliar la certificación a un mayor número de soluciones informáticas, y reforzar su visibilidad, garantizando al mismo tiempo su alto nivel de seguridad. De hecho, la credibilidad de estos esquemas de certificación nacionales se basa ante todo en la del país emisor.
La experiencia de la nación en la emisión de certificaciones
Número de certificaciones CC emitidas en 2022 por país (Informes estadísticos sobre Criterios Comunes 2022)
La experiencia de la nación en la emisión de certificaciones cuenta mucho en la credibilidad de su esquema de certificación. Y es que, el número de productos certificados demuestra una experiencia y un compromiso particular por la ciberseguridad.
En 2022, según el Common Criteria Statistics Report, Francia, a través de la ANSSI, es líder mundial en número de certificaciones Common Criteria otorgadas, por delante de los Estados Unidos y los Países Bajos, con 74 productos certificados. Durante los últimos 5 años, Francia es el segundo país que ha otorgado más certificaciones, justo detrás de los Estados Unidos.
En resumen, la credibilidad de una certificación de seguridad se basa en tres criterios principales:
El poder ciber de la nación emisora de la certificación
El compromiso del país para desarrollar un sistema digital de confianza, a través de su esquema de certificación nacional
La experiencia de la nación en la certificación
Francia, una de las potencias ciber más creíbles
Francia aparece como una de las potencias cibernéticas más creíbles y experimentadas, según los diferentes índices de «cyber power» y gracias a su experiencia en la evaluación de productos informáticos.
Por eso, las soluciones certificadas por la ANSSI cuentan con garantías de seguridad importantes y una confianza aumentada.
Tixeo, única solución de videoconferencia segura certificada y calificada por la ANSSI
Gracias a su tecnología de cifrado de extremo a extremosoberana y su oferta de videoconferencia segura on-premise, Tixeo está certificada y calificada por la ANSSI desde 2017.
Con tres certificados de seguridad de la ANSSI recibidos en 6 años, la empresa muestra una continuidad en su compromiso con la seguridad y un alto nivel de exigencia que va más allá del aspecto puramente «marketing» de la certificación.
Spear phishing o suplantación de la identidad, ransomware o secuestro de datos, descarga de software malicioso, etc. Estas amenazas a la ciberseguridad afectan a los empleados de todas las empresas, especialmente a los que teletrabajan. La concienciación sobre la ciberseguridad es ahora esencial.
Riesgos económicos y políticos
Los ciberataques contra las empresas y las administraciones públicas obedecen a intereses económicos y a veces políticos, según los sectores.
Los objetivos de los piratas informáticos pueden ser:
Robar dinero a particulares o empresas;
Captar la clientela de una empresa;
Perjudicar la reputación de una empresa o de una personalidad o partido político;
Poner en marcha un espionaje industrial, político o militar;
etc.
Los empleados de una organización están en primera línea frente a estos riesgos de ciberseguridad cada vez mayores. Por tanto, las acciones de sensibilización son esenciales para que tomen conciencia de ellos y reaccionen en consecuencia.
Medidas de concienciación sobre la seguridad informática:
Programar sesiones de formación periódicas
Los cursos de formación sobre ciberseguridad conciernen a todos los empleados de la empresa y deben ofrecerse con regularidad. Es preferible organizarlos en pequeños grupos para fomentar el debate y, si es posible, adaptarlos a los perfiles profesionales.
Formar a contables o a profesionales de recursos humanos en ciberseguridad es diferente de formar a desarrolladores o comerciales. Segmentar los cursos por profesiones permite asimismo abordar temas precisos y concretos para cada problemática profesional (redes wifi en los desplazamientos, correos electrónicos fraudulentos, etc.). Lo ideal es que los módulos de formación sean breves, de no más de una hora. Más allá de esta duración, se corre el riesgo de generar cansancio y perjudicar la comprensión del mensaje.
Puede ser una buena idea concluir cada sesión de formación con la transmisión de un documento práctico y conciso que sirva de recordatorio al empleado. En cuanto al aspecto lúdico, también se pueden proponer cuestionarios después de las sesiones de formación, con recompensas al final, para animar a los empleados a interesarse lo más posible por el tema.
Utilización de la ludificación
El uso de la ludificación en los cursos de formación sobre ciberseguridad también está resultando muy eficaz. Varias organizaciones proponen juegos de escape o ciberjuegos sobre el tema de la seguridad informática, durante los cuales los empleados se ponen en la piel de un hacker, por ejemplo. Estos juegos de rol y sesiones de formación interactivas ayudan a tomar conciencia de los riesgos, al tiempo que reducen la ansiedad.
Recurrir a personas destacadas
En los cursos de formación de mayor envergadura, recurrir a una persona reconocida en el ámbito de la ciberseguridad es una buena manera de captar la atención del público, así como de beneficiarse de sus conocimientos avanzados. Puede tratarse de organizaciones especializadas en seguridad informática, investigadores universitarios o incluso expertos en ciberdefensa, en función del sector de actividad de la empresa y de las cuestiones en juego.
Reforzar la comunicación interna
Debe informarse periódicamente a los empleados de las noticias relacionadas con la ciberseguridad, tanto si afectan directamente a su empresa como si no. Dar ejemplos concretos de incidentes y sus consecuencias es una buena forma de sensibilizar.
Por ejemplo, los ataques de spear phishing están aumentando actualmente y afectan cada vez a más organizaciones. Este tipo de ciberataque se dirige específicamente a un empleado de la empresa con acceso a información sensible. Generalmente, este proceso se basa en la suplantación de identidad y una fuerte ingeniería social. El objetivo del hacker es enviar un correo electrónico coherente con la actividad de la persona o empresa a la que se dirige, animándola a hacer clic en un enlace malicioso o a abrir un archivo adjunto infectado. De este modo, pueden conocerse los datos del empleado. La tasa de éxito del spear phishing es elevada y preocupante. Es esencial comunicar este tipo de información a los empleados por correo electrónico, a través de una red social corporativa o en un registro interno. Estas comunicaciones pueden ir acompañadas de una serie de medidas prácticas que pueden adoptarse para evitar ser sorprendido.
Además, en caso de incidente, los empleados deben ser capaces de reaccionar rápidamente, sobre todo si su puesto de trabajo está infectado y, por tanto, inutilizable. Para ayudarles, se pueden imprimir y distribuir con antelación «fichas SOS» que cubran diferentes problemáticas encontradas (por ejemplo: «He hecho clic en un enlace perjudicial, ¿qué debo hacer?»). Los empleados encontrarán en ellas los datos de contacto del servicio de asistencia y algunas acciones sencillas que pueden llevar a cabo mientras esperan ayuda. Estas fichas son especialmente útiles para los empleados que teletrabajan, que están más solos en cuestiones de seguridad.
Por último, no hay nada como un (falso) ciberataque para concienciar. Las campañas de prueba de ciberseguridad conciernen a toda la empresa y tienen un doble objetivo: mostrar a los empleados que podrían verse afectados por ataques y medir su nivel de vigilancia. Por lo general, se organizan campañas de phishing, ya que este tipo de ataque por correo electrónico sigue siendo el más común. Al final de estas campañas de prueba, y en función de los resultados, habrá que proponer a los empleados módulos de formación complementarios.
Tres precauciones esenciales para concienciar sobre la ciberseguridad
Aprovechar al máximo la diversidad de acciones
Sacar tiempo para formarse no siempre resulta fácil, y la mayoría de los empleados se resisten a formarse en ciberseguridad. La clave, por lo tanto, es diversificar las formaciones, para abordar el tema desde diferentes ángulos, difundiendo información concreta y práctica. Sin olvidar los aspectos pedagógicos y lúdicos.
Adaptar la sensibilización a las profesiones específicas
Es importante que los empleados aprendan técnicas para protegerse, pero también y sobre todo que sean conscientes de que hoy en día todo el mundo es un objetivo más para los hackers. Es necesario sensibilizar al conjunto de los trabajadores al mismo tiempo que a los distintos perfiles profesionales.
Reforzar la formación de los teletrabajadores
Aunque todos los empleados necesitan formación en seguridad informática, la necesidad es aún mayor en el caso de los teletrabajadores. Desde la llegada del teletrabajo, los ciberataques se han disparado, y también su coste para la empresa. A las empresas les conviene maximizar la formación de los teletrabajadores, así como su asistencia a distancia en caso de incidente.
Conozca otras buenas prácticas de seguridad en el teletrabajo:
