Les empreses reforcen la identitat digital contra ciberatacs

Accedir a tota aquesta informació és crucial per al funcionament d’internet. Sense ella no podríeu fer compres en línia, pagar els impostos, accedir al compte de subscripció a un diari digital o a una plataforma de vídeo a la carta i compartir les vostres opinions en un fòrum de debat. Les dades que permeten certificar la identitat digital d’un usuari també són del tot indispensables per al negoci d’una infinitat d’empreses, que les necessiten per mantenir els seus empleats connectats a un ecosistema corporatiu de què depenen els seus fluxos productius. No obstant, cada acció deixa un rastre que pot ser utilitzat amb finalitats malicioses, cosa que converteix la gestió d’aquestes dades en un pilar indispensable per a l’economia digital.

Penseu un moment en la companyia en què treballeu. Molt probablement, utilitzeu una plataforma o una aplicació en què inicieu sessió per accedir als registres i recursos necessaris per poder operar amb normalitat. Passa tant si la vostra missió és crear una campanya de publicitat per a un client com si és gestionar l’albarà d’una sabateria. Tot passa per una intranet, una xarxa informàtica privada que permet compartir arxius i serveis dins d’una organització. En aquest entorn, la vostra identitat és la vostra clau. Una tendència que s’ha accentuat amb la normalització del teletreball.

Control d’accés estricte

La digitalització està oferint nombrosos avantatges per a les empreses, com més competitivitat i visibilitat. Tot i així, també comporta reptes de ciberseguretat majúsculs. Un dels principals és com controlar a quina informació poden accedir i a quina no els treballadors, però també contractistes, proveïdors o socis comercials. L’autorització depèn del nivell en què es classifiqui aquest empleat, una categorització que concedeix diferents accessos i que depèn de qüestions com el càrrec, l’antiguitat o el projecte. No té sentit que un empleat ras accedeixi als mateixos documents que un directiu.

Per a més inri, les empreses també han de gestionar identitats no humanes, com les d’aplicacions, serveis o dispositius connectats que interactuen constantment amb els sistemes, perquè el flux d’informació es coreografiï de manera segura. "El gran repte de ciberseguretat per a les empreses a Espanya és passar d’una postura reactiva a una de proactiva. És imprescindible anticipar-se a les amenaces (...) i integrar la seguretat des de l’inici del procés de digitalització", explica David Prieto, gerent d’Identitat i Seguretat IA de Telefónica Tech, que aposta per un control estricte dels accessos i per "aplicar el principi de mínim privilegi".

Aquesta gestió que té com a missió que tercers actors maliciosos puguin aconseguir el control de documents i serveis confidencials de què depèn l’empresa. I és que, en un món on les dades són el nou or, aquestes s’han convertit en un sucós objectiu per a pirates informàtics de tot tipus.

Els cibercrims no paren de batre rècords històrics, i han arribat a xifres a escala global que s’escapen de la nostra imaginació. Només el 2024, es van perpetrar milions de ciberatacs que van provocar pèrdues d’uns 10.000 milions d’euros, el doble que el 2023 i un volum similar al PIB de petits països com Kosovo o Togo.

A Espanya, l’Institut Nacional de Ciberseguretat (INCIBE) va gestionar més de 31.500 agressions informàtiques contra pimes, micropimes i autònoms. Els gegants empresarials no estan exempts de riscos, al contrari: són víctimes de més intents per accedir al seu lucratiu negoci. La realitat és que ningú està fora del radar dels ciberdelinqüents. Per exemple, Iberdrola va patir el maig de l’any passat una filtració que va deixar al descobert les dades personals de fins a 850.000 clients al país. Altres colossos de l’Ibex 35 com Repsol i Santander han patit bretxes de seguretat similars. Aquests atacs no només són un cop a la privacitat dels usuaris i al negoci de l’empresa, sinó també a la seva reputació.

Aposta per la ciberseguretat

Per evitar una interferència indesitjada en els sistemes corporatius, és vital que les empreses apostin per la ciberseguretat i comptin amb sistemes robustos de verificació de la identitat. Aquests passen cada vegada més pels anomenats sistemes d’autenticació multifactorial o de dos factors. A la pràctica significa que, a més d’identificar-te amb el correu electrònic corporatiu i la contrasenya, s’afegeix un mètode addicional que reforça l’autenticació, que pot incloure un número de telèfon mòbil o l’adreça electrònica personal.

Mitjançant l’enviament d’un codi d’un sol ús, el sistema pot verificar que ets qui dius ser. Segons Microsoft, més del 99,9% dels comptes que es veuen compromesos no tenen habilitada l’autenticació multifactor.

Notícies relacionades

La Rioja, un destí que combina negoci, cultura i experiències úniques

Carlos Torres: "El Sabadell està dificultant que els seus accionistes acceptin l’opa"

Històricament, la pràctica més habitual dels ciberdelinqüents era infectar el sistema de les seves preses mitjançant un codi maliciós que s’encarregava de robar contrasenyes. No obstant, la fosca indústria del pirateig informàtic també evoluciona i tres de cada quatre atacs actuals es basen en credencials vàlides, segons l’Informe sobre amenaces globals 2024 de la firma nord-americana de ciberseguretat CrowdStrike.

Això significa que, en lloc d’explotar una vulnerabilitat en el sistema, els criminals prefereixen utilitzar les identitats robades per fer-se passar per un usuari autoritzat, una suplantació indetectable per a la víctima. "Les dades tenen valor perquè permeten obrir la porta a informació encara més sensible: credencials, propietat intel·lectual o dades financeres", adverteix Prieto. "Sense seguretat no hi ha digitalització", sentencia.