Industria de la construcción, nuevo objetivo del crimen cibernético

Juan Carlos Machorro

El desarrollo tecnológico se ha puesto de manifiesto en varios sectores y la industria de la construcción no ha sido la excepción, y es que la digitalización ahora se vislumbra en la utilización de software de proyectos, equipos y relaciones con los clientes, además de maquinaria autónoma y más recientemente drones, lo cual representa un ámbito de interés de los ciberdelincuentes.

Las firmas constructoras cuentan con gran manejo de información que va desde la propiedad intelectual, los activos patentados, los planos y las especificaciones arquitectónicas, hasta cuentas bancarias y financieras de las empresas; datos todos ellos que resultan sumamente atractivos para los ladrones en red.

El riesgo cibernético es muy difícil de controlar en una obra en construcción y es que también están en riesgo los contactos de los clientes, especialmente por la participación de cientos de empleados temporales y permanentes de varias empresas que pueden estar realizando trabajos al unísono, lo que aumenta el número de posibles vulnerabilidades. En este sentido, es necesario establecer proyectos y programas de gestión del riesgo cibernético.

Otros datos que los estafadores pueden tener como objetivo son información de los empleados, precios de materiales, diseños o planos, propiedad intelectual, como esquemas, datos de licitaciones y estrategias, datos financieros de la empresa (beneficios/pérdidas), registros bancarios y otros informes.

Al respecto, Ricardo Alvarado, director de Riesgos en la empresa de ciberseguridad Lockton México, dijo que la innovación tecnológica impulsa la eficiencia y la transparencia, pero también requiere políticas y procedimientos adecuados de ciberseguridad para reducir el riesgo de aquellas empresas que participan en un proyecto.

Por ello, agregó, es que hoy día los contratistas deben solicitar a sus subcontratistas que demuestren prácticas de ciberseguridad sólidas en sus licitaciones. Actualmente las firmas de construcción confían sus datos a los socios de la cadena de suministro que puedan demostrar prácticas de ciberseguridad sólidas y documentadas.

Hizo hincapié en que el propietario de cualquier sistema que contenga información confidencial, debe reducir al mínimo el número de personas que acceden a él y crear normas y procedimientos de seguridad estrictos, pues se ha visto que los responsables de las principales empresas de construcción están dispuestos a dar mayor prioridad al tema, tras el reciente aumento de los ataques de ‘ransomware’; y en dicho marco, los contratistas principales deben considerar esta amenaza como parte del plan de gestión.

Informó que entre los métodos más comunes que utilizan los ciberdelincuentes contra las compañías constructoras y entre los principales destacan los ataques de denegación de servicio distribuidos (DDoS) que pueden interrumpir las operaciones y colapsar el servidor o la red. Los ciber delincuentes incluso pueden instalar un ‘ransomware’ y tomar el control de la tecnología de una empresa.

Las vulnerabilidades de terceros a través de contraseñas débiles, hardware no seguro, aplicaciones o servicios en la nube conectados.

Así como las campañas de ‘phishing’ son la causa de la mayoría de las violaciones de datos y se producen cuando los estafadores envían correos electrónicos de apariencia legítima a los empleados de una empresa.

Este puede desde copiar o bloquear datos, cambiar la configuración de seguridad, añadir una empresa a una red maliciosa, hasta consumir recursos e incluso, controlar a distancia los sistemas de la empresa.

Para evitar en la medida de lo posible el robo de información, recomendó realizar inventarios de activos para identificar lo necesario para proteger; una evaluación para valorar los riesgos que presentan los activos principales; identificar las áreas vulnerables a las que hay que prestar atención para abordar los riesgos más críticos, además de implementar controles de seguridad; instalar sistemas de supervisión de software especializado y datos para detectar actividades sospechosas y prohibir el acceso a Wi-Fi a los dispositivos externos.

Te recomendamos: Querétaro mantiene un alza en construcción de espacios industriales