A medida que el sector de la construcción acelera su camino hacia la automatización y la digitalización de sus procesos, exigen cada vez más a sus contratistas que muestren sólidos protocolos de higiene cibernética, ya que el sector y, lo que es más importante, los clientes temen las consecuencias financieras y reputacionales de un ciber incidente.
Digitalización del sector Construcción
En la última década, el sector de la construcción ha experimentado una oleada de digitalización al introducir y ampliar la utilización de software de proyectos, equipos y relaciones con los clientes, drones y maquinaria de construcción autónoma. La tecnología del sector de la construcción ha sustituido los documentos en papel para los planos de los proyectos y las órdenes de compra.
La tecnología desempeña un papel cada vez más relevante en el sector de la construcción, tanto en la modelación de proyectos como en las operaciones cotidianas. A la vez que impulsa la eficiencia y la transparencia, la innovación tecnológica requiere políticas y procedimientos adecuados de ciber higiene para reducir el riesgo de todas las empresas que participan en un proyecto. Por ello, los contratistas principales piden cada vez más a sus subcontratistas que demuestren unas prácticas de ciberseguridad sólidas en sus licitaciones. En igualdad de condiciones, es probable que las empresas de construcción opten por confiar sus datos a los socios de la cadena de suministro que puedan demostrar unas prácticas de ciberseguridad sólidas y documentadas.
Las empresas de construcción tienen acceso a una gran cantidad de información, como la propiedad intelectual, los activos patentados, los planos y las especificaciones arquitectónicas, así como las cuentas bancarias y financieras de las empresas. Estos son, por supuesto, datos interesantes para los ciber delincuentes. Además, es posible que quieran acceder a la información de los empleados, como los nombres completos, los números de la seguridad social y los datos de las cuentas bancarias utilizadas para las nóminas.
Los ciberdelincuentes también pueden acceder a la red de los clientes a través de los sistemas de los contratistas y subcontratistas. Aunque el riesgo cibernético es difícil de controlar en el entorno de la oficina, es aún más difícil en una obra de construcción, donde cientos de empleados temporales y permanentes de varias empresas pueden estar realizando trabajos al mismo tiempo, lo que aumenta el número de posibles vulnerabilidades. La presión para entregar el proyecto se suma a la dificultad de gestionar el riesgo cibernético. Los contratistas principales deben considerar esta amenaza como parte del plan de gestión. El propietario de cualquier sistema que contenga información confidencial debe reducir al mínimo el número de personas que acceden a él y crear normas y procedimientos de seguridad estrictos. Los responsables de la toma de decisiones de las principales empresas de construcción están dispuestos a dar una prioridad aún mayor a este tema tras el reciente aumento de los ataques de ransomware.
Ataques contra las empresas de construcción
Las empresas conjuntas son especialmente vulnerables a las ciberamenazas porque implican el intercambio de datos y documentos entre las empresas. Esto puede explicar por qué una oleada de ciberataques ha afectado recientemente al sector de la construcción en el último año. Entre las víctimas se encuentra un importante contratista del Reino Unido, que sufrió un ataque a su red informática de construcción en enero de 2020 que perjudicó sus operaciones. Más tarde, en mayo, un ataque de ransomware contra el sistema de construcción de un grupo empresarial de servicios de construcción cifró los archivos de la empresa y le impidió acceder a ellos. Ese mismo mes, una empresa de subcontratación que ofrece servicios de apoyo a las empresas de construcción sufrió un ciberataque. Al parecer, los piratas informáticos entraron en una base de datos de recursos humanos y robaron datos de hasta 100.000 personas, entre ellas empleados actuales y antiguos.
Cómo atacan los ciber delincuentes a las empresas de construcción
Hay varios tipos de métodos que los ciber delincuentes utilizan para atacar y ejecutar el fraude contra este tipo de empresas, entre ellos:
-1. Ataques de denegación de servicio distribuidos (DDoS) pueden interrumpir las operaciones y colapsar el servidor o la red. Estos ataques también pueden revelar vulnerabilidades que los ciber delincuentes pueden utilizar para instalar malware o ransomware y tomar el control de la tecnología de una empresa.
- Vulnerabilidades de terceros ofrecen a los estafadores la entrada a través de una puerta trasera, como contraseñas débiles, hardware no seguro, aplicaciones o servicios en la nube conectados.
- Campañas de phishing son la causa de la mayoría de las violaciones de datos y se producen cuando los estafadores envían correos electrónicos de apariencia legítima a los empleados de una empresa, engañándoles para que instalen software malicioso en su dispositivo o faciliten información personal como los datos de acceso.
- El software malicioso o ransomware puede hacer de todo, desde copiar o bloquear datos, cambiar la configuración de seguridad, añadir una empresa a una red maliciosa, consumir recursos e incluso controlar a distancia los sistemas de la empresa.
- El correo electrónico o los sitios web falsos también permiten a los estafadores entrar en la red de una empresa.
- La ingeniería social permite a los ciberdelincuentes extraer datos personales valiosos o inicios de sesión mediante anuncios falsos o generando confianza de otra manera.
Datos que los estafadores pueden tener como objetivo
- Información de los empleados, incluidos los números de seguridad social o los datos bancarios para el depósito directo
- Grandes datos
- Precios de los materiales
- Datos financieros de la empresa (beneficios/pérdidas)
- Diseños o planos
- Registros bancarios y otros informes financieros
- Información sensible o confidencial de contratos privados (instalaciones gubernamentales, etc.)
- Propiedad intelectual, como planos o esquemas, datos de licitaciones y estrategias
Principales Riesgos para las empresas:
- Interrupción de la actividad derivada de interrupciones tecnológicas
- Robo, pérdida o divulgación no autorizada de información personal de la empresa
- Robo de activos corporativos patentados
- Robo de información de clientes
- Acceso a información personal en los servidores de otras organizaciones
- Robo u otros daños por parte de empleados descontentos, subcontratistas, proveedores o competidores
Recomendaciones:
- Realizar un inventario de activos para identificar lo que hay que proteger.
- Realizar una evaluación de riesgos para valorar los riesgos que presentan los activos principales.
- Identificar las áreas vulnerables a las que hay que prestar atención para abordar los riesgos más críticos.
- Implementar controles de seguridad
- Conozca los riesgos y siga aprendiendo.
- Instale sistemas de supervisión de software especializado y datos para detectar actividades sospechosas.
- Establezca políticas y directrices particulares en materia de hardware y software. Puede ser necesario prohibir el acceso a la red Wi-Fi a los dispositivos externos que no tengan instalado un software de supervisión.
- Establezca reglas en su firewall para bloquear el acceso a sitios web maliciosos.
- Imponga una gestión estricta de las contraseñas.
- Eduque a su personal en materia de ciberseguridad mediante formación especializada, ejemplos de la vida real y pruebas.
- Manténgase al tanto de las amenazas emergentes y proporcione actualizaciones periódicas a todo su equipo.
- Cree un plan de manejo de crisis y ayuda en caso de catástrofe y realice simulacros para comprobar la capacidad de respuesta de su equipo.
- Contrate a una empresa de TI externa para que realice pruebas de penetración y una auditoría de seguridad.
- Actualice el software y el firmware para garantizar la máxima protección.
- Externalice las capacidades de ciberprotección/forenses.
El factor humano
El eslabón más débil de cualquier sistema de defensa de la ciberseguridad son siempre las personas. Todos los empleados deben ser capaces de verificar los correos electrónicos fraudulentos a través de la dirección del remitente, comprobar la información antes de responder y conocer los peligros de hacer clic en los enlaces de los correos electrónicos no solicitados, ya que a menudo conducen a sitios web maliciosos y descargas de software. Hay que capacitar al personal para que detecte los fraudes e introduzca configuraciones seguras en los dispositivos.
Educar al personal en materia de ciberseguridad reduce la exposición al riesgo de la empresa y la probabilidad de éxito de los ataques. Además del personal permanente, los contratistas deben ser conscientes del riesgo que suponen los proveedores, el personal de las agencias y el personal temporal. Todos los que tienen acceso a una red de datos deben asumir la responsabilidad de mantenerla segura.
Para proteger sus activos, las empresas constructoras deben ofrecer formación e información periódica sobre ciberseguridad a los empleados y asegurarse de que la empresa cuenta con los protocolos de seguridad adecuados en caso de que se produzca una violación de los datos.
Puntos clave para la formación de los empleados:
- Cómo detectar y qué hacer con los correos electrónicos de phishing
- Qué es la ingeniería social y cómo funciona
- No haga nunca clic en los enlaces de los correos electrónicos o textos antes de verificar su procedencia
- No descargue nunca software de fuentes no confiables
- Utilice contraseñas seguras y no las reutilice en otros lugares
- Cómo crear contraseñas seguras utilizando una combinación de símbolos, números y letras minúsculas y mayúsculas; utilice ejemplos para "mostrar" a los empleados.
- Explicar cómo y por qué utilizar la autenticación de dos factores y de múltiples factores
- Mantener el software y el hardware actualizados con el último firmware y parches de seguridad
- Utilizar software antivirus para protegerse contra el malware y otras intrusiones
- No dar nunca información personal a nadie que la solicite sin verificar quién es y para qué la necesita
Intercambio de información y buenas prácticas
Las empresas deben intercambiar periódicamente experiencias, casos y buenas practicas con sus pares para establecer y seguir desarrollando las mejores prácticas del sector. Las cámaras y agremiaciones juegan un papel fundamental, debieran generar espacios de conversación donde las empresas del sector se reúnan a conversar sobre ciberseguridad, casos, y tendencias.
Las empresas que puedan demostrar una buena higiene cibernética corporativa probablemente también se beneficiarán de mejores condiciones a la hora de contratar un seguro cibernético para cubrir el riesgo restante.
Ley Federal de Protección de datos personales en Mexico
Desde el 5 de Julio de 2010, Mexico cuenta con la Ley de protección de Datos que protege y regula el tratamiento de datos personales por parte de empresas del sector privado, esta ley se llama Ley Federal de Protección de Datos Personales en Posesión de los Particulares o Ley de Protección de Datos.
Su aplicación determina que se evite que los datos personales sean utilizados indebidamente, que se respeten los derechos de los dueños de los datos y que se garantice una expectativa razonable de privacidad. Quienes traten datos personales deben tomar en cuenta las guías y documentos emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales ("INAI").
Una de ellas, es la Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales (opens a new window).
Para más información, póngase en contacto con:
Adriana Murra
Subdirector Comercial P&C /REAC
Lockton México
Tel: 55 5980 4300
Cel: 55 51821551
Av. Santa Fe 481, Piso 19, Col. Cruz Manca, Ciudad de México, C.P. 05349
Ricardo Millán
Head ProFin México
Lockton México
Cel: +52 55 4386 3224
Av. Santa Fe 481, Piso 19, Col. Cruz Manca, Ciudad de México, C.P. 05349