Empresas y gobiernos sufren a diario el bombardeo continuo de miles de millones de ciberamenazas. Enfrentarse a estas amenazas requiere recursos y personal, y solo las organizaciones de gran tamaño pueden dotarse de una protección completa. ¿Pero qué sucede con las entidades pequeñas, que no pueden permitirse el tiempo ni el coste que todo ello acarrea? Este proyecto de la Unión Europea desarrollará herramientas sofisticadas, pero gratuitas y fáciles de instalar, para ayudarles a defenderse.

Economía digital

La gran mayoría de las pymes se ven obligadas a sacrificar sus recursos limitados para obtener la ciberprotección que necesitan, o bien tienen que conformarse con herramientas subestándar de riesgo y cruzar los dedos para que todo vaya bien. El proyecto WISER pretende cambiar esta situación desarrollando herramientas de gestión del riesgo gratuitas y fáciles de usar destinadas a pymes muy dependientes de las TIC y también operadores de infraestructuras críticas de mayor tamaño. «A menudo, las pymes no disponen de recursos ni destrezas para utilizar métodos y herramientas avanzadas con que gestionar el riesgo cibernético, y la mayoría tampoco puede permitirse contratar servicios de consultoría», aseguró Niccolò Zazzeri, de Trust-IT Srl, con sede en Pisa, miembro del consorcio de investigación de WISER. «Nuestra meta es ofrecer una solución exhaustiva que los usuarios finales puedan adoptar fácilmente». WISER es un proyecto de treinta meses que se inició en junio de 2015. Realizará varios ensayos breves de evaluación preliminar para probar sus herramientas, los cuales darán paso a otros tres ensayos a escala real centrados en detección de fraudes, distribución y uso de la energía y compra de energía. Los ensayos a escala real validarán la metodología y las herramientas de modelización de WISER en tiempo real y en situaciones realistas. Una de las herramientas en línea gratuitas que el consorcio ya ha desarrollado y probado es Cyber-WISER Light, que consta de dos partes: un cuestionario y una prueba de vulnerabilidad. «Cuando hablamos con pymes, les pedimos que hagan esta autoevaluación periódicamente porque la naturaleza de las amenazas cambia con el tiempo y el lugar», indicó Zazzeri. La herramienta recopila información sobre una red privada, genera un informe basado en las prácticas recomendadas en general para la ciberseguridad y, finalmente, valora la exposición al riesgo de la entidad. El paso siguiente es ejecutar una prueba de vulnerabilidad, que consiste en instalar un token en el servidor de la entidad. «Por supuesto, el usuario debe disponer de la ciberautorización de su organización para hacerlo, pero el token no es nada intrusivo; se trata sencillamente de una operación de copiar y pegar». A continuación, ofrece una instantánea de la vulnerabilidad de la red emitiendo un listado de sus diez puntos débiles principales», observó. La próxima herramienta del proyecto, con el nombre de Cyber-WISER Plus, que se publicará a finales de 2016 o principios de 2017, buscará amenazas y troyanos. Para los operadores de más tamaño, el equipo de investigación también desarrollará una versión de la plataforma en forma de «plataforma de riesgos como servicio» (RPaaS). Estará destinada a infraestructuras críticas y cibersistemas muy complejos que necesitan una monitorización de los controles especiales en sus sistemas de TIC con el fin de evitar el sabotaje de estos controles. Los procesos de verificación se basarán en la función y los componentes de infraestructura de clave pública (PKI) y comprobarán si la firma de los mensajes de la red corresponde al certificado de la organización que contiene cada mensaje. Según Zazzeri, el enfoque del proyecto para abordar y mitigar amenazas contra la ciberseguridad y las infraestructuras críticas de información «también ayudará a quienes toman decisiones en organizaciones públicas y privadas a evaluar mejor los ciberriesgos».

Palabras clave

WISER, ciberseguridad, amenaza, troyano, pymes, red privada, exposición al riesgo, vulnerabilidad, herramienta de gestión de riesgos