Hackers en la obra: ciberataques contra el sector de la construcción

La construcción ha alcanzado la mayoría de edad, como demuestran el modelado, el uso de drones o la impresión en 3D de edificios y componentes. Hoy en día, las actividades del sector de la construcción tienen una gran dependencia de la tecnología: los gestores de proyectos utilizan tabletas para hacer un seguimiento de la productividad y los plazos, los drones inspeccionan las obras y envían resultados a bases de datos en la nube, y los dispositivos tecnológicos corporales alertan a los trabajadores sobre los riesgos de la obra. Las soluciones tecnológicas como la realidad virtual, la realidad aumentada, los lugares de trabajo conectados y el seguimiento avanzado ayudan a los jefes de obras a gestionar mejor los resultados y la seguridad de los proyectos, así como a predecir y mitigar los riesgos.

Sin embargo, toda esta tecnología conlleva un riesgo omnipresente: la posibilidad de una intrusión informática. Según un estudio realizado en 2018, las empresas de todos los sectores tienen una probabilidad del 27,9 % de sufrir una filtración de datos importante que afecte a más de 10.000 registros en cualquier periodo determinado de 24 meses. Aunque el número de filtraciones de datos que se han comunicado en la construcción es relativamente bajo, siempre implican un coste elevado. De hecho, el coste medio de cada registro que se ha visto comprmetido por una filtración de datos asciende a US$148. Si una empresa constructora sufre una filtración de 10.000 registros, el total se dispara.

Las dependencias tecnológicas

Al igual que ocurre en cualquier otro sector, el de la construcción es vulnerable a las amenazas cibernéticas debido a la creciente dependencia de la tecnología. A medida que aparecen más aparatos electrónicos en los lugares de trabajo y en las actividades diarias, aumenta el riesgo de que los piratas informáticos aprovechen las lagunas de seguridad.

Una amenaza que planea sobre las empresas de construcción es la posibilidad de sufrir un ataque de ransomware. El ransomware es un programa malicioso que se propaga a través de Internet y que cifra los archivos de los sistemas informáticos de una empresa. La empresa debe pagar un rescate, a menudo en bitcoines, para conseguir una clave de descifrado que le permita recuperar el acceso a sus sistemas informáticos. De hecho, la frecuencia de los ataques de ransomware va a más, en parte gracias al aumento de la valoración del bitcóin estos últimos años.

Otra amenaza cibernética preocupante que ha surgido en los últimos años es una estafa por correo electrónico que utiliza cuentas de correo reales de las empresas contra las que se dirige. Esta estafa es similar a las tradicionales de phishing, ya que los hackers envían mensajes fraudulentos para intentar engañar a los empleados y que transfieran fondos. Ahora, en lugar de utilizar cuentas de correo falsificadas, los ladrones cibernéticos se están infiltrando en los sistemas de correo electrónico y enviando solicitudes fraudulentas desde cuentas de usuario reales.

Por tanto, es más difícil detectar que esos mensajes son falsos. Mientras que un mensaje falsificado contiene una dirección de correo electrónico diferente a la habitual del usuario, los correos electrónicos pirateados son idénticos en todos los sentidos a una solicitud de un empleado o ejecutivo de la empresa. Pocos empleados cuestionarían una solicitud de transferencia monetaria procedente de una dirección de correo electrónico real del Departamento de Contabilidad de la empresa.

Las constructoras no pueden permitirse este tipo de incidentes. Dado que el éxito de los proyectos de construcción depende de cumplir con los plazos y las obligaciones contractuales, cualquier retraso en las operaciones comerciales podría dar lugar a graves pérdidas financieras, entre otras:

Daños por demora: dependiendo del lenguaje contractual, podría penalizarse a las empresas constructoras por los retrasos que experimente la finalización del proyecto. Dichos retrasos pueden suponer un coste doble para los contratistas, que se verían así obligados a pagar una vez para resarcir al cliente de los daños sufridos y otra por los costes empresariales que acarrea la demora.

Interrupción del negocio: la caída del sistema informático puede impedir a los contratistas empezar a tiempo otros proyectos programados o que los trabajadores sigan siendo productivos en un proyecto en curso.

Problemas de liquidez: los retrasos pueden entrañar costes de almacenamiento de materiales, ampliaciones de los periodos de las pólizas de seguro, salarios adicionales y contingencias y gastos de compensación de los trabajadores, la ampliación de los alquileres de las instalaciones del lugar de trabajo, y la falta del dinero que se preveía obtener del proyecto que sufre la demora.

Retrasos de los subcontratistas: los compromisos de los subcontratistas en otros lugares podrían retrasar aún más la conclusión satisfactoria del proyecto.

Coste de reparación: en función del número de archivos de clientes y proveedores que se hayan visto comprometidos y del tiempo que tarde la empresa en identificar la filtración, los costes podrían aumentar rápidamente. Además, la mayoría de las empresas rara vez detectan enseguida las filtraciones: de media, el tiempo que pasa entre la filtración y la detección es de 197 días. Además, devolver las cosas a su estado anterior requiere tiempo: un promedio de 69 días que se descubre la filtración hasta que se contiene. 

Reducción del riesgo de filtración de datos

La primera línea de defensa de las empresas constructoras contra las ciberamenazas son unos empleados bien formados. Enseñe a los empleados los métodos que intentarán utilizar los hackers para infiltrarse en los sistemas de la empresa, entre ellos, las estafas del phishing y el mirroring de correo electrónico, y anímelos a analizar cualquier mensaje que contenga enlaces sospechosos o que solicite cambios en los pagos o en las cuentas bancarias. Estas son las medidas de seguridad que pueden emplear las empresas de construcción:

Contar con un proceso de verificación de cambios en los pagos: implante un procedimiento para cambiar la información de pago, por ejemplo, cuántas personas deben aprobarlo verbalmente, quiénes son esas personas y los pasos a seguir cuando se reciban solicitudes de ese tipo.

Forme a los empleados para que conozcan los métodos de ingeniería social: los empleados deben conocer el protocolo de actuación ante los enlaces que llegan en los correos electrónicos y las solicitudes de información confidencial sobre empleados, proveedores o archivos de la empresa. La mayoría de las filtraciones se producen cuando un trabajador proporciona involuntariamente acceso a ladrones cibernéticos.

Exija el cambio periódico de las contraseñas: todos los usuarios deben cambiar las contraseñas de forma periódica y configurar contraseñas complicadas que contengan una combinación de números, letras y caracteres. Se debe advertir a los empleados de que no guarden contraseñas escritas o almacenadas en dispositivos ni en espacios de trabajo. Considere también la posibilidad de utilizar una autenticación de dos factores para cualquiera que inicie sesión en los sistemas de la empresa.

Actualice el software antivirus: instale actualizaciones periódicas de los programas antivirus más recientes y considere la posibilidad de cambiar de software si está anticuado o ya no es compatible.

Revise las pólizas de seguro: entienda bien las coberturas y las exclusiones. ¿Sus pólizas actuales cubren la responsabilidad cibernética? En caso afirmativo, ¿hasta qué punto? ¿Dispone de una póliza que proporcione una respuesta individual en caso de filtración de datos y una cobertura de gestión de crisis? ¿Qué otros productos pueden ser necesarios para mitigar mejor las pérdidas cibernéticas?

Revise los riesgos: el sector de la construcción ha sido más lento que otros a la hora de adoptar herramientas digitales, por lo que es posible que las empresas constructoras piensen que sus vulnerabilidades cibernéticas no sean tan grandes como las existentes en otros ámbitos empresariales. Sin embargo, los ladrones cibernéticos tratan de atacar a cualquier empresa cuyos sistemas ofrezcan los puntos de entrada más fáciles, y el sector de la construcción es un objetivo ideal precisamente por haberse digitalizado recientemente.

Puesto que los hackers continúan buscando vulnerabilidades en los sistemas de las empresas constructoras, los empleadores deben reaccionar evaluando sus brechas de seguridad y creando procesos que ayuden a todos los empleados a identificar y frustrar los ciberataques. Así, tendrán la posibilidad de evitar los costes y los quebraderos de cabeza que provocan las filtraciones de datos para poder concentrar su atención en finalizar los proyectos a tiempo y dentro del presupuesto.