Entrevistamos a Raúl Gomez y Francisco Morato, miembros del Equipo de Ciberseguridad de la compañía
La Compañía lleva trabajando en ciberseguridad más de 20 años.
Como importante proveedor de paquetería en España, Correos se ha convertido en objetivo de los ciberdelincuentes para desarrollar sus campañas de phising. Hoy vamos al lado opuesto, queremos conocer como se trabaja la ciberseguridad en la compañía. Para ello entrevistamos a Raúl Gomez y Francisco Morato, miembros del Equipo de Ciberseguridad de la compañía, quienes nos explican el funcionamiento y las herramientas que desde la compañía ponen a disposición de los clentes en materia de seguridad.
Correos tiene un equipo dedicado a las tareas de seguridad de la información y la ciberseguridad es uno de los aspectos ¿Cómo funciona la ciberseguridad en Correos y cómo se gestiona? ¿Cuántos profesionales trabajan en Correos en el ámbito de la ciberseguridad?
Raúl Gómez (RG) y Francisco Morato (FM): En Correos llevamos trabajando la Ciberseguridad desde hace más de 20 años, mucho antes de la tendencia al alza del sector que se ha producido en los últimos años. Esto nos permite afrontar las amenazas contando ya con un recorrido y experiencia que nos ayudan a tener implantados diferentes procesos en la compañía para dar respuesta a las amenazas actuales. Para ello, contamos con un equipo multidisciplinar con servicios técnicos y organizativos segmentados por responsabilidad, y con el apoyo tanto de las entidades públicas como de proveedores referentes punteros del sector.
En este contexto, desde la Función de Seguridad de la Información de Correos establecemos tres ejes estratégicos: ciber resiliencia, cultura de ciberseguridad y visibilidad. Cada actividad la enmarcamos en uno de estos tres ejes siempre, con el objetivo final de reducir al mínimo los incidentes de seguridad y teniendo como elemento clave la protección de la información.
CSN: – El phishing es un tipo de ataque que cada vez sucede en mayor medida y Correos es una de las compañías más suplantadas mediante este método, ¿cómo se enfrenta la empresa al desafío del phishing?
RG y FM: Desde Correos trabajamos en implantar controles técnicos y organizativos que minimicen el impacto a los ciudadanos de este tipo de fraudes. Esto significa que, además de utilizar tecnología avanzada, infraestructura y herramientas de seguridad, trabajamos también la parte humana intentando potenciar la cultura de ciberseguridad en todos los ámbitos.
CSN: ¿Por qué creen que Correos es una de las compañías más usadas para la suplantación por los ciberdelincuentes? ¿Qué impacto negativo tiene el phishing para Correos?
RG y FM: Principalmente, porque Correos es una empresa pública, de gran alcance, con muchos años de antigüedad y que es reconocida y genera una imagen de confianza. Pero, para nosotros, hay una clave en todo esto: si Correos se dirige a ti, no te sorprende.
¿Qué impacto negativo tiene el phishing para Correos?
RG y FM: Aquí debemos hacer pedagogía para explicar que ni Correos ni ninguna empresa puede evitar que se envíen emails masivos suplantando su identidad. Lo que sí se puede y se debe hacer es prevenir y combatir estas situaciones, ejecutando las medidas técnicas y organizativas adecuadas para que el impacto sea el menor. Pero lo fundamental es aumentar el nivel de cultura que nos permita detectar estos ataques y poner herramientas a disposición del usuario que le faciliten esa detección y eviten que sufra fraudes.
CSN: Además del phishing que acabamos de mencionar, ¿qué otras ciberamenazas afectan también a la compañía?
RG y FM: Estamos expuestos a las mismas ciberamenazas que cualquier otra gran empresa. Controlar estas amenazas y aumentar la cultura de la ciberseguridad supone todo un reto en el escenario en el que nos encontramos, donde se necesita máxima flexibilidad y el acceso a los sistemas de información desde cualquier sitio y a cualquier hora.
Cualquier actividad tiene su riesgo asociado, pero nuestro ámbito de protección es amplio. Desde la Función de Seguridad de la Información trabajamos constantemente en minimizarlos todos.
CSN: – ¿Qué herramientas pone Correos a disposición de los usuarios para minimizar el impacto de todas estas ciberamenazas?
RG y FM: Como hemos comentado, consideramos muy importante elevar el nivel de concienciación de la sociedad y de los clientes, generar hábitos y potenciar la cultura de ciberseguridad. En este sentido, llevamos tiempo trabajando en nuestros canales digitales (web, redes sociales, blog, etc.) distintos materiales y recursos que permitan conocer cómo identificar las amenazas. Además, en concreto, hemos lanzado una herramienta de detección de phishing: el verificador de email, con el que nuestros clientes van a poder identificar si un email que viene de Correos es realmente nuestro o se trata de un fraude.
CSN: – ¿En qué consiste el verificador de email?
RG y FM: La idea del verificador de email surge porque en Correos consideramos que, ante el aumento del phishing, necesitamos poner soluciones concretas encima de la mesa que permitan minimizar este tipo de fraudes. Inicialmente, consideramos que, si todo el mundo supiera identificar un phishing y tuviese herramientas para ello, este no existiría. Construimos el verificador a partir de esta idea de máximos.
A raíz de esto, desarrollamos una solución en la que cada email de Correos relacionado con la paquetería (envíos, aduanas, cambios, etc.), donde se concentra casi la totalidad del fraude, se ha normalizado mediante una estructura común reconocible, que además incorpora un código único de identificación. Este código se introduce en la web junto con tu correo electrónico (https://www.correos.es/es/es/atencion-al-cliente/seguridad-de-la-informacion/verificador-de-email) y la propia herramienta muestra un mensaje, a través del cual sabremos si el mail es de Correos o, por el contrario, si puede tratarse de un phishing. De esta manera, buscamos que el cliente reconozca a simple vista el email y, por otro lado, que pueda verificarlo, si tiene dudas, con una numeración de una manera muy sencilla.
Aunque nuestro correo electrónico está securizado con una estrategia DMARC, los usuarios que no sean expertos no van a tener capacidad de analizarlo y, en muchos casos, las casuísticas de phishing desbordan esta cuestión.
Por tanto, buscamos, por un lado, que el usuario general pueda tener una herramienta muy sencilla para identificar el phishing y, por otro, que nuestros equipos de atención al cliente puedan dar respuestas concretas, rápidas y entendibles para toda la población en este tipo de consultas. Pensamos que es una solución sencilla que, además de ser pionera en el sector, puede tener repercusión y animar a otras empresas del sector a implantar soluciones que ayuden a detectar el fraude.
CSN: – Los ataques de todo tipo siguen en un crecimiento constante en este 2022 ¿Qué líneas de trabajo en lo que a seguridad de la información se refiere va a seguir Correos de cara al futuro próximo?
RG y FM: Más allá de adaptarnos al contexto y trabajar con el objetivo de incrementar nuestra ciber-resiliencia, hemos previsto acciones en tres ámbitos: la tecnología, las personas y los procesos.
En el ámbito de la tecnología, además de finalizar la implantación de tecnologías necesarias para implementar una estrategia “Zero Trust” eficaz, estamos sumidos en varios proyectos de transformación asociados a la evolución del control de acceso y la protección del Endpoint que nos permitirán incorporar IA, mejorar la detección por comportamiento, así como la automatización y la interoperabilidad entre plataformas.
En el plano de las personas vamos a seguir trabajando en iniciativas específicas que aumenten el nivel de concienciación e implicación con la Ciberseguridad de personas y equipos de la Organización para minimizar el riesgo humano.
Y, por último, a través de la mejora continua queremos seguir aumentando la madurez de los procesos de seguridad ya que esto redunda en la efectividad de los controles implantados y, por tanto, en minimizar el riesgo a sufrir incidentes.