Cuando oyes la palabra ciberseguridad, ¿qué te viene a la cabeza? Probablemente, ese antiguo meme de un adolescente con sudadera y capucha, encorvado delante de una pantalla de ordenador. Es posible que haya ciberdelincuentes que realmente lleven una sudadera con capucha, pero hoy en día, la ciberdelincuencia es un negocio enorme que se espera que esté valorado en 6 billones de dólares estadounidenses en el año 2021 y es más rentable que las ganancias combinadas del tráfico de drogas.
La ciberdelincuencia es un cajón de sastre. Describe amenazas y ataques en cualquier cosa digital, como datos y recursos informáticos. El impacto de dichos ataques es generalizado, e incluye pérdidas económicas así como tiempos fuera de línea y daño reputacionales. Es un crimen que continúa funcionando. La red de ciberdelincuentes es amplia y alcanza la más siniestra de las redes, la dark web, donde se compra y vende la información robada para cometer más crímenes. Para hacerte una idea de cómo la ciberdelincuencia afecta a los negocios, sea cual sea su tamaño y sector, veamos algunos hechos y cifras:
El impacto de la ciberdelincuencia
El instituto Ponemon, junto con IBM, publica una encuesta anual de los costes que produce la ciberdelincuencia en los negocios. El estudio de este año muestra que esos costes asociados con el cibercrimen han aumentado un 6,4 por ciento, de media, 3,86 millones de dólares estadounidenses.
El coste de la ciberdelincuencia sobre las pequeñas empresas
En otro estudio de Ponemon, el cual concretamente estudiaba los costes de la ciberdelincuencia en empresas pequeñas (100 – 1000 empleados), encontraron que el coste medio para una organización pequeña es de más de 2,2 millones de dólares cuando se les suman las interrupciones de operaciones y las pérdidas de activos informáticos.
Phishing y ransomware
La caja de herramientas de los ciberdelincuentes está repleta de chuches. Abundan los engaños y las técnicas, y muchas de ellas golpean en la misma naturaleza del ser humano. El phishing es el arma elegida por muchos ciberdelincuentes. Usan correos electrónicos fraudulentos y textos para infectar los ordenadores de empresas y robar credenciales de inicios de sesión. En 2017, el 76 por ciento de empresas experimentaron un ataque de phishing. El ransomware, que suele introducirse en una empresa a través de un adjunto de un correo electrónico, es prolífico. En 2016, se atacó a una empresa a través de ransomware cada 40 segundos
Cepas de malware
El ransomware es un tipo de malware. El número total de cepas de malware ha ido incrementándose, año tras año, y durante el primer trimestre de 2017 se descubrió una nueva cepa de malware cada 4,2 segundos. Esto demuestra que es muy difícil para las empresas protegerse contra ello.
Impactos específicos de la ciberdelincuencia sobre empresas pequeñas
Las empresas pequeñas son, para los hackers, como frutas maduras colgando en las partes más expuestas de los árboles, ya que es menos probable que tengan defensas de seguridad. El estudio Ponemon sobre los ciberataques contra pequeñas empresas descubrió que el 48 por ciento de los que respondieron experimentaron un ataque de phishing, el 43 por ciento un ataque basado en la web y el 36 % afirmó que su empresa se infectó con algún malware. La encuesta del gobierno del Reino Unido encontró una tasa incluso más alta de incidentes de ciberseguridad entre las pymes, con un 50 % de las pequeñas empresas experimentando ataques.
Ciberseguridad: Golpeando a las pequeñas empresas donde más duele
Las empresas pequeñas son la víctima perfecta para ciertos tipos de ciberdelincuencia. Vamos a ver algunos de los métodos favoritos de los ciberdelincuentes:
¡Manos arriba! Ransomware y su impacto en las pequeñas empresas
El ransomware es el tipo de ciberamenaza más temida por todo el mundo. Si te infectas por un ransomware, todos tus archivos almacenados localmente, e incluso en carpetas de la nube, se cifrarán por el ransomware. Una vez cifrado verás un mensaje de advertencia que aparecerá en la pantalla de tu ordenador diciéndote que si pagas una cantidad de criptomonedas en X días se te dará una clave especial para descifrar los archivos. Por supuesto, estamos tratando con delincuentes, así que es posible que incluso pagando no obtengas la clave.
Verse infectado por ransomware es el equivalente digital a la explosión de una bomba. No podrás trabajar en ninguno de tus archivos: hojas de cálculo, documentos Word, diapositivas de PowerPoint, etc., todo estará bloqueado. Según una investigación, las empresas pequeñas pierden, de media, 100.000 dólares por incidentes con ransomware. El 22 por ciento de las empresas pequeñas atacadas por ransomware fueron, inmediatamente, a la quiebra.
Sonríe, te han incriminado: El azote del Business Email Compromise (BEC)
El Business Email Compromise (BEC) es una estafa que se aprovecha del comportamiento humano. El objetivo es engañar a un empleado, normalmente de alto rango, para transferir largas sumas de dinero a la cuenta bancaria del ciberdelincuente. A veces, la estafa usa correos electrónicos de phishing que usan para robar las credenciales de inicio de sesión de cuentas de correo electrónico y calendarios. Esta parte de la estafa es para conseguir información sobre el objetivo. Usan esta información para involucrar a la persona objetivo en una relación con el estafador. El objetivo es crear confianza para conseguir que la persona elegida transfiera el dinero.
A veces incluye la creación de correos electrónicos fraudulentos que se parecen mucho a los correos electrónicos que provienen de alguien de alto rango. Los correos dan una sensación de urgencia para transferir el dinero. Por ejemplo «esta cantidad DEBE ser transferida antes de las 12 del mediodía o la empresa perderá un contrato muy lucrativo». El correo electrónico parece real, ya que está basado en la información reunida sobre el objetivo. Así, por ejemplo, [email protected] podría convertirse en [email protected] Mucha gente no se dan cuenta de la diferencia en la dirección de correo electrónico y creen que era una solicitud válida de un superior. El FBI buscó los costes del BEC a nivel mundial y descubrió que entre octubre de 2013 y diciembre de 2016, 5.300 millones de dólares se perdieron debido a estafas BEC.
Guía de pesca para engañar a pequeños negocios
El phishing es la herramienta más popular de los ciberdelincuentes gracias a que funciona muy bien. Esta táctica usa nuestra respuesta básica humana para así infectar ordenadores con malware, como ransomware, robar credenciales de cuentas importantes y también robar datos sensibles y personales. El phishing tiene muchas formas, como los correos fraudulentos (incluyendo el phishing de objetivo definido que apunta a personas concretas de una empresa), Vishing, que usa una llamada telefónica para robar información y los SMShing, basado en mensajes SMS fraudulentos. El phishing es también la forma preferida para distribuir ransomware. El estudio Ponemon encontró que el 76 por ciento del ransomware se distribuyó a través de correos electrónicos de phishing.
5 formas de ayudar a evitar un incidente de ciberseguridad
Puede parecer que gestionar los riesgos de la ciberseguridad sea una batalla ardua. Sin embargo, hay varios ejercicios sencillos que puedes hacer para ayudar a reducir las posibilidades de que tu pequeña empresa sea golpeada por un incidente de ciberseguridad o, por lo menos, mitigar el impacto.
Conocimientos de seguridad
Conocer los riesgos que existen es media batalla. Si conoces las tácticas usadas por los ciberdelincuentes, como cómo detectar las señales que deja translucir un correo electrónico de phishing, puedes evitar una infección de malware o el robo de credenciales. Una solución podría ser organizar un seminario sobre ciberdelincuencia para tus empleados.
Opciones de autenticación
Tal vez hayas oído hablar de la autenticación de dos fases (2FA), que consiste en que después de introducir una contraseña, esa persona recibe un código en un móvil (o usa un sistema biométrico, como una huella digital). Solo si introduces esto en un campo puedes iniciar sesión en una cuenta. Aunque el 2FA no es perfecto, reduce significativamente el riesgo de sufrir phishing. Incluso si un hacker roba tu contraseña, continuará necesitando el código o los datos biométricos para iniciar sesión. Si tienes la opción de usar el 2FA para iniciar sesión en cuentas, úsalo.
Copias de seguridad seguras y a salvo
El ransomware elimina con efectividad la posibilidad de usar tus archivos y documentos. Puede ayudar a minimizar el impacto de una infección de ransomware el tener copias de seguridad seguras. Sin embargo, el ransomware también puede afectar a los sistemas de copia de seguridad, así que necesitas tener el tipo correcto de sistema de backup. Asegúrate de que no conectas tu copia de seguridad a tu red. Una encuesta de SentinelOne descubrió que esas empresas que tenían copias de seguridad seguras podían recuperar sus operaciones normales de forma mucho más rápida.
Usar las herramientas adecuadas
El cifrado puede ser la herramienta del ransomware, pero también sirve para el bien. Puedes cifrar datos en descanso y en tránsito. Cuando visitas una web que tiene HTTPS en su URL, generalmente significa que los datos, como tus datos personales o contraseñas, etc., se transmiten de forma segura. Usar el cifrado y los certificados digitales hacen de Internet un poco más segura. Hay excepciones a esto, por supuesto. Algunas webs fraudulentas engañan a los usuarios haciendo pensar que la web es segura usando HTTPS. El cifrado es también importante para almacenar información sensible y datos personales en bases de datos y en discos duros como los de un portátil.
Seguridad móvil
Los ciberdelincuentes les encanta atacar smartphones y hay muchas vulnerabilidades de seguridad en ellos. Una nueva y popular táctica es instalar ransomware en móviles para bloquear el teléfono hasta que pagues. También son predominantes los troyanos bancarios, que muestran una pantalla de inicio de sesión en la aplicación del banco falsa muy convincente y roban las credenciales de inicio de sesión en tiempo real. Un informe de Verizon encontró que el 85 por ciento de las organizaciones notaron que los móviles pusieron en riesgo sus negocios.
Estar informado de las ciberamenazas
La ciberdelincuencia es un problema en crecimiento, pero no es infranqueable. No podemos, sin embargo, esperar que no nos afecte porque seamos una pequeña empresa. Los ciberdelincuentes se meten en esto por el dinero y la alteración, y buscan objetivos fáciles. Si estás informado sobre de qué va la ciberseguridad y los tipos de riesgos que se deben resolver, las pequeñas empresas pueden protegerse a sí mismas.
-
-
-
https://vpnoverview.com/es/seguridad-internet/empresas/guia-principiantes-ciberseguridad-negocios/
