Ciberseguridad: ¿Qué? ¿Esto es para mí empresa?

¿Cuáles son los riesgos que enfrentan las PYMEs? Como enfrentar las amenazas.

Los otros días leía que en una nueva oleada de ataques de piratas informáticos y mediante mecanismos de secuestro de datos (Ransomware), obligaron a la compañía petrolera Colonial Pipeline de USA a pagar un rescate de US$ 5 millones para restablecer la operación del oleoducto, luego de que cifraran los datos en la infraestructura de TI y otra noticia más comentaba que un exempleado de Apple fue detenido en el aeropuerto de camino a China con documentación técnica confidencial sobre prototipos de vehículos autónomos.

Cualquiera podría pensar que este tipo de ataques están dirigidos solo a grandes empresas, ya que a un productor pequeño no hay mucho para quitarle, a quien le podría interesar, quizás a nadie, ¿verdad?
Sin embargo, no es así. Estadísticamente, la mitad de los ataques están dirigidos a pequeñas empresas, ya que atacarlos es mucho más fácil, dado que:
1)En las pequeñas empresas, los delincuentes rara vez encuentran resistencia. Por lo general, una PYME tendrá instalado un programa antivirus y algunas otras contarán con un cortafuegos, pero ya sabemos que esto no es suficiente.
2)Las pequeñas y algunas medianas empresas no todas cuentan con Departamento de TI e incluso el profesional de TI a menudo trabaja a tiempo parcial y no es parte de la compañía.
3)Por lo tanto, la cultura de protección de datos en una empresa suele ser baja. La información se puede almacenar y reenviar en forma abierta y las medidas de protección, además de ser insuficientes, no se actualizan periódicamente, lo que hace que los atacantes exploten vulnerabilidades no parcheadas.
4)Los empleados a menudo no conocen los principios básicos sobre la seguridad y el tratamiento de la información, por lo que los hackers ni siquiera tienen que molestarse mucho. Es suficiente para ellos componer un correo electrónico de phishing medianamente creíble con un enlace o un archivo adjunto malicioso, que cuando el receptor hace clic despierta a un virus espía o se convierte en una nueva víctima de secuestro virtual.

Al mismo tiempo, la alfabetización digital de los dueños de la PYME o de sus directores ejecutivos también puede ser baja – y este es lo más peligroso, ya que tienen acceso a todos los activos críticos.
Es importante que los propietarios y ejecutivos de las compañías comprendan cuáles son los riesgos y amenazas típicas para ellos y su empresa.

Encuentro que los ataques más frecuentes y peligrosos para las pequeñas y medianas empresas son:
1)Ataque por secuestradores de datos

La mayoría de las empresas se enfrentan a los ransomware, este tipo de virus se trata de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y el atacante pide un rescate a cambio de quitar esta restricción. Se ha convertido en un verdadero flagelo para las empresas. La situación sigue emporando ya que los estafadores están mejorando sus métodos de ataques.
Hace unos años, los hackers usaban virus imperfectos, la clave de cifrado podría permanecer dentro del código. Por lo tanto, había una posibilidad de recuperar con éxito los datos cifrados. Pero ahora hay una nueva generación de malware en uso, y si su empresa no cuenta herramientas de Backup o al menos con una copia de seguridad de los datos más críticos guardada, es probable que tenga que despedirse de sus datos para siempre o los encuentre en la internet profunda.

Por lo tanto, en las situaciones más críticas, las empresas deciden pagar a los estafadores, sin embargo, no hay garantía de que los datos se devuelvan con integridad. Además, los estafadores están eligiendo cada vez más la estrategia de la doble extorsión. Primero pueden fusionar sus datos, y solo luego cifrarlos. Esto puede ser una excusa para chantajear a la compañía. Los delincuentes más “creativos” inician sitios de escaparate, donde publican datos robados de compañías que se negaron a pagar el rescate. Incluso intentan vender los datos robados a los competidores.

El ransomware puede ser “entregado” a través de correos de phishing, pendrives encontrados, un acceso remoto que un atacante puede obtener debido a una contraseña débil en los servicios corporativos, etc.

2)Acceso no autorizado a los activos de la empresa
No es necesario explicar lo que sucederá si terceros tuvieran acceso a sus cuentas, al ERP, o simplemente al correo. Los atacantes pueden hacer esto utilizando los mismos métodos descritos anteriormente. Y no solo eso, ellos también pueden obtener las credenciales a través de un atacante interno, o usar la cuenta del empleado despedido. El problema es que un espía en la red puede pasar desapercibido durante muchos meses. Durante este tiempo, el atacante puede llevar adelante su accionar delictivo en red o puede transferir el acceso a otra persona y compartir el botín.

3)Ataque de denegación de servicio (Ataques DDoS)
Estos ataques hacen que el servidor de la empresa no pueda atender la cantidad enorme de solicitudes hasta que comienza a “congelarse” o directamente deja de funcionar por completo. El principal peligro para las empresas es que los ataques DDoS se han convertido en un mecanismo popular de sabotaje personalizado. Por ejemplo, si su empresa organiza una venta de Black Friday, una tienda en línea rival podría ordenar un ataque DDoS dirigido a su servidor, lo que haría imposible comprar ese día y le causaría daños financieros directos. Desafortunadamente, ordenar un ataque de este tipo es fácil: ese “servicio” se encuentran fácilmente en la Darknet.

4)Fugas de datos y espionaje industrial
Los datos de la compañía pueden ser interesantes para los atacantes por sí mismos para abastecer las demandas de bases de datos en la Darknet, especialmente si su empresa almacena los datos personales y financieros de los clientes (lo que es muy probable). A menudo, las bases de datos están abiertas y se pueden recopilar con un programa (parser). Este es un problema muy común.

Los hackers pueden “cazar” los datos de una empresa específica deliberadamente.
Para obtener la información necesaria, los delincuentes pueden sobornar o chantajear a ciertas personas en la empresa. Otra opción es conseguir los documentos e información utilizando el phishing mencionado anteriormente, promocionando un sorteo o utilizando otras técnicas de ingeniería social. Los ataques que se realizan con la ayuda de un empleado de la compañía son el tipo de amenaza más peligroso y difícil de solucionar, estos ataques son las más peligrosos para las pequeñas y medianas empresas.

5)Esquemas fraudulentos de empleados
Es difícil encontrar estadísticas sobre la escala real de la violaciones a la seguridad de la información y su impacto económico. Las empresas tal vez por vergüenza, prefieren no revelar el mal comportamiento de un empleado y menos aún quieran acudir a la justicia. Pero por lo general, es posible que las organizaciones simplemente no tengan conocimiento del problema.

Como trabajamos con las PYMEs como proveedores de herramientas de seguridad interna, hemos recopilado algunas observaciones sobre la prevalencia de violaciones. Podemos afirmar que, en cada una de las organizaciones donde trabajamos, hay intentos de filtrar datos sobre clientes, tecnologías y otros documentos que contienen secretos comerciales. El 81% de las empresas se enfrentan a empleados deshonestos que intentan realizar sobornos y otros esquemas fraudulentos. En el 76% de las empresas, encuentran que sus empleados trabajan a media máquina o realizan negocios paralelos en el lugar de trabajo.

El teletrabajo afecta negativamente a esta situación, ya que el personal es más difícil de controlar, y en PYMEs a menudo no hay reglamentos elaborados y raramente se tienen un software que controle el desempeño y productividad de los empleados.

¿Qué hacer?
Una lista tan impresionante de amenazas de seguridad no necesariamente representa una sentencia a muerte para la pequeña empresa. En general, los vectores de protección suficiente son:

1)Infraestructura de TI segura:
-Verifique cómo y dónde se almacenan los datos, cuáles son los empleados que pueden acceder a ellos. El acceso a la información confidencial debe estar delimitado y solo debe otorgarse acceso a los empleados que lo necesitan por su actividad.
-Para transferir datos, se deben usar canales cifrados (https, ftps, servicios VPN).
-Las actualizaciones de software deben ser obligatorias – las aplicaciones anticuadas pueden contener vulnerabilidades críticas que los atacantes siempre conocen.
-Configure una copia de seguridad de sus datos.

2)Eliminar el riesgo del factor humano:
-Capacite a los empleados sobre los conceptos básicos de seguridad de la información. Lo mínimo de un “programa educativo” es enseñar las técnicas de ingeniería social y el phishing en particular, también hay que hablar de comportamiento seguro en el lugar de trabajo (bloqueo de computadoras, uso de contraseñas seguras, prohibición de conectar pendrives no verificados, etc.);
-Introduzca reglas claras y firme acuerdos de confidencialidad con su gente y con terceros. No haga de esto una formalidad vacía, logre que su equipo se dé cuenta de que en la empresa se toma en serio el tema de la protección de datos;
-Implemente un software para monitorear la actividad de los empleados. La opción básica es un control horario con funciones avanzadas. Idealmente, contar con un sistema DLP con capacidad para monitorear los canales de comunicación, el envío de información y el movimiento de los datos no autorizados por la empresa.

Al elegir productos, averigüe si se integran bien entre sí; esto en el futuro también ahorrará energía y dinero. Muchos productos están disponibles hoy en día por suscripción, puede ser soluciones on-premise o provistas por un MSSP que ofrece en outsourcing la gestión de la seguridad. En este caso, podrá optimizar los recursos y prescindir de personal especializado. Esta es una opción interesante, ya que hay déficit de personal especializado, incluso para las grandes corporaciones que también tienen dificultades para contratar especialistas en seguridad de la información.

Ha llegado el momento en que las empresas dejen de considerar la seguridad de la información como un gasto. La pregunta es cómo hacerlo de manera óptima. La práctica demuestra que siempre gana quien haya pensado en el problema de antemano y esa persona es alguien que sentó las bases para un trabajo seguro en la cultura misma de los procesos de negocios.

El autor es Ricardo Martínez, Gerente de Negocios y Alianzas para LATAM, jefe de la representación de SearchInform en América Latina.