La importancia de la educación en ciberseguridad en niños y adolescentes

Año tras año, la tecnología está cada vez más presente en la vida cotidiana de las personas, incluyendo niños y adolescentes. El creciente uso de dispositivos electrónicos, acceso a internet y redes sociales supone una disrupción con respecto a anteriores métodos de aprendizaje y entretenimiento. A pesar de que estas tecnologías brindan un mundo nuevo de oportunidades, tanto a los más jóvenes como a los que no, también los expone a grandes riesgos. 

En la era digital en la que vivimos, es imprescindible tomar conciencia de la importancia que tiene la ciberseguridad para garantizar la privacidad y el bienestar de todos los usuarios que hacen uso de las tecnologías, aprendiendo a usarlas de forma ética y responsable.

En este artículo hablaremos sobre los riesgos más significativos a los que se exponen niños y adolescentes cuando hacen uso de las nuevas tecnologías, así como las buenas prácticas para evitar estos riesgos.

Riesgos más significativos

Las nuevas tecnologías, y en particular, las redes sociales, suponen un gran atractivo para los jóvenes por la capacidad de autoexpresión, conexión social y el gran acceso a información que ofrecen aplicaciones como Instagram, TikTok o Twitter. Si bien estas aplicaciones nacen con fines positivos, el uso que cada usuario da a las redes sociales deriva en la existencia de multitud de riesgos, especialmente para los jóvenes. Entre los riesgos más conocidos, nos encontramos:

• Ciberbullying: Es una forma de acoso psicológico producida en línea, utilizando medios digitales como redes sociales, mensajes de texto, correos electrónicos. etc. El ciberbullying puede manifestarse en multitud de formas, como insultos o humillaciones, amenazas, suplantaciones de identidad o la difusión de rumores o información o contenido privado.

• Grooming: Se entiende por este término a la acción por parte de un adulto de establecer contacto con un menor a través de internet, generalmente con la intención de llegar a la actividad sexual. A menudo, estos usuarios ocultan su verdadera identidad o edad, llegando a adoptar los patrones de actuación de un usuario con la edad de la víctima.

• Sexting: Esta práctica, mayormente realizada entre jóvenes, hace referencia al envío de contenido sexual o erótico a través de plataformas tecnológicas. El riesgo de esta práctica reside en la pérdida total del control sobre el contenido que se comparte, exponiéndose los usuarios a que dicho contenido acabe en lugares indeseados, ya sea por difusión no consentida, pérdida/robo de los dispositivos 

• Adicción: A menudo, crecer inmersos en los dispositivos digitales puede derivar en el uso desmesurado de los mismos y en el desarrollo de una adicción a las tecnologías. Bajo estas circunstancias, los adolescentes van poco a poco perdiendo la capacidad de gestionar su tiempo con los dispositivos tecnológicos, llegando a producirles malestar cuando no pueden hacer uso de los mismos. El desarrollo de los niños y adolescentes bajo el uso excesivo de dispositivos puede provocar aislamiento social o dificultades para establecer relaciones sociales, retrasos en el aprendizaje, problemas en el desarrollo de la conducta, etc.

• Contenido inadecuado: El contenido al que los adolescentes y niños pueden llegar a acceder cuando no se establece un control adecuado pueden influir gravemente en su desarrollo. Los menores no tienen la capacidad de interpretar adecuadamente la información expuesta en internet, por lo que pueden asumir (erróneamente) que ciertos contenidos son positivos y desarrollar actitudes o conductas en base a lo observado. 

Actuaciones para fomentar la seguridad y responsabilidad en línea

La mayoría de las medidas que se pueden aplicar para que la interacción de los niños y adolescentes con las nuevas tecnologías e internet se realice de forma segura y responsable tienen que ver con la forma en la que sus responsables comuniquen y eduquen a los menores, no tanto en conocimientos informáticos.

Comunicación y educación.

• Resulta necesario fomentar un ambiente familiar en el que poder expresar de manera abierta los riesgos a los que un usuario se expone en Internet y las redes sociales, así como de la importancia de la privacidad en línea, como identificar y evitar estafas y cómo comportarse en redes sociales. 

• Reforzar la empatía y el respeto, ayudándoles a comprender el impacto de las palabras en línea y de la repercusión que pueden tener sus acciones en la vida de otras personas, es un reto que requiere una combinación de paciencia, enseñanza constante y modelado de comportamiento. Educar sobre la empatía digital implica mostrarles cómo las interacciones en línea afectan los sentimientos, la autoestima y la percepción de otros. Además, implica destacar que cada palabra escrita tiene un poder real, pudiendo generar alegría, tristeza, confianza o dolor en quienes las reciben.

• Al igual que los niños y adolescentes imitan comportamientos que observan en redes sociales, también llegan a imitar el comportamiento de los adultos que los rodean. Por ello, se recomienda siempre que los padres/cuidadores del menor muestren comportamientos responsables en línea. Además, durante las etapas iniciales, es recomendable que los niños hagan uso de los dispositivos bajo la supervisión de un adulto, para asegurarse de que entienden cómo navegar de forma segura.

Control parental y herramientas de seguridad. 

La comunicación y la educación de los menores puede verse acompañada de medidas para supervisar y regular del uso de los dispositivos, para evitar riesgos como la adicción y el acceso a contenido inadecuado. 

En función de la edad del menor y del contenido nocivo al que pueda estar expuesto, es recomendable restringir el acceso a los sitios web o contenido inapropiado que se considere. Esta serie de restricciones deben de ir acompañadas de una explicación del “por qué” para que comprendan cual es el riesgo asociado.

El establecimiento de horarios y límites de uso consensuados con el menor permite reforzar la confianza con los mismos así como promover el equilibrio entre la vida con dispositivos electrónicos y las actividades diarias necesarias como el tiempo de descanso, la actividad física o la comunicación offline con otras personas.

En resumen, la convergencia de la educación, la comunicación abierta, la supervisión y el uso de herramientas de control parental se convierte en el enfoque integral para fomentar la seguridad y la responsabilidad en línea de los jóvenes. La colaboración entre padres, educadores y la sociedad en general es clave para garantizar un entorno en línea que sea seguro y beneficioso para el desarrollo de los niños y adolescentes en la era digital.

Alba Vara, Analista de Ciberseguridad en Zerolynx.

Gestión de la Ciberseguridad vs Ciberseguridad Gestionada

Dos términos o conceptos que, aparentemente parecen ser y significar lo mismo, pero que cuentan con matizaciones que albergan sus sutiles diferencias, dependiendo del punto de vista y del modelo de gestión por la empresa haya apostado.

La gestión de la ciberseguridad consiste en un modelo de protección determinado por la estrategia integral de una organización, con el fin de proteger todos sus sistemas, infraestructura, datos y activos de información contra riesgos y amenazas (contra ciberriesgos y ciberamenazas).

Esto implica un proceso completo y reiterativo de revisión, recogida de necesidades, determinación de alcance, definición, planificación, implementación, test, supervisión y mejora continua de políticas, procedimientos, herramientas, servicios, soluciones y tecnologías de ciberseguridad.

La seguridad gestionada, efectivamente, parece ser lo mismo, entendida como un modelo de manejo de la ciberseguridad, centrado en ofrecer también protección integral a los sistemas y datos de la organización.

Entonces, ¿son lo mismo, o solo lo parece? A priori, sí, son lo mismo, en cuanto a que comparten los mismos objetivos. Sin embargo, cuando hablamos de “seguridad gestionada” como tal, entendemos algo más que no forma parte de la gestión de la seguridad: la subcontratación de algunas, o todas, las tareas de ciberseguridad, a proveedores externos expertos (en general en ciberseguridad y/o en particular especializados en determinados aspectos de ella).

Es decir, el matiz diferencial radica en que cuando hablamos de ciberseguridad gestionada hablamos de que la organización no se encarga de su propia ciberseguridad, sino que lo hace un tercero, mientras que, cuando hablamos de la gestión de la ciberseguridad, en la inmensa mayoría de los casos, la organización es la que se encarga de su propia ciberseguridad, parcialmente o en su totalidad y con apoyo parcial, o no, de terceros.

Quizá esto se pueda entender mejor poniéndonos en la situación en la que preguntamos a una empresa cosas como: “Y, vosotros, ¿Qué modelo de gestión de la ciberseguridad seguís?”, o “¿Quién se encarga de la gestión de vuestra ciberseguridad?”. Quizá esa sea la clave diferencial, el Modelo de Gestión de la Ciberseguridad que se lleva a cabo, interno (Departamento de IT y especialistas en la materia que son plantilla de la empresa), o externo (contratación de colaboradores, subcontratación, outsourcing).

La gestión de la ciberseguridad por parte de la organización pone en sus manos el control directo sobre las políticas y procesos de ciberseguridad, adaptándolos a sus necesidades específicas, aunque suponga un mayor esfuerzo y coste en términos de recursos internos especializados y formación continua.

La ciberseguridad gestionada delega esa responsabilidad y control en la experiencia especializada de proveedores externos, reduciendo la carga de trabajo del equipo interno y siendo más rentable, aunque genere dependencia y limite la capacidad de personalización. Los proveedores de servicios de ciberseguridad gestionada ofrecen además monitorización en tiempo real, detección de amenazas, respuesta a incidentes y asesoramiento experto, entre otros "pluses” adicionales.

Por su puesto es perfectamente viable (e incluso apropiado y sano en muchas ocasiones si es viable) la convivencia de ambos modelos en un Modelo Mixto o Modelo Híbrido, donde la organización decide vincular determinados aspectos de su ciberseguridad a un tercero (o varios), mientras otros se tratan internamente por las razones que sea.

¿Cuál de ellas es mejor? ¿Cuál de los tres modelos de gestión es el más apropiado, eficiente y rentable? Dependerá de cada caso, de cada empresa, de sus necesidades, de su sensibilidad hacia la delegación, de su core business, de su sector, de su dimensión, de sus recursos, de sus objetivos, de sus clientes o tipos de clientes, de si se trata de una empresa con productos, servicios o actividades críticas o no, de sus finanzas, de sus inversores, del consejo.

Internalizar brinda mayor control y adaptabilidad, pero puede ser costoso y requerir una inversión significativa en talento especializado.

Externalizar puede ser más rápido, eficiente y rentable y proporcionar acceso a conocimientos especializados, pero implica una dependencia externa y una posible falta de adaptabilidad.

Por ese motivo, en la mayoría de las ocasiones, la mejor opción generalmente es un enfoque mixto que mantenga la gestión de ciberseguridad internamente, contando al mismo tiempo con servicios gestionados de ciberseguridad externos.

La gestión interna de la ciberseguridad (internalizar), tiene sus ventajas:

• Control interno donde la empresa tiene lleva directamente las riendas de las estrategias y medidas de ciberseguridad implementadas.

• Adaptabilidad, ya que permite una mayor flexibilidad y personalización a las necesidades y características especiales de la empresa debido al know-how o conocimiento interno de la organización.

• Know-how o conocimiento interno, que permite desarrollar conocimientos especializados (knowledge) dentro de la organización.

Pero, la gestión interna de la ciberseguridad (internalizar), también tiene sus desventajas:

• Mayor esfuerzo para la empresa, en términos de organización, capacidad, procesos, tiempos y recursos (con su dimensionamiento, gestión y formación).

• Coste e inversión elevada en comparación con el modelo alternativo, ya que requiere de la búsqueda contratación de talento especializado, la incentivación que evite fuga de talento, las tecnologías y soluciones adoptadas y el reciclaje, capacitación o formación continua especializada de dicho personal.

• Limitaciones en el acceso a recursos especializados que pueden interferir en la captación de expertos y especialistas por parte de empresas recursos medianas, pequeñas, o con escaso presupuesto.

• Complejidad para mantenerse al día como para ser capaces de proteger eficientemente debido al abrumador volumen diario de nuevas amenazas emergentes, nuevas técnicas, la infinidad de vectores de ataque, tendencias, nuevas vulnerabilidades, parches y actualizaciones de seguridad que aplicar, etc.

Por su parte, la ciberseguridad gestionada, cuenta con las siguientes ventajas:

• Puede llegar a ser más rápido, eficiente y rentable.

• Capacidad de delegación de actividad y responsabilidad que reduce la carga de trabajo del equipo interno de IT, o lo libera de tareas, permitiéndoles focalizarse en las que sí deben atender.

• Reducción de costes en comparación con el mantenimiento de un equipo interno de expertos y especialistas o la asunción de parte de estas tareas por el equipo IT sin capacidad ni conocimientos específicos.

• Acceso a expertos y especialistas que no siempre se puede llegar a lograr con la gestión interna.

• Acceso a conocimientos especializados que provienen del acompañamiento, servicio y soporte de verdaderos expertos.

• Proactividad que viene de la mano del conocimiento experto y de consistir en un servicio monitorizado, casi siempre en 24x7.

Aunque, la ciberseguridad gestionada, también tiene sus desventajas:

• Dependencia externa, debida al grado de delegación y confianza en un tercero para su ciberseguridad.

• Pérdida de control por parte de la empresa al dejar todo, o parte, en manos de un tercero.

• Posible peligro, afecciones o ataques focalizados en la cadena de suministro (terceras partes) que pueden llegar a suponer y derivar en problemas de ciberseguridad, privacidad y confidencialidad a la organización.

• Incumplimiento normativo o legal que afecte a la organización y se traduzca en problemas de reputación, sanciones, o multas, cuando su proveedor no cuenta con una determinada certificación, o incluso cuando cuenta con ella peor se produce algún incumplimiento puntual.

• Posible falta de flexibilidad, adaptabilidad y limitación en las personalizaciones al tratarse de personal externo quien gestiona, sin el 100% del conocimiento de la organización, accesos, permisos y aspectos inherentes a servicios gestionados concretos de terceros, sus características y las herramientas que éstos empleen.

• Posible falta de coordinación y alineación, al no conocer o comprender perfectamente el proveedor los procesos u operaciones internas.

En resumen, la gestión de la ciberseguridad ofrece control interno y adaptabilidad, pero a menudo con mayores costos y desafíos en cuanto a recursos, mientras que la ciberseguridad gestionada ofrece acceso a expertos y enfoque proactivo, pero podría implicar dependencia externa y limitaciones de personalización.

La elección entre ambos modelos dependerá de las necesidades, recursos y tolerancia al riesgo de cada empresa.

Y, tú, ¿por cuál de ellas te decantas para tu empresa?

Quizá necesitéis la ayuda de servicios profesionales de ciberseguridad como los que ofrecemos en Zerolynx: Servicios de Ciberseguridad.

Si lo prefieres, contáctanos y hablamos.

Íñigo Ladrón Morales, Redactor de contenidos para Zerolynx.

Predicciones sobre las principales amenazas de ciberseguridad para 2024

Y, como todos los años por esta época, es momento de analizar lo sucedido en materia de ciberseguridad durante 2023, ver tendencias, revisar el estado del arte de las tecnologías emergentes, estudiar datos, contrastar la información de analistas y empresas del sector y de hacer “cábalas” para tratar de averiguar cuáles serán las principales amenazas de seguridad con las que nos encontraremos en 2024.

Aunque aún no muchas organizaciones, empresas del sector y analistas han publicado sus predicciones para el año que viene, algunos de ellos ya lo están haciendo y, en breve, durante el mes de diciembre (máxime cuando nos estemos acercando al fin de año), veremos una avalancha de ellas.

Desgraciadamente, no tenemos la bola de cristal. Por ese motivo, éste es un artículo de opinión, no empírico ni científico, aunque sí basado en nuestra experiencia y en toda la información recabada y analizada de otras reconocidas fuentes como expertos, analistas y empresas del sector, con sus puntos en común, discrepancias y coincidencias.

A priori, las amenazas que los expertos apuntan se llevarán la palma en 2024, son los ataques a la Inteligencia Artificial (IA) y al Machine Learning (ML) o aprendizaje automatizado. En todas las previsiones consultadas hasta el momento, aparece en primer lugar, como la que más podrá ser explotada el año que viene.

Le siguen, a mucha distancia, pero en segunda posición, los ataques a la cadena de suministro y blockchain, de terceros (proveedores, socios, colaboradores, etc.). Este es un aspecto que se ha tratado mucho durante 2023 y en donde ha emergido una gran preocupación, tanto en materia de ciberseguridad como tal, como en los que a privacidad y cumplimiento normativo se refiere.

Finalmente, en tercera posición, aparece u bloque de amenazas 100% relacionadas con el factor humano, la debilidad humana y el ataque a las personas. Éstas son amenazas que pretenden lograr los objetivos manipulando las voluntades de las personas y lanzando ataques dirigidos contra ellas.

Entre ese tipo de ataques a las personas, el primordial a día de hoy y el que parece se mantendrá e incrementará en 2024 es el de los ataques de phishing (en cualquiera de sus variantes y sabores) y la ingeniería social.

Otro de ellos, aunque relacionado con lo anterior de un modo u otro, es el riesgo que supone la falta de concienciación, conocimiento, formación y habilidades de los empleados en materia de ciberseguridad.

En este sentido, se habla de los insiders que, con su comportamiento (intencionado o no), pueden dar al traste con el negocio en un solo clic, ya sea por falta de conocimiento, por despiste, por errores humanos, por configuraciones inadecuadas, por engaños en los que pican, o incluso realizando acciones de forma totalmente intencionada buscando objetivos concretos (económicos, políticos, sociales, de reconocimiento, descontento laboral, etc.).

Estos podrían ser los principales riesgos de ciberseguridad a los que nos enfrentaremos en 2024, pero podemos identificar muchos otros más. De nuestra experiencia y del análisis de quienes ya se han pronunciado al respecto, podríamos esbozar un primer ranking de amenazas de ciberseguridad que veremos en 2024:

• Ataques a la Inteligencia Artificial (IA) y al aprendizaje automático (Machine Learning / ML). Es la principal amenaza que se prevé nos encontremos en 2024 y en la que coinciden la mayoría de los expertos y analistas. Esto quizá se derive de las últimas importantes evoluciones y novedades de la IA que parece estar despejando como tecnología emergente (quizá en su momento hype). En este sentido, del mismo modo que será una tecnología interesante y muy útil para la seguridad, prevención y protección, también se prevé que sea el foco de multitud de ataques o, más bien, que sea utilizada por los ciberdelincuentes en el sentido opuesto. Éstos podrán emplearla, entre muchas otras cosas, para la evasión inteligente de detecciones, para el descubrimiento y explotación automatizada de nuevas vulnerabilidades, para generación inmediata de fakes (fake news, deepfakes, falsificaciones de voz, contenidos), para la generación de código malicioso, etc. Por otro lado, la ética, las normas, la regulación y el control del uso de esta tecnología, aunque parece arrancar, aun tiene mucho camino que recorrer y esto puede ser algo que se aproveche inadecuadamente.

• Ataques a la cadena de suministro / blockchain. Durante 2023 se ha hablado mucho de este asunto e incluso algunas actualizaciones de leyes, normativas y marcos de actuación, han puesto su vista en ello. Y es que tan importante es protegerse a sí mismo, como garantizar que quien nos presta infraestructura, software y/o servicios también sea seguro. Ya hemos visto en varias ocasiones casos en los que un ciberincidente que ha tenido lugar en una organización, ha sido debido no a ella sino a una empresa externa, tercera y ajena a la afectada, que le presta servicios informáticos (o de otro tipo). El software, servicios, sistemas e infraestructuras que estos proveedores, partners, socios o colaboradores comparten con la empresa víctima del incidente, pueden tener también sus propias vulnerabilidades y agujeros de seguridad que los cibercriminales aprovechan para conseguir accesos, entrar y atacar a la empresa cliente a quienes proveen no a ellos directamente.

• Phishing e ingeniería social. Tal y como lo vemos y hemos experimentado hasta la fecha, la verdad es que no es de extrañar que se encuentre entre el TOP 3 de riesgos que más se estima sucederán en 2024. En muchas (la mayoría) de las ocasiones, los ciberdelincuentes lo tienen “muy fácil” apelando a las personas, a la debilidad humana, al factor humano. En este caso, a través de un de los tipos de ataques más prolíferos y efectivos a día de hoy, conseguir engañar a las personas para que hagan algo, a través de cualquier medio, canal, o mecanismos (correo electrónico, SMS, vídeos, llamadas telefónicas, banners publicitarios, URLs fraudulentas, páginas web falsas o ilícitas, etc.).

• Factor humano, falta de concienciación, conocimiento y habilidades, e insiders. Aunque guarda una relación muy estrecha con el anterior (la ingeniería social, el phishing, etc.), va más allá. Mientras que en aquel caso se trata de engañar a las personas, aquí el matiz es diferente. Se trata de las personas en sí mismas y su condición. Esos ataques a las personas serán fructíferos, o no, y en mayor o menor medida, dependiendo del conocimiento, la aptitud y la actitud de cada persona en materia de ciberseguridad. El no estar concienciado, no estar formado y no tener habilidades para esquivar una amenaza, es muy peligroso. Asimismo, lo es el que dentro de la organización existan otras personas que funcionen descuidadamente, no tengan sentido de la importancia de aplicar correctamente los procedimientos existentes, o incluso tangan la capacidad de atacar intencionadamente desde dentro (insiders).

• Ataques a la nube. Las empresas cada vez más cuentan con servicios en la nube, propia (nube privada) pero generalmente de terceros (nube pública). En ella, las organizaciones manejan, transaccionan y almacenan información y datos de carácter privado, sensible y/o confidencial. Un caramelo para los ciberdelincuentes que, por todos los medios a su alcance, tratarán de acceder a ellos, atacando por, cualquier medio, a la nube de la empresa o atacando a la/s nube/s de su/s proveedor/es, cadena de suministro, e infraestructuras de su/s proveedor/es.

• Explotación de vulnerabilidades y ataques Zero Day. Otro clásico que seguiremos viendo durante mucho tiempo, puesto que nunca dejarán de existir errores, vulnerabilidades, bugs y agujeros de seguridad en el software que empleamos. Los ciberdelincuentes continuarán buscando estas brechas de seguridad y utilizándolas para lograr sus objetivos. Aquellas que, hasta el momento de su descubrimiento y explotación no hayan sido empleadas nunca, tendrán mayor impacto.

• Ataques a dispositivos inteligentes (IoT) y dispositivos conectados. Los dispositivos inteligentes, que transaccionan y comparten multitud de información, que dan acceso, que realizan tareas, en definitiva, el IoT (Internet of Things, Internet de las Cosas), con millones de dispositivos conectados a Internet al mismo tiempo, hace de estos elementos objetivos muy suculentos. No todos ellos están convenientemente protegidos y pueden permitir no solo la exfiltración de información confidencial, sino también el acceso a otros sistemas corporativos y su control, la realización de ataques de denegación de servicio, etc., tanto en entornos corporativos, como industriales, como domésticos.
• Ransomware. Aunque los cibersecuestros pueden llegar por muchos medios como algunos de los comentados anteriormente, en términos de malware e infecciones, el ransomware parece que continuará llevándose la palma entre todos ellos. Su especialización e incremento de complejidad tecnológica, ayudado de otros aspectos como la ingeniería social, la inteligencia artificial, los canales masivos de comunicación, etc., harán de esta amenaza una constante que podrá incluso llegar a impactar con más severidad.

• Deepfake. Como decíamos, el engaño es una de las principales argucias para un buen ataque. La desinformación, la posverdad, las fake news, los deepfakes, etc., actuarán más efectivamente y cada vez en más contra ese factor humano y su sensibilidad. Si bien no son un malware, o un tipo de ataque tecnológico como tal, debido a los avances de la tecnología en materia de inteligencia artificial y calidad de herramientas multimedia, etc., la generación de imágenes y vídeos falsos que suplantan la identidad de personas y aparentan lo que no es, serán cada vez más convincentes y conseguirán manipular la opinión pública

• Hacktivismo geopolítico y ciberespionaje. Nos encontramos inmersos en varios conflictos bélicos internacionales, como lo son la guerra de Ucrania y la de Israel con Hamas. En la mayoría de ocasiones, estos enfrentamientos tienen origen económico, religioso, geográfico, social, etc. Desde esa perspectiva y diferentes puntos de vista, se encauzan ataques de hacktivismo, unas veces originados por grupos sociales con fuerza y tendencias radicales, e incluso propiciados por estados, gobiernos y naciones, que seguiremos viendo en 2024 con el recrudecimiento de las actuales contiendas bélicas.

• Autenticación, acceso, e identidad. Debido a muchas razones, el robo de credenciales, el compromiso de cuentas en sistemas corporativos o en servicios de uso común y popular en Internet, la suplantación de identidad, etc., son objetivos de mucho valor. Durante el año que viene, continuaremos viendo como los ciberdelincuentes tratan de hacerse con esta información para saltar las barreras del perímetro corporativo, acceder a donde no deberían y hacerse pasar por quienes no son para tener privilegios y roles que les permitan realizar determinadas acciones.

• Malware. Aunque ya no es lo más habitual (si pensamos de forma independiente en el ransomware, sin considerar que, en cierta medida, se trata de un malware), seguirán existiendo infecciones, propagaciones y ataques de malware y spyware. Las amenazas de toda la vida, como los virus, los troyanos, gusanos, keyloggers, etc., seguirán estado ahí.

• Desinformación. La información es poder y con su manipulación o la invención de bulos (hoax), infoxicación y noticias falsas (fake news), se puede lograr manipular y controlar la conciencia ciudadana. Por ese motivo la utilizan grupos políticos, medios de comunicación, grupos de poder, e incluso gobiernos. Tiene capacidad de llegada, es rápido, tiene impacto, es eficiente, por lo que, como hasta ahora desde el comienzo de la humanidad, continuaremos viendo cientos de miles de casos, aunque no se trate de ciberataques o ciberincidentes como tal.

• Amenazas Persistentes Avanzadas (APT). Aun no siendo los más habituales, aquellos ataques que consiguen entrar en un sistema y permanecer en él “aletargados” durante mucho tiempo esperando el mejor momento para actuar, seguirán estando presentes. Éstos continuaran empleando una combinación de técnicas para asegurar su objetivo y proceder con toda su cadena de pasos: acceder, infiltrarse, establecerse, ocultarse, escalado de privilegios, movimientos laterales dentro de la organización, observación y actuación.

• Botnets. Esta es una amenaza que ha perdido algo de protagonismo últimamente, en lo que a la realización de ataques DoS (Denegación de Servicio) y DDoS (Denegación distribuida de servicio) se refiere, pero que en el ámbito de la tecnología Blockchain, el ataque a los bloques de esa cadena, y el minado de criptomonedas, aún tiene relevancia como para apostar por una capturar dispositivos (zombies) y montar una red de bots controlada para actuar simultáneamente y al unísono bajo las órdenes de un ciberdelincuente.

Pues bien, éstas son algunas de las amenazas y riesgos de ciberseguridad con los que nos encontraremos en 2024, tal y como podemos extraer de nuestras propias experiencias, de las previsiones de fabricantes y empresas del sector, así como de analistas y otras fuentes consultadas, entre las que destacan las siguientes: Gartner, Forbes, World Economic Forum, Google Cloud, WatchGuard, Mandiant, Virus Total, Kaspersky, SonicWall, ESET, ESED, Proofpoint, Check Point, Stellar Cyber, Fortinet, KnowBe4, SAS, BeyondTrust, Segnesys, Lenovo, TATA, IBES, Delinea, TechRepublic, etc.

¿Estará tu empresa preparada para estas ciber-amenazas y ciber-riesgos en 2024?

Quizá necesitéis la ayuda de servicios profesionales de ciberseguridad como los que ofrecemos en Zerolynx: Servicios de Ciberseguridad.

Si lo prefieres, contáctanos y hablamos.

Íñigo Ladrón Morales, Redactor de contenidos para Zerolynx.

¿Cuáles son las principales amenazas, riesgos y retos de ciberseguridad a los que se enfrentan las empresas?

La exposición a ciber-amenazas y ciber-riesgos por parte de las empresas, sigue estando ahí y nunca va a dejar de existir, incrementando enormemente cada día, en cuanto a volumen de casos y en cuanto a disparidad de técnicas, objetivos y complejidad.

Por ese motivo es importante conocer cuáles son los ciberincidentes más habituales en las empresas actualmente, con el objetivo de poder establecer una lista de prioridades de prevención concretas y unas medidas a poner en marcha lo antes posible.

En términos generales, la ciberseguridad sigue siendo un desafío para empresas de todos los tamaños y sectores. Los ciberincidentes varían en naturaleza y pueden incluir desde ataques de phishing, hasta exfiltración de datos a gran escala.

Revisando sólo algunos de los principales informes de referencia del sector, podemos tener las primeras pinceladas de ese lienzo de ciberincidentes o ciberriesgos corporativos.

Más del 50% de empresas han sufrido al menos un ataque de ransomware, mientras los ataques de phishing son la principal preocupación de seguridad para el 57%, según el Informe de Amenazas de Seguridad de Cisco.

Los ataques de phishing y los errores de configuración provocados generalmente por las personas (las cuales suponen el 74% de los ciberincidentes), suponen ya más del 50% de las brechas de datos, según el Informe de Ciberseguridad y el DBIR (Data Breach Investigation Report), de Verizon.

Los problemas de ciberseguridad en las empresas, pueden atribuirse al factor humano, a las personas, en el 95% de los casos, según el informe Global Risk Report del World Economic Forum.

Durante el último año, los ciberataques a aplicaciones web se han incrementado en un 21%, mientras que los ciberataques de robo de credenciales lo han hecho en un 22%, según el Informe de Amenazas de Seguridad de Internet de Akamai.

Como muestra, un botón. Estos son sólo algunos ejemplos, pero hay muchos más, que evolucionan en el tiempo y, lamentablemente, no siempre para mejorar la estadística ni la situación.

Siendo este el escenario, actualmente, algunos de los ciberincidentes más habituales son los siguientes, o son debidos a las siguientes causas (las principales, ciñéndonos a los estudios, informes y análisis existentes):

• Ataques de ingeniería social, ataques a las personas, al factor humano, o ataques de cualquier otro tipo, que comienzan con una acción de ingeniería social, los cuales, en la mayoría de los casos, llegan a través de phishing en cualquiera de sus variantes (smshing, vishing, qrshing, spear phishing, etc.) o de otros canales, medios, o tácticas empleadas por los ciberdelincuentes. Este tipo de ataques suelen dirigirse a empleados dentro de las empresas y, casi siempre, a empleados muy concretos (directivos, contables, personal de compras, VIPs -Very Important People- y/o VAPs -Very Attacked People-), quienes son engañados para revelar información privada y confidencial, o para descargar y ejecutar malware sin ser conscientes.

• Los ataques de phishing en sí mismos, ya sean de suplantación de identidad (tipo BEC - Business Email Compromise) o no, en cualquiera de sus modos de entrega y “sabores” (por correo electrónico, por SMS, en una llamada de teléfono, por WhatsApp, al leer un QR, etc.).

• Los dos anteriores (ingeniería social y phishing de todo tipo), entre otros tipos de ataques, producen a su vez exfiltración de datos, o violaciones de datos e información. Este es un gravísimo problema puesto que se exponen datos de clientes, información personal, o información legal, industrial o financiera de la empresa atacada.

• Los cibersecuestros o ataques de ransomware, cuyo número de casos aumenta considerablemente a medida que pasa el tiempo, sofisticándose cada vez más, siendo más dañinos y dirigiéndose a empresas de todo tipo de sectores y tamaño (negocios, autónomos, micropymes, pymes, grandes empresas, multinacionales). Estos ataques cifran la información y documentos, bloqueando el acceso datos y sistemas, exigiendo un rescate para restaurar el acceso, descifrándolos.

Además, existen otros tipos de amenazas a las que también se ve expuestas las empresas, aunque no en tanta cuantía como las anteriores:

• El malware en general (virus, troyanos, gusanos, botnets, spyware, etc.), que llega a la empresa (su perímetro, dispositivos internos y externos, red corporativa, nueva, infraestructuras, etc.) por diferentes canales (email, phishing, descargas, USBs, etc.) y realiza la actividad maligna, ilícita o dañina para la que está programado. En muchas ocasiones, existen variantes o muestras de malware aún desconocidas (de reciente creación) que pueden ser utilizadas para atacar e infectar. Este tipo de ataques se suele conocer como ataques Zero Day, 0-Day, o de Día Cero.

• La explotación de vulnerabilidades supone atacar por los puntos más débiles detectados en alguna de las aplicaciones o software de uso corporativo, así como su red, arquitectura hardware, infraestructura, cloud, sistemas informáticos de la organización, e incluso dispositivos (IT, OT, IT/OT e IoT). En muchas ocasiones, existen vulnerabilidades aún desconocidas que pueden ser explotadas por quienes las hayan detectado antes que nadie. Este tipo de ataques también se suele conocer como ataques Zero Day, 0-Day, o de Día Cero.

• Los ataques de denegación de servicio (DoS / DDoS), realizados consiguiendo alinear, de forma simultánea, peticiones masivas desde multitud (miles, cientos de miles, millones) de puntos o dispositivos, a un único elemento común (servidor web, base de datos, sistema de acceso, formulario de introducción de datos, API, etc.), con lo que se consigue saturar, colapsar y dejar fuera de servicio a ese sistema, sin necesidad de infectarlo ni realizar ningún otro tipo de acción. Pueden ser de tipo DoS (ataque de Denegación de Servicios) o de tipo DDoS (ataque Distribuido de Denegación de Servicios) y, generalmente, son lanzados desde una BotNet (una red de ordenadores, conocidos como zombies, que previamente han sido “capturados” para tomar el control sobre ellos y poder solicitarles que realicen determinadas acciones, como conectarse todos al mismo tiempo y de forma recurrente a un servicio web para provocar un DoS, un DDoS, un minado de criptomonedas, etc.).

• Los ataques a (o desde) el Internet de las Cosas (Internet of Things - IoT) e infraestructuras corporativas son también habituales, especialmente en empresas de entornos industriales. En este caso se aprovechan agujeros de seguridad y configuraciones incorrectas de dispositivos como cámaras, impresoras, PLCs, electrodomésticos inteligentes, etc.

• La inyección de código, o inyección de código SQL, que consiste en atacar un servicio web (generalmente a través de un formulario con campos para la introducción de datos), introduciendo código SQL en los campos vulnerables en los que sea posible, para lograr acceder a las bases de datos y extraer su información.

• Las APTs o Amenazas Avanzadas Persistentes, considerados unos de los ataques más evolucionados, que adoptan tecnologías, mecanismos y estrategias más sofisticadas, complejas y dirigidas. En este caso, consiste en casos de hacking que se realizan de forma continuada sobre una organización para conseguir entrar y permanecer en ella durante mucho tiempo, realizando su actividad dañina.

Por supuesto, existen muchos otros tipos de ciberamenazas, ciberriesgos y ciberataques a empresas, tales como:

• Aquellos que atacan a sus infraestructuras cloud, internas o externas de un tercero y a las aplicaciones existentes en ellas. En este caso, por ejemplo, podríamos hablar de shadow IT o los riesgos de infraestructuras que no controla el departamento de IT de la organización (como lo son las infraestructuras en la nube contratadas a proveedores cloud).

• Relacionado con el punto anterior, debido especialmente a la cada vez más grande dependencia de servicios de terceros, uno de los riesgos más comunes, que menos se tiene en cuenta pero que está cobrando especial relevancia y atención, es el de la cadena de suministro. Es decir, el de aquellos riesgos que, no siendo propios o inherentes a la empresa como tal, sí pueden afectar a ésta pues son riesgos de un tercero en el que tiene alojados sus servicios o con el que colabora para algo en concreto, incluso socios, partners, etc.

• Insiders o amenazas internas que, como usuarios internos de los sistemas de la organización (ya sean empleados, proveedores, colaboradores o partners), de forma intencionada o no, pueden realizar acciones perjudiciales y dañinas a causa de su falta de conocimiento y formación, desidia, descuido, configuraciones incorrectas, cese de accesos, credenciales y permisos, uso y conexión de dispositivos externos a la red corporativa, etc.

• Los ataques directos a sus activos de información, tales como bases de datos (o elementos contenedores de información) de clientes, proveedores, socios, usuarios, colaboradores, o la propia de la organización (propiedad intelectual, patentes, legal, societaria, financiera, etc.), con información privada y confidencial, que pueden producir, además de fugas de información, importantes problemas a la empresa en términos económicos, de cumplimiento normativo, legales, y de imagen, reputación, marca y continuidad de negocio.

• El desarrollo no seguro de software y aplicaciones propias corporativas, que no cuentan con una filosofía de la ciberseguridad desde el diseño, incurriendo en bugs, brechas de seguridad y vulnerabilidades que pueden ser explotadas por terceros. Parta subsanarlo, se requiere un modelo de Ciclos de Desarrollo Seguro de Software (SSDLC).

• La falta de adecuación técnica para el debido cumplimiento normativo (falta de compliance) es otro factor a tener muy en cuenta. En este caso, el no cumplir con determinados estándares y marcos de ciberseguridad y legalidad definidos, con determinadas normas, reglamentos y leyes, puede acarrear serios problemas. Ya no por no cumplir y las sanciones o multas que esto puede conllevar, sino también por los agujeros de seguridad y la falta de protección de calidad que supondrá el no cumplir con ellos.

Entre todo este maremágnum de riesgos, amenazas y las probabilidades de sufrir un ciberincidente, subyacen aspectos (motivos), no siempre tecnológicos, que, si no es que los provoquen directamente, quizá si sean factores determinantes en muchas ocasiones y caldo de cultivo para que se materialicen. Algunos de ellos podrían ser:

• La falta de concienciación, formación y entrenamiento de los empleados.

• La evolución continua de la tecnología y la digitalización que requieren una actualización constante y cuasi inmediata. Y, del mismo modo, la evolución (a la zaga) de las nuevas legislaciones, reglamentos y normativas que vienen a tratar de regularla y “poner cierto orden de conducta”, con una visión lo más holística posible, en multitud de países con características comunes o no.

• La capacidad económica, financiera, de inversión y recursos dentro de la organización. Una organización puede tener cierto conocimiento y destreza para llevar a cabo su propia estrategia de ciberseguridad, pero no es lo habitual. Si éste no es su core business o su área de TI no cuenta con esas capacidades, recursos o tiempo, lo normal y aconsejable es recurrir a expertos externos y a la adquisición de software, aplicaciones, herramientas y servicios de ciberseguridad.

Estos quizá sean los retos principales que deben cumplir las empresas para poder comenzar a adaptarse, protegerse convenientemente, prevenir y cumplir.

En un mundo donde la tecnología es omnipresente, la ciberseguridad se vuelve fundamental para la sostenibilidad y el crecimiento de cualquier empresa. Los riesgos y desafíos en este ámbito evolucionan constantemente, exigiendo un compromiso continuo con estrategias de ciberseguridad sólidas y una mentalidad proactiva para enfrentar estas amenazas de manera efectiva y eficiente.

¿Está tu empresa preparada y libre de ciber-amenazas y ciber-riesgos?

Quizá necesitéis la ayuda de servicios profesionales de ciberseguridad como los que ofrecemos en Zerolynx: Servicios de Ciberseguridad.

Si lo prefieres, contáctanos y hablamos.

Íñigo Ladrón Morales, Redactor de contenidos para Zerolynx.

¿Está tu empresa protegida contra ataques “SHING”?

Seguro, sin duda de ninguna clase, en vuestra empresa habéis sufrido, sino miles, cientos de “ataques tipo SHING”. ¡¿Qué os apostáis?!

En las empresas contamos con mucho software, hardware, servicios profesionales y medidas, más o menos férreas, para la protección de nuestros activos físicos y digitales. Pero, además de esto…

• ¿Tenemos en cuenta el eslabón más débil de la cadena?
• ¿Tenemos en cuenta los ataques de ingeniería social?
• ¿Tenemos en cuenta el Factor Humano, que representa el 74% de los incidentes, según el 2023 Data Breach Investigation Report de Verizon?

Por otro lado, el 98% de las ciberamenazas a las que se enfrentan las empresas, comienza con un correo electrónico que llega al buzón de alguno de sus empleados, como también refleja informe. Al final, las personas somos receptores y activadores de amenazas.

Y, además, el 95% de los problemas de ciberseguridad pueden atribuirse al factor humano, como apunta el Global Risk Report 2022, 17th Edition, del World Economic Forum.

Pues bien, a esto también nos tenemos que enfrentar con todas nuestras fuerzas, a los ciberataques dirigidos a personas, a proteger personas para proteger nuestros activos corporativos.

Ya no se trata sólo de contar con artillería y herramientas de protección y prevención, también debemos concienciar, capacitar y entrenar a nuestros empleados, socios y proveedores (a todo aquel que accede y hace uso de nuestros sistemas y servicios), para que no caigan en engaños y estafas que apelan a la sensibilidad y al comportamiento humano.

La manipulación de las personas, la manipulación psicológica, el apelar a situaciones de urgencia, de solidaridad, de compañerismo, sociales, etc., son parte de las técnicas más empleadas y efectivas que manejan los ciberdelincuentes.

En definitiva, el uso de la Ingeniería Social. Y buena parte de ella, llega a nuestra empresa como “SHING”, el arte del engaño a las personas, para conseguir que hagan lo que se quiere que hagan y, en la mayoría de las ocasiones, sin necesidad de utilizar para ello malware, ni ransomware, ni tecnologías avanzadas, ni tan siquiera cualquier tipo de tecnología, sino sólo utilizar a las personas para atacar.

Nos va sonando, ¿no? Sí, el “shing” es una amenaza muy conocida y muy interiorizada, con la que nos es difícil, o nos cuesta mucho luchar, tanto a nivel particular en nuestros hogares y dispositivos personales o familiares, como en el ámbito corporativo de las empresas de todo tipo y tamaño: phishing, smshing, vishing, QRshing, Fraude del CEO, ataques BEC (Business Email Compromise) o compromiso de cuentas. Los conocemos, ¿verdad? Y, ¿a que los hemos recibido (y mucho) en nuestras empresas? ¿Hemos picado? ¿Qué repercusiones han tenido?

¿Qué es el phishing? El INCIBE lo define muy breve y claramente como “el anzuelo en tu bandeja de entrada”, pero agrega una definición más técnica y profesional:

“El phishing es una técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, empresa, proveedor, partner, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo, mediante su contenido, archivos adjuntos o enlaces a páginas fraudulentas en el correo electrónico”.

Y, en ese tipo de ataques “shing”, existen muchas modalidades, además del phishing que llega por email:

• Smishing, que combina los menajes SMS y el phishing como tal, utilizando mensajes de texto para dirigir a las víctimas a sitios web falsos, ilícitos, o fraudulentos, e incluso solicitar a los usuarios receptores que realicen algún tipo de acción.

• Vishing, consistente en un ataque de phishing a través de una llamada telefónica, en la cual quien llama trata de hacerse pasar por alguien legítimo como una empresa, un organismo oficial, una administración pública, un proveedor, un cliente, etc., y solicita al receptor de la llamada determinado tipo de información personal, privada, o confidencial, e incluso que realice algún tipo de acción.

• QRshing, que emplea la lectura de códigos QR falsos, fraudulentos, ilícitos, o maliciosos para llevar a los usuarios a una página web o un formulario desde el cual se descarga malware, o en donde se le solicita la introducción de datos personales, privados o confidenciales.

• Spear phishing, que, siendo un ataque de phishing en cualquiera de sus modalidades, es un ataque dirigido específicamente a una persona (o varias) de la empresa, a un empleado de la empresa, a un organismo o administración pública, a una empresa en concreto, a una determinada organización, a un político, etc. Se trata de un tipo de phishing más “estudiado”, elaborado y eficiente, ya que los ciberdelincuentes previamente han investigado a la organización, a sus empleados, a las personas a atacar, conociendo ya a los destinatarios, sus hábitos, roles, responsabilidades, capacidades, accesos con los que cuentan, a información a la que pueden acceder, permisos para realizar determinado tipo de actividades y, por tanto, lo que pueden sacar de ellos.

• Whale phishing, Whaling, o Whishing, que, siendo similar al spear phishing, se diferencia de él en que, en este caso, el ataque es dirigido personas concretas de muy alto perfil dentro de la empresa u organización (un “pez gordo” de la organización como lo pueden ser los socios, el presidente, los miembros del Consejo de Administración, el CEO, el Director General, los miembros del C-Level, e incluso otros tipos de perfiles corporativos, como el DPO, etc.), los cuales tienen acceso y manejan información concreta de carácter confidencial y estratégica.

• Pharming, que consiste en un tipo de phishing más sofisticado, pues los ciberdelincuentes redirigen el tráfico de una web real, verídica y legítima (mediante diferentes tipos de técnicas), hacia una web falsa, fraudulenta o ilegítima, donde comprometen la privacidad y la seguridad de la información.

• Clone phishing, consistente en que un ciberdelincuente intercepta y obtienen previamente un correo electrónico legítimo de la organización suplantada, que posteriormente modifica (generalmente introduciendo en él un texto con instrucciones para que el destinatario las aplique, o un enlace fraudulento o incluso ficheros adjuntos con malware). Con esto consigue un mayor grado de fiabilidad del mensaje y, por tanto, más efectividad del mismo.

• Angler phishing, o Phishing social, mediante el cual los ciberdelincuentes realizan una suplantación de identidad, o simplemente, se hacen pasar por un trabajador del soporte técnico de una empresa (por ejemplo, el caso del Falso Soporte Técnico de Microsoft que nos llama por teléfono), o del departamento de compras, o de facturación, o similar, para engañar al destinatario y hacer que aporte determinada información personal y/o confidencial de la empresa.

• Fraude del CEO. En este caso, aunque parecido al caso anterior, también existen situaciones en las que, dentro de una empresa, se suplanta la identidad de un alto cargo (generalmente con peso específico, como el CEO, un directivo, un jefe de departamento, etc.), para conseguir que el destinatario del mensaje (un empleado), confíe en que el mensaje realmente viene de quien parece venir, siendo éste legítimo y, por ende, el empleado haga lo que se le indica que haga en ese email. Este tipo de ataques, o de técnicas de ataque, también se conocen como Ataques BEC (Business Email Compromise).

• Malvertising, el cual va algo más allá, puesto que los ciberdelincuentes llegan a comprar publicidad y anuncios redes sociales y plataformas (por ejemplo, imágenes y banners animados y clicables), incluyendo en ellos enlaces a sitios ilegítimos y/o fraudulentos. Un caso concreto de este tipo de ataques es el del Pop-Up phishing, que muestra mensajes emergentes (generalmente avisos, anuncios, o publicidad) al visitar una página web. Sin embargo, estos anuncios fraudulentos se podrían mostrar de cualquier otro modo.

• Black Hat SEO, Phishing en motores de búsqueda, o Envenenamiento SEO. En este caso, la cosa es más compleja, ya que los ciberdelincuentes tienen una estrategia, trabajan e invierten dinero en manipular el posicionamiento SEM/SEO de sus enlaces en Internet, con el objetivo de que siempre aparezcan en las primeras posiciones de buscadores como Google, Bing, y Yahoo.

• Phishing de WiFi falsa, o Phishing de punto de acceso falso, o Phishing del gemelo malvado, que consiste en que los ciberdelincuentes generan una WiFi falsa suya, que se parece a otra WiFi pública abierta, ya existente, y disponible, en un lugar concreto, donde se conectan los usuarios pensando que es la correcta.

• SIM Swapping, mediante el que los ciberdelincuentes convencen a los proveedores de servicios para transferir el número de teléfono de la persona a la que se pretende atacar a una nueva tarjeta SIM. Con esto, los atacantes consiguen el acceso a mensajes y llamadas de la persona atacada.

• Watering hole phishing, o ataque de abrevadero, que supone un ataque específico a una empresa u organización en concreto. Los ciberdelincuentes detectan las webs, dominios o URLs que más visitan o con más tráfico desde los dispositivos de los empleados de una empresa en concreto y les redirigen desde esas URLs correctas a URLs maliciosas (propiedad y gestionadas por los ciberdelincuentes) que pueden descargar malware. Puede asemejarse al pharming, pero no es exactamente lo mismo.

• Hishing o Hardware phishing que, aunque quizá no contemple una técnica de engaño como en casos anteriores, consiste en que los ciberdelincuentes, a través de diversos métodos, “esconden” malware en diferentes dispositivos (ordenadores, portátiles, teléfonos móviles, etc.) que van a ser entregados a otros usuarios (alquiler, venta nueva, venta de segunda mano, etc.).

Y, sin duda, existen, y existirán, muchas más variaciones y matices respecto a técnicas, mecanismos, artimañas y engaños para que los ciberdelincuentes logran sus objetivos.

Este tipo de ataques de phishing que, al fin y al cabo, en la mayoría de los casos, emplean la ingeniería social, conviven, se conjugan e incluso se pueden llegar a combinar con otras tácticas de ataque que también la emplean, tales como:

• El Pretexting busca que a persona atacada (la víctima) facilite información personal y/o confidencial, utilizando para ello un “pretexto” o “pretextos” (excusas) que atiendan a sus intereses, a los de la empresa, el negocio, etc., y le motiven a hacer algo en concreto debido a una supuesta necesaria premura de actuación, urgencia, aspectos de solidaridad, sociales, etc. Así los ciberdelincuentes manipulan a sus víctimas para que hagan lo que ellos quieren que hagan. Algunos casos, tipos o ejemplos son los fraudes o estafas que alucen a situaciones relacionadas con un supuesto Soporte Técnico (por ejemplo, el caso del Soporte Técnico de Microsoft), el caso del Fraude del CEO, los económicos, relacionados con supuestos premios, herencias y juegos de azar, etc.

• El Baiting consiste en depositar o dejar “abandonado” un dispositivo de almacenamiento (un pincho USB, un disco duro extraíble, una memoria SD, u otro tipo de dispositivo) que contiene malware en su interior. El objetivo es que quien se lo encuentre, se lo lleve, acceda a él, lo utilice y lo conecte a otros dispositivos, con el fin de infectaros y propagar así dicho malware, afectando de forma masiva. Otras variantes, en función del medio o lugar en el que resida ese malware, pueden ser el Fake WiFi Hotspot (donde se utiliza como medio un punto de acceso WiFi), la lectura de códigos QR fraudulentos (QRshing), el fraude en Redes Sociales o Social Media (donde se comparten URLs, links, enlaces incluso imágenes o elementos multimedia clicables, desde los que se descarga el malware), el propio Black Hat SEO, etc.

• El Tailgating, que es el conjunto de técnicas de ingeniería social con las que los ciberdelincuentes consiguen un acceso, no autorizado, a la red de la empresa (o cualquier otro servicio o sistema que cuente con validación/login), mediante el análisis de comportamiento de los usuarios/empleados. Algunas de estas técnicas pueden ser el Keylogging (por el que se averiguan las pulsaciones de teclado que realizan los usuarios/empleados), o el Bluetooth Hacking (o ataque y acceso a la comunicación Bluetooth para “esnifar” o interceptar la información que transita por ella), entre muchos otros.

Como hemos visto en todos ellos, los ciberdelincuentes emplean diferentes canales, medios, o mecanismos para actuar, donde los principales suelen ser los siguientes:

• Correo Electrónico (phishing tradicional).
• Mensajes SMS de texto (smishing).
• Llamadas telefónicas (vishing).
• Códigos QR (QRshing).

Y, todo esto, está a la orden del día, más incluso de lo que nos parece. Infinidad, la gran mayoría, de los ciberataques exitosos perpetrados contra empresas, contra organizaciones y sus empleados, se basan en estos mecanismos o técnicas. Como dato, un botón… durante 2023:

• Los ciberataques por correo electrónico se incrementaron en un 464%, según el Mid-Year Cyberthreats Report de Acronis.

• El 41% de los ciberincidentes comenzaron con un caso de phishing, según el X-Force Threat Intelligence Index, de IBM.

• El correo electrónico es el principal vector de amenazas. El 98% de las amenazas comienzan con un email a modo de ataque dirigido a personas, de los que, el 12% son casos de phishing y el 49% casos de robo de credenciales, según el 2023 Data Breach Investigation Report de Verizon.

• Tres de cada cuatro incidentes de correo electrónico (phishing y otros) están dirigidos a pymes, según Coveware.

• Pero, la inversión de las empresas en lo que a protecciones para luchar contra estas situaciones se refiere, apenas supone del 10% de sus presupuestos, según apunta el Information Security Worldwide 2019 - 2025 de Gartner.

Como vemos, este escenario impacta enormemente a las empresas, a cualquier tipo de empresa, suponiendo perjuicios tan notables como pérdidas económicas, pérdidas de reputación, fraude financiero, incumplimientos legales y normativos (con sus respectivas penalizaciones, sanciones y multas), accesos indebidos, pérdida de datos, suplantación de identidad, hasta incluso con la discontinuidad o paralización del negocio de forma temporalmente transitoria, o definitiva, lo que podría suponer el cese del negocio.

Parece que las empresas aún no han puesto toda la carne en el asador para coger el toro por los cuernos, pues no se trata solamente de tomar medidas tecnológicas como la implantación de herramientas tecnológicas potentísimas, ni sistemas férreos de control, ni de monitorización continua de comunicaciones, ni de gestión de riesgos y vulnerabilidades, ni de contar con el mejor filtrado de correo, ni de garantizar los mejores modelos de autenticación… también se trata de personas.

En definitiva, se trata de esto y, además, de proteger a las personas, a los empleados, y facilitarles todos los recursos posibles para que no piquen, para que “no caigan en la tentación” (herramientas, servicios profesionales, servicios de ciberseguridad gestionados, concienciación, capacitación, entrenamiento, etc.).

¿No crees que tu empresa se puede encontrar fácilmente, en cualquier momento, en una de las situaciones que hemos descrito?

Quizá tu empresa necesite la ayuda de servicios profesionales de ciberseguridad como los que ofrecemos en Zerolynx: Servicios de Ciberseguridad.

Si lo prefieres, contáctanos y hablamos.

Íñigo Ladrón Morales, Redactor de contenidos para Zerolynx.