¿Cuáles son las principales amenazas, riesgos y retos de ciberseguridad a los que se enfrentan las empresas?

La exposición a ciber-amenazas y ciber-riesgos por parte de las empresas, sigue estando ahí y nunca va a dejar de existir, incrementando enormemente cada día, en cuanto a volumen de casos y en cuanto a disparidad de técnicas, objetivos y complejidad.

Por ese motivo es importante conocer cuáles son los ciberincidentes más habituales en las empresas actualmente, con el objetivo de poder establecer una lista de prioridades de prevención concretas y unas medidas a poner en marcha lo antes posible.

En términos generales, la ciberseguridad sigue siendo un desafío para empresas de todos los tamaños y sectores. Los ciberincidentes varían en naturaleza y pueden incluir desde ataques de phishing, hasta exfiltración de datos a gran escala.

Revisando sólo algunos de los principales informes de referencia del sector, podemos tener las primeras pinceladas de ese lienzo de ciberincidentes o ciberriesgos corporativos.

Más del 50% de empresas han sufrido al menos un ataque de ransomware, mientras los ataques de phishing son la principal preocupación de seguridad para el 57%, según el Informe de Amenazas de Seguridad de Cisco.

Los ataques de phishing y los errores de configuración provocados generalmente por las personas (las cuales suponen el 74% de los ciberincidentes), suponen ya más del 50% de las brechas de datos, según el Informe de Ciberseguridad y el DBIR (Data Breach Investigation Report), de Verizon.

Los problemas de ciberseguridad en las empresas, pueden atribuirse al factor humano, a las personas, en el 95% de los casos, según el informe Global Risk Report del World Economic Forum.

Durante el último año, los ciberataques a aplicaciones web se han incrementado en un 21%, mientras que los ciberataques de robo de credenciales lo han hecho en un 22%, según el Informe de Amenazas de Seguridad de Internet de Akamai.

Como muestra, un botón. Estos son sólo algunos ejemplos, pero hay muchos más, que evolucionan en el tiempo y, lamentablemente, no siempre para mejorar la estadística ni la situación.

Siendo este el escenario, actualmente, algunos de los ciberincidentes más habituales son los siguientes, o son debidos a las siguientes causas (las principales, ciñéndonos a los estudios, informes y análisis existentes):

• Ataques de ingeniería social, ataques a las personas, al factor humano, o ataques de cualquier otro tipo, que comienzan con una acción de ingeniería social, los cuales, en la mayoría de los casos, llegan a través de phishing en cualquiera de sus variantes (smshing, vishing, qrshing, spear phishing, etc.) o de otros canales, medios, o tácticas empleadas por los ciberdelincuentes. Este tipo de ataques suelen dirigirse a empleados dentro de las empresas y, casi siempre, a empleados muy concretos (directivos, contables, personal de compras, VIPs -Very Important People- y/o VAPs -Very Attacked People-), quienes son engañados para revelar información privada y confidencial, o para descargar y ejecutar malware sin ser conscientes.

• Los ataques de phishing en sí mismos, ya sean de suplantación de identidad (tipo BEC - Business Email Compromise) o no, en cualquiera de sus modos de entrega y “sabores” (por correo electrónico, por SMS, en una llamada de teléfono, por WhatsApp, al leer un QR, etc.).

• Los dos anteriores (ingeniería social y phishing de todo tipo), entre otros tipos de ataques, producen a su vez exfiltración de datos, o violaciones de datos e información. Este es un gravísimo problema puesto que se exponen datos de clientes, información personal, o información legal, industrial o financiera de la empresa atacada.

• Los cibersecuestros o ataques de ransomware, cuyo número de casos aumenta considerablemente a medida que pasa el tiempo, sofisticándose cada vez más, siendo más dañinos y dirigiéndose a empresas de todo tipo de sectores y tamaño (negocios, autónomos, micropymes, pymes, grandes empresas, multinacionales). Estos ataques cifran la información y documentos, bloqueando el acceso datos y sistemas, exigiendo un rescate para restaurar el acceso, descifrándolos.

Además, existen otros tipos de amenazas a las que también se ve expuestas las empresas, aunque no en tanta cuantía como las anteriores:

• El malware en general (virus, troyanos, gusanos, botnets, spyware, etc.), que llega a la empresa (su perímetro, dispositivos internos y externos, red corporativa, nueva, infraestructuras, etc.) por diferentes canales (email, phishing, descargas, USBs, etc.) y realiza la actividad maligna, ilícita o dañina para la que está programado. En muchas ocasiones, existen variantes o muestras de malware aún desconocidas (de reciente creación) que pueden ser utilizadas para atacar e infectar. Este tipo de ataques se suele conocer como ataques Zero Day, 0-Day, o de Día Cero.

• La explotación de vulnerabilidades supone atacar por los puntos más débiles detectados en alguna de las aplicaciones o software de uso corporativo, así como su red, arquitectura hardware, infraestructura, cloud, sistemas informáticos de la organización, e incluso dispositivos (IT, OT, IT/OT e IoT). En muchas ocasiones, existen vulnerabilidades aún desconocidas que pueden ser explotadas por quienes las hayan detectado antes que nadie. Este tipo de ataques también se suele conocer como ataques Zero Day, 0-Day, o de Día Cero.

• Los ataques de denegación de servicio (DoS / DDoS), realizados consiguiendo alinear, de forma simultánea, peticiones masivas desde multitud (miles, cientos de miles, millones) de puntos o dispositivos, a un único elemento común (servidor web, base de datos, sistema de acceso, formulario de introducción de datos, API, etc.), con lo que se consigue saturar, colapsar y dejar fuera de servicio a ese sistema, sin necesidad de infectarlo ni realizar ningún otro tipo de acción. Pueden ser de tipo DoS (ataque de Denegación de Servicios) o de tipo DDoS (ataque Distribuido de Denegación de Servicios) y, generalmente, son lanzados desde una BotNet (una red de ordenadores, conocidos como zombies, que previamente han sido “capturados” para tomar el control sobre ellos y poder solicitarles que realicen determinadas acciones, como conectarse todos al mismo tiempo y de forma recurrente a un servicio web para provocar un DoS, un DDoS, un minado de criptomonedas, etc.).

• Los ataques a (o desde) el Internet de las Cosas (Internet of Things - IoT) e infraestructuras corporativas son también habituales, especialmente en empresas de entornos industriales. En este caso se aprovechan agujeros de seguridad y configuraciones incorrectas de dispositivos como cámaras, impresoras, PLCs, electrodomésticos inteligentes, etc.

• La inyección de código, o inyección de código SQL, que consiste en atacar un servicio web (generalmente a través de un formulario con campos para la introducción de datos), introduciendo código SQL en los campos vulnerables en los que sea posible, para lograr acceder a las bases de datos y extraer su información.

• Las APTs o Amenazas Avanzadas Persistentes, considerados unos de los ataques más evolucionados, que adoptan tecnologías, mecanismos y estrategias más sofisticadas, complejas y dirigidas. En este caso, consiste en casos de hacking que se realizan de forma continuada sobre una organización para conseguir entrar y permanecer en ella durante mucho tiempo, realizando su actividad dañina.

Por supuesto, existen muchos otros tipos de ciberamenazas, ciberriesgos y ciberataques a empresas, tales como:

• Aquellos que atacan a sus infraestructuras cloud, internas o externas de un tercero y a las aplicaciones existentes en ellas. En este caso, por ejemplo, podríamos hablar de shadow IT o los riesgos de infraestructuras que no controla el departamento de IT de la organización (como lo son las infraestructuras en la nube contratadas a proveedores cloud).

• Relacionado con el punto anterior, debido especialmente a la cada vez más grande dependencia de servicios de terceros, uno de los riesgos más comunes, que menos se tiene en cuenta pero que está cobrando especial relevancia y atención, es el de la cadena de suministro. Es decir, el de aquellos riesgos que, no siendo propios o inherentes a la empresa como tal, sí pueden afectar a ésta pues son riesgos de un tercero en el que tiene alojados sus servicios o con el que colabora para algo en concreto, incluso socios, partners, etc.

• Insiders o amenazas internas que, como usuarios internos de los sistemas de la organización (ya sean empleados, proveedores, colaboradores o partners), de forma intencionada o no, pueden realizar acciones perjudiciales y dañinas a causa de su falta de conocimiento y formación, desidia, descuido, configuraciones incorrectas, cese de accesos, credenciales y permisos, uso y conexión de dispositivos externos a la red corporativa, etc.

• Los ataques directos a sus activos de información, tales como bases de datos (o elementos contenedores de información) de clientes, proveedores, socios, usuarios, colaboradores, o la propia de la organización (propiedad intelectual, patentes, legal, societaria, financiera, etc.), con información privada y confidencial, que pueden producir, además de fugas de información, importantes problemas a la empresa en términos económicos, de cumplimiento normativo, legales, y de imagen, reputación, marca y continuidad de negocio.

• El desarrollo no seguro de software y aplicaciones propias corporativas, que no cuentan con una filosofía de la ciberseguridad desde el diseño, incurriendo en bugs, brechas de seguridad y vulnerabilidades que pueden ser explotadas por terceros. Parta subsanarlo, se requiere un modelo de Ciclos de Desarrollo Seguro de Software (SSDLC).

• La falta de adecuación técnica para el debido cumplimiento normativo (falta de compliance) es otro factor a tener muy en cuenta. En este caso, el no cumplir con determinados estándares y marcos de ciberseguridad y legalidad definidos, con determinadas normas, reglamentos y leyes, puede acarrear serios problemas. Ya no por no cumplir y las sanciones o multas que esto puede conllevar, sino también por los agujeros de seguridad y la falta de protección de calidad que supondrá el no cumplir con ellos.

Entre todo este maremágnum de riesgos, amenazas y las probabilidades de sufrir un ciberincidente, subyacen aspectos (motivos), no siempre tecnológicos, que, si no es que los provoquen directamente, quizá si sean factores determinantes en muchas ocasiones y caldo de cultivo para que se materialicen. Algunos de ellos podrían ser:

• La falta de concienciación, formación y entrenamiento de los empleados.

• La evolución continua de la tecnología y la digitalización que requieren una actualización constante y cuasi inmediata. Y, del mismo modo, la evolución (a la zaga) de las nuevas legislaciones, reglamentos y normativas que vienen a tratar de regularla y “poner cierto orden de conducta”, con una visión lo más holística posible, en multitud de países con características comunes o no.

• La capacidad económica, financiera, de inversión y recursos dentro de la organización. Una organización puede tener cierto conocimiento y destreza para llevar a cabo su propia estrategia de ciberseguridad, pero no es lo habitual. Si éste no es su core business o su área de TI no cuenta con esas capacidades, recursos o tiempo, lo normal y aconsejable es recurrir a expertos externos y a la adquisición de software, aplicaciones, herramientas y servicios de ciberseguridad.

Estos quizá sean los retos principales que deben cumplir las empresas para poder comenzar a adaptarse, protegerse convenientemente, prevenir y cumplir.

En un mundo donde la tecnología es omnipresente, la ciberseguridad se vuelve fundamental para la sostenibilidad y el crecimiento de cualquier empresa. Los riesgos y desafíos en este ámbito evolucionan constantemente, exigiendo un compromiso continuo con estrategias de ciberseguridad sólidas y una mentalidad proactiva para enfrentar estas amenazas de manera efectiva y eficiente.

¿Está tu empresa preparada y libre de ciber-amenazas y ciber-riesgos?

Quizá necesitéis la ayuda de servicios profesionales de ciberseguridad como los que ofrecemos en Zerolynx: Servicios de Ciberseguridad.

Si lo prefieres, contáctanos y hablamos.

Íñigo Ladrón Morales, Redactor de contenidos para Zerolynx.

Servicios de awareness en ciberseguridad, tan importantes como las herramientas de protección

Una buena estrategia y táctica de concienciación y entretenimiento en materia de seguridad, ciberseguridad y privacidad dentro de las empresas es casi tan importante, o más si cabe, que el contar con cientos de útiles y buenas herramientas de prevención y protección porque, al final, el eslabón más débil de la cadena es el factor humano (el 95% de los problemas de ciberseguridad puede atribuirse a un error humano, según el 𝙏𝙝𝙚 𝙂𝙡𝙤𝙗𝙖𝙡 𝙍𝙞𝙨𝙠 𝙍𝙚𝙥𝙤𝙧𝙩 2022 17𝙩𝙝 𝙀𝙙𝙞𝙩𝙞𝙤𝙣 del 𝗪𝗼𝗿𝗹𝗱 𝗘𝗰𝗼𝗻𝗼𝗺𝗶𝗰 𝗙𝗼𝗿𝘂𝗺).

Con el aumento constante de las ciberamenazas y la enorme dependencia de los seres humanos en los procesos y sistemas corporativos la concienciación y el entretenimiento en lo que a la ciberseguridad se refiere, es esencial a día de hoy para garantizar la protección de la información confidencial y la integridad de los sistemas.

Con este objetivo existen y se ofrecen por parte de las empresas de ciberseguridad un buen plantel de servicios, reactivos y proactivos, que permiten definir una estrategia efectiva de concienciación y entretenimiento en el entorno corporativo.

La seguridad no puede depender exclusivamente de sistemas, herramientas y tecnología avanzada de combate, defensa y respuesta. Los empleados de una organización son un eslabón crítico (y el más débil) en la cadena de seguridad y objeto, en la inmensa mayoría de los ciberincidentes de ataques dirigidos a personas.Por ahí es por donde consiguen entrar con mayor facilidad los ciberdelincuentes.

El conocimiento y el comportamiento de los empleados por tanto juega un papel fundamental en la prevención de ciberincidentes y ciberataques. Siendo así, la concienciación y el entretenimiento en ciberseguridad deben de ser una de las piedras angulares para mantener la integridad de los sistemas y la privacidad y confidencialidad de los datos empresariales.

Pero, ¿Qué es concienciar?, ¿Qué es la concienciación? Esta actividad consiste en educar a la plantilla de una organización en lo relativo a ciberamenazas, los procedimientos de seguridad y ciberseguridad y las mejores y buenas prácticas de tal modo que sean capaces de ser autónomos y tener criterio para proteger la información y los activos empresariales. En esa formación se deben tratar multitud de aspectos tales como la gestión de contraseñas, la identificación de phishing, el uso seguro de dispositivos, la protección de datos confidenciales, entre muchos otros.

Para abordar eficazmente la concienciación y el entrenamiento, muchas empresas confían en empresas proveedoras de servicios especializados de ciberseguridad. Éstas ofrecen una variedad de servicios reactivos y proactivos para ayudar a las organizaciones a fortalecer su postura de 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱. Este tipo de servicios pueden ser:

• Reactivos, que se basan en la formación focalizada en situaciones ya acaecidas, como incidentes que haya sufrido ya la organización.
• Proactivos, cuyo foco es la formación para la prevención que mitigue posibles riesgos y amenazas futuras.

Entre los servicios de concienciación reactivos,  podríamos identificar los siguientes:

• Respuesta a incidentes. Para identificar y mitigar ciberincidentes, investigando su origen y proporcionando recomendaciones para evitar futuros casos.

• Formación de respuesta a incidentes. Capacitación sobre cómo debe ser la detección y respuesta adecuada en caso de ocurrir un ciberincidente.

• Evaluación de vulnerabilidades. Para identificar puntos débiles en la organización y sugerir cómo remediarlos.

Entre los servicios de concienciación proactivos podríamos identificar los siguientes:

• Planificación de acciones y sesiones formativas. Con el objetivo de desarrollar planes concretos de concienciación, personalizados para cada organización.

• Programas de entretenimiento en el tratamiento de phishing y acciones de ingeniería social. Tratan de ser el campo de pruebas y entrenamiento para que los empleados sepan identificar correctamente un phishing, o una acción de "engaño" o intento de fraude basada en ingeniería social, sin caer (picar) en ellos. Así se evalúa y entrena la capacidad de los empleados para identificar correos electrónicos maliciosos y, en caso de recibirlos, saber cómo reaccionar correctamente.

• Documentación y material didáctico. Son los recursos materiales generales de estudio, consulta y aprendizaje.

• Cápsulas o píldoras de concienciación. Aunque generalmente van dirigidas al C-Level y al Área Ejecutiva/Directiva, también sirven para cualquier otra área y la plantilla en general. Su objetivo es la comprensión de la importancia de la ciberseguridad y el compromiso con las iniciativas de concienciación.

En todo este escenario de concienciación corporativa, por supuesto, es de vital importancia contar con una estrategia efectiva y adaptada para cada organización, donde las empresas deben mantener un sistema de calidad continuo basado en un modelo cíclico PDCA (Plan, Do, Check, Act):

• Evaluación de riesgos que permita la identificación de activos críticos, amenazas y vulnerabilidades que pueden afectan y pueden llegar a afectar a la organización.

• Definición de objetivos claros para la empresa en materia de concienciación y entrenamiento en ciberseguridad.

• Planificación y diseño mediante el desarrollo de un plan de concienciación con servicios reactivos y proactivos, el establecimiento de hitos y tareas concretas como las preparación de documentación, acciones formativas y otro tipo de actividades didácticas de concienciación y entrenamiento.

• Implementación y evaluación del plan tras ser ejecutado (o durante su ejecución) para medir su eficacia, identificar puntos de mejora y aplicar correcciones al mismo.

• Ajuste continuo que permita mejorar, de forma reiterada, el plan de concienciación en curso.

Sin embargo, las empresas se centran más en potentes y excelentes servicios de ciberseguridad y herramientas software y hardware de protección, sin detenerse en el aspecto fundamental: ¡las personas! 

Así, aun estando fabulosamente protegidos con la mejor "artillería", descuidan que sus empleados estén concienciados en materia de ciberseguridad. Es como si enviasen al frente de batalla a soldados armados con los mejores carros de combate, pero éstos no supiesen, ya no solo manejarlos, sino además, cuál es el enemigo y los peligros a los que se van a enfrentar en las trincheras, en la línea de defensa.

Por tanto, para proteger a la organización y sus activos, es muy conveniente concienciar, formar, capacitar y entrenar a los empleados, haciendo uso de servicios especializados de concienciación en materia de ciberseguridad, como los que ofrecemos en Zerolynx: 𝘼𝙬𝙖𝙧𝙚𝙣𝙚𝙨𝙨.

¿Quieres que te ayudemos a concienciar en ciberseguridad a tus empleados?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.