Defenderse de un ataque en línea se está convirtiendo en una tarea cada vez más onerosa y costosa para las empresas. Los expertos de Baker Tilly detallan cómo las organizaciones pueden defenderse mejor contra la implacable amenaza de los ciberataques.
Es una historia aparentemente inocente que se repite en empresas de todo el mundo cada día: un empleado recibe un correo electrónico que cree que procede de su jefe y actúa siguiendo las instrucciones que contiene.
Esas instrucciones pueden ser tan sencillas como hacer clic en un enlace o responder al correo electrónico, y a menudo solicitan tareas típicas que los empleados pueden llevar a cabo en su trabajo.
Pero al seguir esas instrucciones, ese empleado ha abierto, sin saberlo, la puerta a un ciberataque.
Y podría ser extremadamente costoso.
Solo en Estados Unidos, la Oficina Federal de Investigación informó de que las pérdidas ocasionadas por las ciberestafas, incluidas la extorsión, el robo de identidad y las violaciones de datos, ascendieron a 6.900 millones de dólares en 2021, lo que supone un aumento del 64% respecto al año anterior.
Para las organizaciones individuales, el coste de una violación de datos es de una media de 5,4 millones de dólares, según una investigación de los especialistas en ciberseguridad Imperva.
Al mismo tiempo, el ritmo de los ataques ha aumentado continuamente.
Una investigación de Check Point demostró que, a finales del año pasado, los intentos de ciberataque a empresas de todo el mundo ascendían a 925 por semana, lo que supone un aumento del 50% respecto a 2020..
Robert Rudloff, experto en ciberseguridad con sede en Denver y socio de RubinBrown, que forma parte de la Red Internacional de Baker Tilly, afirma que todas las empresas son vulnerables, independientemente del sector en el que operen o del tamaño de su organización.
“La ciberseguridad tiene que ser una prioridad para cualquier empresa, porque no se quiere ser un blanco fácil”, dice Rudloff.
“Tienes que asegurarte de que no eres el objetivo más fácil, o la fruta que cuelga de la rama más baja, por así decirlo”.
“Hay muchos objetivos fáciles ahí fuera, así que si tienes la seguridad adecuada, la mayoría de los ciberdelincuentes rebotarán y se irán a un objetivo más fácil en lugar de esforzarse mucho”.
Los ciberataques han aumentado rápidamente hasta alcanzar máximos históricos, intensificándose especialmente tras la invasión rusa de Ucrania en febrero.
Con muchos distraídos por la escalada del conflicto, los ejecutivos de ciberseguridad, entre ellos el CEO de Crowdstrike, George Kurtz, dijeron que los hackers estaban aprovechando la situación, lanzando una gama más amplia de ataques, muchos de los cuales han tenido éxito.
Atrapados en el phishing
Aunque las amenazas de los piratas informáticos para las empresas son múltiples, la forma más fácil de entrar es el correo electrónico.
En 2021, el FBI recibió cerca de 20.000 quejas de empresas estadounidenses sobre estafas por correo electrónico, y estas organizaciones afirmaron haber perdido colectivamente algo menos de 2.400 millones de dólares.
Conocidos como “phishing”, los ataques por correo electrónico suelen consistir en el envío de correos electrónicos que simulan proceder de empresas o individuos de buena reputación, diseñados para recuperar información valiosa, como credenciales de acceso o datos de tarjetas de crédito.
Pero aunque cada vez más empresas son conscientes de sus vulnerabilidades, el problema para los empresarios es que los métodos de los hackers son cada vez más creíbles y complejos.
Jeff Krull, que dirige los servicios de ciberseguridad de Baker Tilly en EE.UU., afirma que los ataques por correo electrónico han avanzado mucho desde los casi cómicos correos electrónicos de “príncipes africanos” que buscaban un benefactor para recibir millones de dólares, tan frecuentes a finales de los años 90 y principios de los 2000.
“Los delincuentes han ganado mucho dinero en los últimos dos o tres años”, afirma Krull.
“Tuvieron éxito en muchos de los esquemas de fraude por transferencia bancaria y ataques de ransomware que lanzaron, por lo que están bien financiados.
Y unos delincuentes bien financiados significan que se están volviendo más sofisticados, y los deberes antes de los ataques han aumentado hasta el punto de que pueden tomarse su tiempo para hacerlos de verdad un poco más específicos”.
“Hace unos 15 años, el enfoque era más tosco.
“Ahora el enfoque es ‘hay una empresa que quiero atacar, creo que tiene dinero en efectivo o tal vez tiene debilidades de seguridad, o tal vez tiene una IP que podría secuestrar.
“Están jugando un poco más al largo plazo y haciendo una investigación interna para estar mejor informados cuando envían un ataque”.
Krull afirma que parte de ese juego a largo plazo consiste en que personas sin escrúpulos rastreen los sitios de las redes sociales, especialmente LinkedIn, en busca de información sobre las empresas o los empleados para que parezcan creíbles.
El objetivo final, dice, es entrar en la red de una organización.
“Una vez que se consigue entrar en la red, es cuando pueden empezar a buscar”, dice Krull.
“Ahora que están dentro de la red, pueden mirar todo lo que está conectado a la red para intentar aprovecharse.
“Lo que se ve cada vez más es que entrarán en una red y filtrarán todo lo que puedan, robarán tus datos y luego irán a bloquearlos.
“Entonces pedirán un rescate, normalmente en alguna forma de criptomoneda, e incluso si tienes buenas copias de seguridad y puedes restaurar tus datos, te amenazarán con empezar a filtrarlos en la dark web a menos que pagues”.
El Sr. Rudloff, de RubinBrown, afirma que los piratas informáticos también son cada vez más conscientes de las oportunidades disponibles al centrarse en grupos industriales o empleados específicos.
La investigación de Check Point reveló que el sector de la educación e investigación fue el más atacado en 2021, con una media de 1.605 ataques por organización cada semana. Le siguen el sector gubernamental/militar, con 1.136 ataques semanales, y el sector de las comunicaciones, con 1.070 ataques semanales.
Krull afirma que los hackers también adaptan los ciberataques según el tipo de industria.
“Los objetivos del ransomware tienden a dirigirse a la industria de la salud más a menudo que a cualquier otra, porque en el sistema de salud, si sus ordenadores no funcionan, la gente podría morir, por lo que es mucho más probable que esa industria pague el rescate rápidamente”, dice el Sr. Rudloff.
“Un caso similar es el de las infraestructuras críticas: si los hackers van a por las infraestructuras es mucho más probable que se pague el rescate”.
Repensando la gestión de riesgos
Parte de la razón por la que los ciberataques siguen aumentando es que muchas organizaciones no los consideran uno de sus principales riesgos.
Un estudio reciente de la agencia de listados de servicios empresariales UpCity mostró que sólo la mitad de las pequeñas empresas encuestadas tenía un plan de ciberseguridad, y aunque el 30% dice que tiene previsto iniciar uno, el 20% sigue siendo vulnerable a los ataques.
El estudio también mostró que sólo el 42% de los encuestados había revisado sus planes de ciberseguridad desde el inicio de la pandemia, mientras que el cambio a dispositivos propiedad de los empleados creó más puntos de entrada en la infraestructura de red de una organización.
Pamela Machuca, Encargada de Auditoría Informática en Baker Tilly Chile indica que a medida que el mundo digital crece y se expande con las nuevas integraciones de dispositivos y redes, por lo que cada punto final de conexión a la red representa un factor de riesgo para la seguridad.
Tanto en el sector público como en el privado, los infiltrados buscan acceder a información sensible o provocar un caos financiero a personas y empresas a cambio de un beneficio económico Es por esta razón que las empresas deben considerar como un ítem importante dentro de sus procesos la gestión de la seguridad de la información y ciberseguridad. La Sra. Machuca dice que “que les permite proteger la productividad del negocio, inspira confianza a los clientes, puesto que tener una buena política de ciberseguridad es un claro signo de que sus datos estarán resguardados y operados de manera segura, evade posibles demandas legales a causa de tener filtración o perdida de confidencialidad de información clasificada.”
Según ella, “las medidas de mitigación de riesgos en materias de seguridad de la información, no deben ser consideradas como una inversión exagerada o dejarlo como poco prioritario, ya que una inversión en seguridad de la inversión puede disminuir gastos futuros ante la materialización de riesgos de ciberseguridad que puedan afectar la integridad, disponibilidad y confidencialidad de la información de las empresas y de sus clientes.”
El Sr. Krull afirma que gran parte de la complacencia se debe a que la mayoría de las organizaciones cuentan con un seguro contra ciberataques, por lo que consideran que el riesgo financiero es bajo.
Pero con el aumento de la prevalencia de los ataques exitosos y el subsiguiente aluvión de denuncias, el Sr. Krull dice que las aseguradoras de ciberseguridad están empezando a hacer más due diligence y están aumentando los costes de la cobertura.
“El seguro cibernético es cada vez más caro en muchos casos”, afirma Krull.
Estamos escuchando que algunas organizaciones pueden tener dificultades para conseguirlo debido al perfil de riesgo con los suscriptores y las aseguradoras siguen retrasando la suspensión para que las organizaciones se queden con más riesgo”.
“Una empresa puede tener una póliza de 5 millones de dólares, pero la aseguradora le dejará a cargo del primer millón.
“Con todo esto, creo que en los próximos años habrá un replanteamiento de la gestión del riesgo.
Las organizaciones empezarán a decir “si tengo que asumir más riesgos, quizá tenga que hacer más para protegerme”.
“Y, sinceramente, casi todas las organizaciones podrían hacer más: muy pocas tienen todos los controles que deberían tener, y en muchas organizaciones hay personas que saben que no están haciendo todo lo que deberían”.
Tal vez resulte sorprendente que el coste no sea el mayor obstáculo para establecer protecciones adecuadas contra los ciberataques.
Krull afirma que, en cambio, a menudo existen barreras culturales dentro de las organizaciones, así como una falta de voluntad para dedicar el tiempo y el esfuerzo necesarios para establecer las protecciones.
“Muchas organizaciones utilizan aplicaciones que no cuentan con autenticación multifactor y no tienen procesos bien reforzados sobre cómo aprovisionar y desproveer a las personas, y cuando sacamos a relucir estas cosas, todo el mundo está de acuerdo en que deben incorporarse”, afirma.
“Pero, de repente, el departamento de recursos humanos dice que quiere controlar la aplicación, por lo que se produce una batalla cultural en torno a ella.
“No tiene nada que ver con que nadie discuta cuál es la respuesta correcta, desde el punto de vista de la seguridad.
“La gente de seguridad te dirá que normalmente pueden pulsar un interruptor y activar la autenticación multifactor.
“Pero cuando el usuario final dice ‘no, no podemos hacer nuestro trabajo si lo haces’, o ‘tenemos que pasar por todo un proceso de gestión de cambios para hacerlo’, es cuando hay un problema”.
La primera línea de defensa
Con el telón de fondo de los incesantes ataques, puede ser fácil asumir que no se puede hacer nada para evitar que los ciberdelincuentes accedan a una organización.
Afortunadamente, según el Sr. Rudloff, hay varias estrategias que las empresas pueden poner en práctica para mitigar el riesgo de ciberdelincuencia.
“Hay tres aspectos principales en los que intentamos que los clientes se centren”, dice.
“Una es la higiene de la seguridad, que consiste en asegurarse de que la infraestructura de TI, especialmente la que está orientada a Internet, se mantiene al día, o al menos está cerca de estarlo.
“La segunda es la formación en materia de seguridad, cuyo objetivo es asegurarse de que si los empleados reciben un correo electrónico diciendo que el jefe quiere que compren tarjetas de regalo o que hagan clic en un enlace, se muestren al menos un poco escépticos y no hagan clic en lo primero.
“La tercera área es asegurarse de que los proveedores de servicios y los suministradores están haciendo algo para proteger su seguridad.
“Dependiendo de cómo esté constituida una organización, del trabajo que realice y del tipo de sector al que pertenezca, la evaluación de los riesgos depende de dónde se dedique el tiempo y la energía.
“Si eres consciente de que un proveedor que te presta un servicio ha tenido un problema, ya sea un ataque o una filtración de datos u otro tipo de ataque, puedes ser más consciente y desconfiar de los ataques que te lleguen.
“Si no eres consciente, es más difícil estar preparado”.
Una estrategia de mitigación de riesgos cada vez más importante, según Rudloff, es adelantarse a las amenazas.
Esto comienza con una evaluación periódica de los riesgos, que, según él, ayuda a las organizaciones a determinar dónde debe centrarse su ciberseguridad.
“Depende del sector y del tipo de organización que sea, pero para la mayoría de las organizaciones hay que disponer de una buena información sobre las amenazas y ser sincero con uno mismo sobre el riesgo”, afirma Rudloff.
Otro elemento crucial para hacer frente a los ciberataques es asegurarse de que los empleados sean capaces de identificar cuándo un correo electrónico que les han enviado puede no ser legítimo.
“Antes era director de seguridad de la información, y siempre prefería que alguien me llamara y me dijera que había recibido un correo electrónico o que había hecho clic en algo, porque eso te ayuda en el proceso y ayuda a la organización en el proceso, en lugar de descubrir una semana o dos después que alguien hizo clic en algo y no nos lo dijo y ahora hay una infección que hay que limpiar”, dice Rudloff.
“Parte de la cultura organizativa consiste en hacer que esté bien decir ‘oye, he hecho clic en algo que no debía’.
“La otra parte consiste en educar a la gente para que sepa que hay ataques. La educación no tiene por qué ser dura o aburrida: siempre recomendamos que sea lo más lúdico que se pueda”.