¿Está tu pyme preparada para enfrentar un ataque digital?

La respuesta, seguramente, es no, aunque te cueste creerlo. Has instalado un antivirus en todos tus equipos de trabajo y mantienes el firewall activo; además, no compartes tus contraseñas con nadie ¿Qué podría pasar?

Una mañana cualquiera, tomas tu café y te preparas para empezar otra jornada de home office, pero al encender tu computador notas que algo no anda bien. Obedece ciertos comandos, pero por más que intentas acceder a tus informes no lo logras. Las planillas con los cálculos del proyecto para tu jefe tampoco abren, ni tu software de gestión o, siquiera, la carpeta de imágenes en donde guardaste las fotos del último asado familiar.

Entonces, una ventana emergente toma el centro de tu pantalla con un texto mal redactado que pide una cifra alarmante como rescate para liberar tus archivos encriptados. Que la mala ortografía no te confunda, el mensaje está claro: eres ahora una víctima del ransomware. 

Así, a pesar de tus cuidados, podrías estar en la mira de un delincuente digital. Durante el primer trimestre del 2022, las formas de ataque más recurrentes sucedieron por medio de malware y phishing, según un informe del CSIRT (Equipo de Respuesta ante Incidentes de Seguridad Informática) emitido en febrero.

A esto le precede un crecimiento de casi 25% en los ciberataques ocurridos en Latinoamérica durante el 2021, de acuerdo con un reporte de Kaspersky en el que señalan al factor humano como una de las causas de fallo en las barreras. Este porcentaje se tradujo en un promedio de 35 ataques por segundo y ubicó a Chile como uno de los países del mundo con más incidencia de phishing (11,90% de usuarios atacados).

Pero, ¿qué amenazas concretas acechan a tu empresa y qué está en riesgo?

Resulta más sencillo responder lo segundo que lo primero. Para empezar, toda la información sensible de tu organización podría verse afectada y con ello tu operatividad, reputación y capital.

Podrías ser víctima de secuestro de datos, robo de listas de clientes o usuarios, filtración de información de tarjetas de crédito de los clientes e información bancaria de tu empresa. También podrías sufrir robo de información operativa, podrían acceder a tu red de vigilancia o intervenir y controlar redes IOT y sistemas de producción, entre otras consecuencias posibles.

Se cree, especialmente hoy en día, que buena parte del costo de estos ataques se mide en reputación. Al menos así lo considera la firma de servicios profesionales KPMG Chile, organización que define una “Triple amenaza” para las empresas: las posibilidades de fraude (trabajo interno), el riesgo de incumplimiento (pérdida de reputación) y el aumento de ciberataques.

Factores influyentes

Con el teletrabajo, los ataques RDP (o Ataques a Escritorio Remoto) aumentaron un 78% su incidencia en las empresas de Latinoamérica. Sólo en Chile se registraron más de 1 millón de ataques de este tipo en 2021, orientados al robo de datos y la extorsión.

Hay que tener en cuenta que no se trata de una amenaza que enfrenten sólo las grandes compañías. Durante el mismo año, 50% de las pequeñas empresas experimentaron un ataque, hecho al que hay que sumar que el costo promedio de una violación de datos en las pymes es de US$149 mil (Informe Sectigo 2021).

Entonces, ¿de qué otras amenazas hablamos?

  • Más allá de las que afectan al RPD, entre las más comunes al sistema operativo de Microsoft se encuentra un troyano desarrollado para robar los activos de las empresas por medio del desvío de fondos.
  • El stalkerware, un software espía que se instala en dispositivos para monitorear la actividad del usuario, es otro recurrente.
  • Y el ransomware dirigido (controla el equipo, cifra los datos y pide rescate), creció casi 700% el año pasado en Latinoamérica, llegando a través de herramientas de movimiento lateral.

Para entender esto último, el ataque mediante movimiento lateral compromete al menos un equipo que está conectado a la red corporativa. Usa malware o phishing para extraer información o establecer un punto de entrada a la red. A partir de allí pueden moverse hacia el objetivo final, infectando otros equipos. Usualmente, busca credenciales de individuos clave para moverse de manera aparentemente legítima por medio de esa red.

DATOS DEL 2021
71% de los ataques cibernéticos están motivado por el robo de dinero.85% de las infracciones de seguridad son causadas por errores humanos.94% del phishing, llega por correo electrónico, el resto por redes sociales.Los ataques de ransomware ocurren cada 10 segundos.
Fuente: hacknoid.com

Primer paso hacia la protección: Asume que eres vulnerable

No se trata de una presunción pesimista, todas las organizaciones e individuos tienen costados vulnerables. Así que identificar cuáles son forma parte del proceso de prevención que completa la estructura de ciberseguridad.

Para empezar, conviene tener en cuenta factores de alta recurrencia, como algunos derivados de la hibridación de las formas de trabajo (parte telemático y parte presencial). Estadísticas indican que la migración al teletrabajo no se efectuó de manera segura en la mayoría de las empresas latinoamericanas, dejando las tecnologías necesarias para el home office sin protección.

El uso de software pirata también juega un papel vital en el aumento del índice de riesgo. Sucede en estaciones de trabajo (equipos de trabajadores o de la empresa) y en equipos industriales, impidiendo la actualización y, por ende, haciéndolos vulnerables a las amenazas más novedosas al no poder acceder a los parches de protección.

Sin embargo, entender estos hechos frecuentes es sólo el punto de partida que nos debe conducir a una evaluación profunda de nuestros dispositivos, procesos y personas.

¿Qué hacer para prevenir un ataque cibernético?

  1. Usa contraseñas seguras.
    • Estas deben tener mínimo 10 caracteres.
    • Incluye mayúsculas, minúsculas, números y símbolos. 
    • Utiliza doble factor de autenticación.
    • Usa una contraseña distinta para cada servicio.
    • Cambia las contraseñas frecuentemente.
    • Evita compartirlas o transferirlas.
    • No las anotes. Para recordarlas, usa nemotecnia o un gestor de contraseñas.
  2. Infórmate sobre el Phishing y protégete de la siguiente manera:
    • Verifica la fuente de tus correos entrantes.
    • No proporciones datos o claves a tu entidad financiera mediante correo electrónico.
    • En vez de hacer clic en enlaces incluidos en los correos electrónicos, escribe la dirección directamente en el navegador.
    • Mantén actualizado tu equipo y todas las aplicaciones. 
    • Ingresa tus datos personales solo en direcciones web seguras (iniciadas en “https”).
    • No proporciones información en ventanas emergentes o a través de chat.
  3. Pon en marcha acciones para proteger tu red de cámaras de seguridad, ya que pueden ser elementos de fácil vulneración al no cambiarles las contraseñas que vienes por defecto.
  4. Respalda diariamente tu información en servicios de almacenamiento en la nube.
  5. Informa y educa a los miembros de tu equipo (y a tu familia).

Auditar, el paso final para proteger tu Pyme

En esta fase, recordamos la evaluación profunda a la que hicimos referencia anteriormente. Se trata de generar auditorías periódicamente para conocer las vulnerabilidades de tus activos informáticos, públicos o privados.

Para identificar posibles brechas, recomiendan que estas auditorías sean cíclicas y frecuentes, especialmente en aquellas organizaciones de mayor tamaño.

Deben tener en cuenta, entre otras cosas, lo siguiente:

  • Análisis global de la situación actual.
  • Propuesta general de la seguridad perimetral.
  • Análisis de la red interna.
  • Evaluación de las comunicaciones y sus vulnerabilidades.
  • Evaluación de software y hardware y sus políticas de actualización.

Y si no tienes un equipo de TI, ¿qué puedes hacer?

Aquí entran en juego los prestadores de servicio del denominado hacking ético. La premisa considera poner en marcha acciones similares a las que ejecutarían los delincuentes para así descubrir los puntos vulnerables.

Jesús Cotrina, parte del equipo de Ciberseguridad de Makertools, explica que el ya mencionado hacking ético, pentesting, o test de intrusión, consiste en utilizar las mismas técnicas y herramientas de un atacante real, con la finalidad de mejorar el estado de seguridad de la organización y reducir el riesgo de un ataque.

“Nuestro equipo pone a prueba la mayoría de los controles de seguridad informática de la empresa en la cual se está haciendo la auditoría. Eso revela las brechas y nos permite identificar cómo un verdadero atacante podría obtener información sensible o tomar el control de los sistemas e información”.

Ten en cuenta que algunas empresas gastan fortunas en ciberseguridad, pero esa inversión no sirve de nada si las barreras no se ponen a prueba de forma constante. Entonces, ¿qué tan preparada está tu empresa?