En la era digital actual, la ciberseguridad se ha vuelto cada vez más crítica tanto para las grandes corporaciones como para las pequeñas empresas, por igual. Hoy, “cada compañía se ha convertido en una compañía de tecnología.”
Este artículo describe los tipos de ciberdelincuentes, tácticas de cibercrimen y factores contribuyentes. También incluye soluciones tangibles que las empresas pueden usar para protegerse.
¿Qué es un cibercrimen?
En pocas palabras, un cibercrimen es un crimen con algún tipo de aspecto informático o cibernético. Puede tomar forma en una variedad de formatos y de individuos o grupos con diferentes factores de motivación.
Las amenazas cibernéticas son fundamentalmente riesgos asimétricos donde pequeños grupos de individuos pueden causar cantidades, desproporcionadamente grandes de daño.
Categorías de ciberdelincuentes
Grupos del crimen organizado con motivación financiera: La mayoría de estos grupos se encuentran en Europa del Este.
Los actores del estado nacional: Personas que trabajan directa o indirectamente para que su gobierno robe información delicada e interrumpa las capacidades de los enemigos. En general, son los atacantes cibernéticos más sofisticados, con 30% viniendo de China.
Grupos de activistas o “hacktivistas”: No suelen robar dinero. Están promocionando su religión, política o causa; quieren impactar reputaciones o impactar clientes.
Personas con información privilegiada: Estos son los empleados “desilusionados, chantajeados o incluso demasiado serviciales” que operan desde dentro de una compañía.
La edad promedio de un cibercriminal es 35 años y el 80% de los piratas informáticos criminales están afiliados con el crimen organizado. En resumen, las personas eligen esto como una profesión.
Tácticas cibercriminales
Denegación de servicio distribuido (DDoS)
Un ataque DDoS intenta interrumpir el servicio de una red. Los atacantes envían grandes volúmenes de datos o tráfico a través de la red hasta que se sobrecarga y deja de funcionar. El tráfico entrante que inunda a la víctima proviene de muchas fuentes diferentes, posiblemente cientos de miles. Esto hace imposible detener el ataque al bloquear una sola dirección IP y hace que sea difícil distinguir el tráfico legítimo del tráfico de ataque.
Suplantación de identidad
A menudo se presenta como una solicitud de datos de un tercero confiable, ataques de suplantación de identidad se envían por correo electrónico y piden a los usuarios que hagan clic en un enlace e ingresen sus datos personales.
Hay un par de factores relacionados. En primer lugar, los correos electrónicos de phishing se han vuelto sofisticados y con frecuencia se parecen a solicitudes legítimas de información.
Los correos electrónicos de phishing tienen seis veces más probabilidades de ser cliqueados que los correos electrónicos de marketing de consumo habitual.
En segundo lugar, la tecnología de phishing ahora le está dando licencia a los ciberdelincuentes, incluidos los servicios de phishing bajo demanda y kits de phishing listos para usar. De hecho, los correos electrónicos de phishing tienen seis veces más probabilidades de ser cliqueados que los correos electrónicos de marketing de consumo habitual.
Malware
Malware, abreviación de “software maligno,” está diseñado para obtener acceso o dañar una computadora. El malware es un término general para una serie de ciberamenazas que incluye trojanos, virus, y gusanos. A menudo se introduce en un sistema a través de archivos adjuntos de correo electrónico, descargas de software o vulnerabilidades del sistema operativo.
Mal uso del privilegio interno
Mientras que los infiltrados maliciosos que filtran información a WikiLeaks reciben toda la prensa y la gloria, un escenario más común es que un empleado promedio u oportunista o un consumidor toma datos confidenciales con la esperanza de cobrar por ellos (60% de las veces).
Revisores de tarjetas físicas
Estos ataques incluyen implantar fisicamente un activo que lee los datos de banda magnética de una tarjeta de pago (por ejemplo, cajeros automáticos, bombas de gasolina, terminales TPV). Es relativamente rápido y fácil llevar a cabo un ataque como este, con el potencial de un rendimiento relativamente alto—y también es un tipo de acción popular (8%).
Consecuencias y Costos de la Ciberseguridad
Costos a la empresa
Hace tres años, el Wall Street Journal estimaba que el costo del cibercrimen en los Estados Unidos era de 100 billones de dólares. Otros informes estimaron que la cifra era tanto como diez veces más alto que esto.
En 2017, el costo promedio de una violación de datos es de 7.35 millones de dólares, en comparación con 5.85 millones en 2014. Los costos incluyen todo desde detección, contención y recuperación ante la interrupción del negocio, la pérdida de ingresos y el daño al equipo.
Más allá de las preocupaciones monetarias, una brecha cibernética también puede arruinar elementos intangibles, como la reputación de una empresa o la buena voluntad de los clientes.
Curiosamente, las empresas con los niveles más altos de innovación empresarial a menudo tienen ataques más costosos. Una “innovación empresarial” podría ser cualquier cosa, desde una adquisición o desinversión hasta la entrada en un nuevo mercado geográfico. Se demostró que una adquisición o desinversión de una empresa aumenta el costo del delito cibernético un 20% mientras que el lanzamiento de una nueva aplicación significativa aumentó el costo un 18%.
Para las empresas de servicios financieros, los costos posteriores a una violación de la seguridad se pueden atribuir a la interrupción del negocio, la pérdida de información, la pérdida de ingresos y otros costos.
La ciberseguridad es pronunciada en la industria de servicios financieros
La desafortunada verdad es que, aunque ninguna industria es inmune, los problemas de ciberseguridad son particularmente pronunciados para los servicios financieros. De acuerdo con el Informe de Investigaciones de Violación de Datos de Verizon 2017, el 24% de las infracciones afectaron a las organizaciones financieras (la industria más importante), seguidas por la atención médica y el sector público.
En comparación, en 2012, la industria ocupó el tercer lugar después de las industrias de defensa y servicios públicos y energía. Más allá de la frecuencia, el costo para las empresas financieras es el más alto de todas las industrias, perdiendo un promedio de 16.5 millones en 2013.
En servicios financieros, el tipo más común de violación cibernética involucró ataques DDoS. Y, como para todos los ataques DDoS, la industria financiera fue golpeada con más fuerza.
¿Son pequeñas o grandes las empresas más vulnerables?
Aunque las noticias a menudo cubren los ataques a las corporaciones más grandes (Target, Yahoo, Home Depot, Sony), las pequeñas empresas no son inmunes. En los últimos 12 meses, los piratas informáticos han violado la mitad de todas las pequeñas empresas en los Estados Unidos, de acuerdo con el Informe sobre Ciberseguridad del Estado de SMB 2016.
En los últimos 12 meses, los piratas informáticos han violado la mitad de todas las pequeñas empresas en los Estados Unidos
Por un lado, algunos argumentan que las empresas más pequeñas pueden no ser capaces de recuperarse de un ciberataque**. Por otro lado, otros argumentan que las pequeñas empresas tienen una ventaja: “Una gran empresa es más vulnerable que una pequeña empresa: tienen grandes conjuntos de datos y cientos de personas tienen que tener acceso … si estás en el extremo más pequeño de la escala, ser inteligente con respecto a los procesos de negocio y comprender dónde podrían explotarse esos procesos comerciales es más fácil que para una gran organización,” declaró Richard Horne, socio en PricewaterhouseCoopers.
Desafíos de ciberseguridad
Factores que contribuyen al aumento en el cibercrimen
Ha surgido una camada “corporativa” de ciberdelincuentes
Los ciberdelincuentes están adoptando las mejores prácticas corporativas para aumentar la eficacia de sus ataques. Algunos de los delincuentes más emprendedores están vendiendo o licenciando herramientas de piratería para delincuentes menos sofisticados.
Por ejemplo, los delincuentes profesionales han estado vendiendo tecnología de día cero a los delincuentes en el mercado abierto, donde rápidamente se convierten en productos básicos. Las pandillas también ofrecen ransomware como servicio, el cual congela los archivos de la computadora hasta que la víctima cumple con las demandas monetarias, y luego toma una parte del dinero por proporcionar la licencia.
Ahora hay un ecosistema completo de recursos para que los ciberdelincuentes aprovechen. “Los grupos avanzados de ataque criminal ahora se hacen eco de los conjuntos de habilidades de los atacantes del estado-nación. Tienen amplios recursos y un personal técnico altamente capacitado que opera con tal eficiencia que mantienen un horario comercial normal e incluso toman los fines de semana y las vacaciones… incluso están viendo atacantes criminales de bajo nivel crear operaciones de call center para aumentar el impacto de sus estafas,” dijo Kevin Haley, director de Symantec.
Seguridad de los proveedores de terceros
Si un tercero es pirateado, su empresa corre el riesgo de perder datos de negocios o comprometer la información del empleado. Por ejemplo, la brecha de datos de Target en 2013 que comprometió 40 millones de cuentas de los clientes, fueron el resultado del robo de las credenciales de la red de un proveedor externo de calefacción y aire acondicionado. Un estudio de 2013 indicó que el 63% de las investigaciones de violación de datos de ese año estaban vinculadas a un componente de terceros.
Mayor uso de tecnologías móviles por parte de los clientes
Debido a un número creciente de objetivos en línea, la piratería se ha vuelto más fácil que nunca. En la banca de consumo, el uso de dispositivos móviles y aplicaciones se ha disparado.
De acuerdo a un estudio de 2014 de Bain & Company, el móvil es el canal bancario más utilizado en 13 de 22 países y comprende el 30% de todas las interacciones a nivel mundial. Además, los consumidores han adoptado sistemas de pago móvil.
Para los bancos que compiten con nuevas empresas de Fintech, la conveniencia del cliente seguirá siendo importante. Puede que tengan que analizar las posibles pérdidas por fraude con pérdidas derivadas de una experiencia de usuario más inconveniente. Algunas instituciones están utilizando la autenticación avanzada para enfrentar estos riesgos de seguridad adicionales, lo que permite a los clientes acceder a sus cuentas a través de voz y reconocimiento facial.
Proliferación de internet de las cosas (IoT)
El Internet de las Cosas (IoT) está dedicado a la idea de que una amplia gama de dispositivos, incluidos electrodomésticos, vehículos y edificios, se pueden interconectar. IoT gira en torno a la comunicación máquina a máquina; es móvil, virtual y ofrece conexiones instantáneas.
Actualmente hay más de mil millones de dispositivos de IoT en uso, se espera que el número sea más de 50 billones para el 2020. El problema es que muchos dispositivos inteligentes más baratos a menudo carecen de la infraestructura de seguridad adecuada. Cuando cada tecnología tiene un alto riesgo, el riesgo crece exponencialmente cuando se combina.
Conciencia de ciberseguridad vs. disposición para dirigirse
A pesar de los titulares sobre seguridad cibernética y sus amenazas, sigue habiendo una brecha entre la conciencia de las empresas y su disposición a abordarla. En el último año, los piratas informáticos han infringido la mitad de todas las pequeñas empresas de Estados Unidos. Una encuesta de 2017 de la empresa de ciberseguridad Manta indicó que una de cada tres pequeñas empresas no tiene las herramientas para protegerse.
Tácticamente hablando, las compañías de servicios financieros tienen mucho que mejorar en términos de detección y respuesta a los ataques. En 2013, 88% de los ataques iniciado contra las compañías de FS tienen éxito en menos de un día. Sin embargo, solo el 21% de estos se descubren en un día y en el período posterior al descubrimiento, solo el 40% de ellos se restauran en un plazo de un día.
Las soluciones de seguridad cibernética requieren un enfoque multifacético
No existe una solución “única para todos” en la ciberseguridad. Sin embargo, en general las soluciones deben incluir tecnología sofisticada y componentes más “humanos”, como la capacitación de los empleados y la priorización en la sala de juntas.
Inteligencia accionable contra amenazas
Inteligencia en tiempo real
La inteligencia en tiempo real es una poderosa herramienta para prevenir y contener ataques cibernéticos. Cuanto más tiempo lleve identificar un truco, más costosas sus consecuencias. Un estudio de 2013 por el Ponemon Institute reveló que los ejecutivos de TI creen que con menos de 10 minutos de notificación previa de una violación de seguridad, es tiempo suficiente para desactivar la amenaza. Con solo 60 segundos de notificación de un compromiso, los costos resultantes podrían ser reducidos al 40%.
Lamentablemente, en realidad, en promedio las empresas necesitan más de siete meses para descubrir un ataque malicioso.
De acuerdo con James Hatch, director de servicios cibernéticos en BAE Systems, “Detectar [un ataque cibernético] desde el principio es la clave… Podría ser la diferencia entre perder el 10% de sus [computadoras] y el 50%”. Lamentablemente, en realidad, en promedio las empresas necesitan más de siete meses para descubrir un ataque malicioso.
Acciones Complementarias
Las empresas pueden tomar varias medidas tácticas para protegerse. Éstas incluyen:
Promulgar una estrategia de defensa de varias capas. Asegúrate que cubra toda tu empresa, todos los puntos finales, dispositivos móviles, aplicaciones y datos. Donde sea posible, utiliza el cifrado y la autenticación de dos o tres factores para el acceso a la red y a los datos.
Realizar una evaluación de proveedor de terceros o crear acuerdos de nivel de servicio con terceros: Implementa una política de “privilegios mínimos” con respecto a quién y a qué otros pueden acceder. Acostúmbrate a revisar el uso de credenciales con terceros. Incluso podrías dar un paso más con un acuerdo de nivel de servicio (SLA), que contractualmente obliga a los terceros a cumplir con las políticas de seguridad de tu empresa. Tu SLA debe otorgarle a tu empresa el derecho de auditar el cumplimiento por parte de un tercero.
Datos de respaldo continuos. Esto puede ayudar a salvaguardar contra el ransomware, que congela los archivos de la computadora hasta que la víctima cumpla con las demandas monetarias. Una copia de seguridad de datos puede ser algo crítico si tus computadoras o servidores se bloquean porque no tendrías que pagar por el acceso a tus datos.
Parches con frecuencia. Un parche de software es una actualización de código en el software existente. A menudo son soluciones temporales entre lanzamientos completos de software. Un parche puede corregir un error de software, abordar una nueva vulnerabilidad de seguridad, solucionar problemas de estabilidad del software o instalar nuevos controladores.
Seguro anti-hacker
Una tendencia emergente es el seguro anti-hacker, o ciberseguro. Su alcance varía según los proveedores, pero generalmente protege contra las brechas y pérdidas de seguridad.
…se estima que el mercado general de ciberseguro será de 20 billones en 2025
Las aseguradoras generalmente limitan su capacidad a entre 5 y 100 millones de dólares por cliente. A partir de octubre de 2016, sólo 29% de los negocios de Estados Unidos había comprado un ciberseguro. Sin embargo, se estima que el mercado general de ciberseguro será de 20 billones en 2025, de 3,25 billones de dólares en la actualidad. Las aseguradoras son optimistas, estimando que las primas se triplicarán en los próximos años.
Para que una organización determine cuánto seguro cibernético necesita, debería medir su riesgo cibernético. Debe comprender cómo sus activos se ven afectados por un ciberataque y cómo priorizarlos.
Programas Bug Bounty
Otra idea nueva en la industria es algo llamado programa de bonificación de errores, donde una organización paga a los de afuera (“hackers amistosos”) para notificarlo de fallas de seguridad. Empresas que van de Google y Dropbox a AT&T y LinkedIn ya han adoptado esta práctica.
No olvides el componente humano
Un “problema IT” se convierte un problema de negocios estratégico: Para muchos CEO y CFO, hackear puede ser frustrante porque no entienden al enemigo. De acuerdo con Richard Anderson, presidente del Instituto de Administración de Riesgo, “Todavía hay mucha gente sentada a horcajadas sobre compañías más grandes que aún la consideran como algo que los geeks cuidan, en lugar de ser un asunto de negocios”. Sin embargo, como las estadísticas han demostrado que, esto no podría estar más alejado de la realidad.
Un informe de Deloitte sugiere crear un equipo dedicado de administración de amenazas cibernéticas y crear una “cultura consciente del riesgo cibernético”. También se recomienda que las organizaciones designen a un director de seguridad de la información (CISO).
Volver a lo básico: capacitación de empleados. Las infracciones de datos a menudo son el resultado de las debilidades psicológicas de los humanos. Por lo tanto, es fundamental educar a tus empleados sobre las señales de advertencia de violaciones de seguridad, prácticas seguras (tener cuidado al abrir archivos adjuntos de correo electrónico, dónde están navegando) y cómo responder a una posible adquisición.
** Aplicaciones de software de lista blanca.** La Aplicación lista blanca evitaría que las computadoras instalen software no aprobado. Esto permite a los administradores tener mucho más control.
Si tienes alguna duda o inquietud en temas de emprendimiento, creación de empresas, estructuración de modelos de negocio, dudas jurídicas relacionadas con negocios de tecnología o quieres una asesoría jurídica en temas de tecnología, ingresa a http://www.abogadotic.co, escríbenos al correo [email protected], o pregunta en nuestras redes sociales:
@NODAbogada @abogadotic.co Natalia Ospina
Artículo Escrito Por:MELISSA LIN – FINANCE BLOG EDITOR @ TOPTAL
Traducido Por: MARISELA ORDAZ
Editado Por: Grupo D&P SAS en colaboración y bajo autorización de TOPTAL
Artículo Original en: TOPTAL
Imagen: www.pixabay.com