El 71% de las empresas es atacada con gravedad al menos una vez al año, siendo dos los ciberataques significativos a los que de media deben enfrentarse.
Nadie duda de que se trata de un riesgo que puede dañar a cualquier tipo de empresa, pero ¿cuáles son los ciberataques más comunes en las organizaciones?, y no menos importante: ¿qué puede hacer una empresa para defenderse?
Ciberamenazas que debes conocer
El Instituto Nacional de Ciberseguridad ha identificado hasta doce Ciberamenazas en entornos empresariales, que ha reunido en una reciente publicación:
1. Fugas de información o datos
Cuando por un incidente en seguridad se pierde la confidencialidad de la información de la empresa.
El supuesto habitual es el ciberataque, pero en ocasiones también lo motiva un insider, un antiguo empleado descontento. Como tercera causa, puede ocurrir de forma involuntaria, por la pérdida de un teléfono con esta información, envíos de correos electrónicos, etc.
2. Ataque phishing
Su objetivo es robar información confidencial y credenciales de acceso. Para lograrlo, se suplanta la identidad de empresas y organizaciones reconocidas.
El ataque se produce generalmente a través del correo electrónico, aunque también puede ser a través de mensajes SMS, redes sociales, aplicaciones de mensajería instantánea o llamadas telefónicas.
3. Fraude del CEO
También conocido como spear phishing, este ataque se dirige contra una víctima en concreto, de la que previamente se ha recopilado información a través de la página web corporativa, redes sociales profesionales, etc. Esta información convierte el fraude en más creíble y, por tanto, en más peligroso.
El modo de actuación es el siguiente: el ciberdelincuente suplanta la identidad de un directivo para dirigirse a un subordinado de la empresa con capacidad para realizar transferencias de dinero.
En una comunicación por medio electrónico le pide un movimiento de dinero importante, que justifica por el cierre de una operación empresarial. El empleado, al pensar que la orden proviene de un superior, accede, pero además acostumbra a no hacer comentarios internos, porque su supuesto superior le ha pedido máxima confidencialidad.
4. Fraude de Recursos Humanos
En esta ocasión, el ciberdelincuente se hace pasar por un empleado de la empresa y solicita que el ingreso de su nómina se realice a un nuevo número de cuenta, por supuesto, controlado por el estafador.
5. Sextorsión
La víctima es informada por correo electrónico de que ha sido grabada en situación comprometida o que, tras «hackear» su teléfono, disponen de vídeos o conversaciones privadas. De no realizar un pago, normalmente en criptomonedas, esa información será distribuida a todos sus contactos. Para hacer más creíble su amenaza, sus comunicaciones pueden incluir información personal.
6. Ataques contra la web corporativa
El objetivo puede ser muy diferente, desde hacerse con información confidencial a dañar la imagen de la empresa.
En ocasiones, estos hackers vulneran la seguridad más como un entretenimiento o demostración de su conocimiento que con un fin económico, lo que les lleva, por ejemplo, a cambiar la apariencia de la web mostrando imágenes divertidas u obscenas.
Son habituales los ataques de denegación de servicio, lo que ocasiona que los usuarios no puedan comprar en un ecommerce o consultar una página. Y también son frecuentes los que utilizan la web «hackeada» como plataforma para cometer otros delitos.
Malas configuraciones web, contar con vulnerabilidades y no haberlas parcheado, o incluso los errores de diseño facilitan la actuación del delincuente. La enseñanza más evidente es que cualquier web de empresa debe contar con una política de seguridad adecuada.
7. Ransomware
Este malware o software malicioso impide acceder a la información del dispositivo, normalmente por haber sido cifrada. Es uno de los ataques más comunes y efectivos, ya que en ocasiones solo es posible recuperar la información previo pago del rescate que se solicita.
8. Fraude del falso soporte técnico
Un supuesto técnico de una conocida empresa informática avisa sobre errores detectados en los dispositivos de la compañía. Así comienza esta estafa, que puede comprometer la seguridad y privacidad de toda la organización o del dispositivo de un único empleado.
9. Campañas de correos electrónicos con malware
Un correo que aparenta ser una factura, un justificante de compra o cualquier otro señuelo pueden ser el inicio de una infección que se propaga por toda la organización.
El archivo malicioso puede ser un fichero adjunto al correo o un enlace web.
10. Ataques de denegación de servicio
Los ciberdelincuentes realizan muchas peticiones a la vez a un servidor determinado, hasta que logran inhabilitarlo. De este modo, se produce la «caída» de la página web o del ecommerce y los usuarios no pueden acceder hasta que la empresa logra desbloquearlos.
11. Ataques adware
Se muestran anuncios publicitarios a un usuario con el fin de generar ingresos a los ciberdelincuentes. Suelen llegar al dispositivo de la víctima a través de software gratuito o programas no legítimos.
Sin duda, es el ataque menos agresivo de los comentados, pero en ocasiones supone una gran molestia para el usuario, que no puede trabajar con normalidad.
12. Ataque de suplantación de proveedores
Como seguramente habrás adivinado, en esta ocasión la empresa recibe un correo de un proveedor al que el delincuente ha suplantado. El objetivo es conseguir que le hagan una transferencia bancaria que, por supuesto, nunca llegará al destino que se pensaba.
No se debe tomar a la ligera este peligro, ya que las técnicas de ingeniería social que utilizan estos estafadores son cada vez más sofisticadas. Estas operaciones pueden conllevar mucho trabajo previo para conocer el objetivo y resultar convincentes durante el ataque.
¿Cómo prevenir los ciberataques en una empresa?
La certificación en riesgos de ciberseguridad es una de las respuestas a esta pregunta. Y es que los números son realmente esclarecedores.
Frente al 77,65% de ataques sufridos por las empresas no certificadas, tan solo el 11,53% de las que cuentan de forma conjunta con la certificación ISO 27001 y la ISO 22301, lo sufrieron. Todos los datos figuran en el estudio El estado de la ciberseguridad en España, de Deloitte, realizado entre 60 grandes empresas.
La explicación que dan los expertos de Deloitte es que “normalmente estas certificaciones suelen exigir a las empresas un mínimo de seguridad que, a su vez, minimiza los ciberincidentes o su impacto”.
El empleo de recursos es la segunda de las medidas. En concreto estas empresas destinaron el 8,5% del presupuesto total de tecnologías de la información a seguridad, Los autores alertan de que las empresas que destinan menos del 3% sufren “una mayor cantidad de incidentes significativos”.
Como tercera medida destaca el empoderamiento del CISO (Chief Information Security Officer), como responsable de la seguridad de la información en la empresa. Una figura que sigue moviéndose con cierta indefinición en el organigrama y en la atribución de competencias.
Por ejemplo, se considera vital que asista al comité de seguridad, donde tan solo está representado en el 69% de las empresas.
Artículos relacionados:
Imagen de Tumisu en Pixabay.