Datos importantes en el Día Internacional de la Seguridad de la Información

Array

Publicado el 30 Nov 2021

Dia Internacional de la Seguridad de la Información

“Tenemos que ser conscientes de que aspectos como nuestra información personal o la de la empresa en la que trabajamos están dispuestos a ser robados y utilizados por la ciberdelincuencia para actos cibernéticos peligrosos”, afirma Rafael Rosell, socio-director de S2 Grupo, una empresa española de servicios de ciberseguridad, a propósito del Día Internacional de la Seguridad de la Información, que se celebra el 30 de noviembre cada año.

La firma española elaboró un estudio en el que enfatiza sobre la importancia de saber que el espacio digital no siempre es seguro y que a través de ciberataques, el mercado negro o el ransomware se incrementa el número de amenazas en línea a las que nos exponemos.

“Los grandes peligros que encontramos en la red son de diferente rango, pero hemos de tener en cuenta que, incluso, se podría matar por Internet. No nos referimos a personas, obviamente. Sin embargo, si pensamos en la industria 4.0, en concreto en una ganadería domotizada, y pensamos en la opción de que sufriera un ciberataque que manipulara la dispensación alimentación y agua del ganado, por ejemplo, veríamos que entonces ese ganado podría morir”, asegura Enrique Fenollosa, gerente general del grupo para América Latina.

Pero la tarea no es nada fácil, sobre todo en un contexto en el que los usuarios no se caracterizan por estar bien informados, a pesar de las continuas campañas de las empresas y los medios para alertar sobre los riesgos de la seguridad en línea. Una encuesta realizada por Kaspersky muestra que, cuando se les preguntó sobre los significados de los términos malware, phishing y ransomware, el 77 % de los usuarios colombianos dijo que conoce los virus, pero el 47 % y el 71 %, respectivamente, no sabe qué son los mensajes maliciosos ni los programas que bloquean o cifran datos y exigen un rescate de sus víctimas.

Para los expertos de Kaspersky, no conocer estos riesgos deja a las personas más expuestas a este tipo de amenazas. Además, cuando se les preguntó cuál de estas estafas es la más peligrosa, alrededor del 31 % de los encuestados en el país no sabía qué responder.

Así como las personas toman precauciones para salir a la calle a pesar de la inseguridad, mitigar los problemas de seguridad digitales no se resuelve dejando de usar la tecnología, que sería el equivalente a dejar de salir a la calle. Lo importante es conocer los riesgos y tomar las medidas necesarias, tanto en el entorno personal como en el empresarial. Hoy destacamos algunos hallazgos y recomendaciones de empresas especialistas en seguridad informática, para que las tengan en cuenta.

Los mayores peligros que se encuentran en el mundo digital (S2 Grupo)

  • Ciberataques producidos por equipos multidisciplinarios: Sus integrantes tienen conocimientos IT y del funcionamiento del sistema industrial que les permiten acceder a él e identificar qué parte del proceso es crítica y delicada para sabotearlo y producir graves daños.
  • Organizaciones dentro del mercado negro: Grupos que crean herramientas para cometer las acciones delictivas, como campañas de fraude. Cuentan con personas que tienen diferentes responsabilidades, como el robo de credenciales y tarjetas bancarias. 
  • Ransomware: Una modalidad de secuestro de la información quen la que, en ocasiones, ni pagando el rescate se puede recuperar el acceso. La recomendación de las autoridades es no pagar el rescate que se pide, como una medida para evitar la propagación del ransomware y la del chantaje asociado.

Principales riesgos digitales que pueden amenazar a los negocios (Axur)

  • Malware y Ransomware: Los consumidores descargan apps de las tiendas o comparan precios en busca de las mejores ofertas, y los ciberdelincuentes pueden aprovecharse de ello. Los ciberdelincuentes pueden dirigir sus ataques a las empresas, a menudo utilizando falsas ofertas para atraer a los empleados y hacer que instalen un archivo o accedan a un enlace como puerta de entrada a las estafas.
  • Fuga de datos: Con el alto volumen de transmisión de datos, los ciberestafadores aumentan sus estrategias para robar, ya sea para extorsionar a las empresas, aplicar estafas de ingeniería social o monetizar en la dark web vendiendo información.
  • Perfiles falsos: En el último semestre, Axur identificó un aumento de perfiles falsos que utilizan la reputación de grandes marcas para engañar a la gente, además de un mayor número de seguidores de perfiles fraudulentos en redes sociales y sistemas de mensajería como Whatsapp, que utilizan marcas sin permiso. También se están detectando y desmontando cada vez más perfiles falsos que prometen sorteos, promociones, condiciones increíbles e incluso un soporte (falso) a los clientes.
  • Phishing: Los ciberdelincuentes utilizan anuncios, correos electrónicos y perfiles falsos para infectar dispositivos y robar datos corporativos. El daño no se limita a los consumidores engañados, sino que la amenaza puede convertirse en Spear Phishing y ser un vector para el robo de credenciales corporativas y estafas digitales. Esto lleva a la pérdida de reputación de la marca, conlleva riesgos operativos y de protección de datos, además de procedimientos legales por parte de clientes perjudicados, pérdidas financieras y pérdida de confianza en la marca.
  • Estafa digital: Ocurre cuando se vende un producto pero no se entrega. Se trata de perfiles o sitios web falsos que dañan la reputación de la marca, por lo que las empresas deben estar atentas a los sitios web falsos, a los dominios similares y a los perfiles falsos que utilizan la marca en la URL o en los contenidos, a la presencia del logotipo y a los términos relacionados con el producto y el servicio, entre otros factores capaces de llevar a los consumidores al fraude digital.
Imagen: Mikhail Nilov (Pexels).
  • Anuncios falsos: Este puede ser el delito más común, ya que busca dirigir a la víctima a un perfil falso, a una web de phishing o incluso convencer a alguien de que un producto falso es auténtico. Los anuncios falsos se abordan de forma muy similar a la suplantación de identidad y los perfiles falsos. Es necesario educar a los empleados para que no caigan en llamadas fantasiosas y promesas exageradas. La empresa debe invertir en vigilancia, para conocer los anuncios antes de que sus clientes sean engañados y sus ventas desviadas.

Tipos de vulnerabilidades comúnmente explotadas (Fluid Attacks)

  • Path traversal: Un componente de software puede ser hackeado si posibilita el acceso a archivos a los que se supone que no se puede acceder. Los atacantes pueden entonces saltarse los límites del software y obtener acceso a funcionalidades o información sensible.
  • Ejecución remota de código (RCE): Esta vulnerabilidad permite la ejecución remota de comandos en el dispositivo informático de otra persona u organización. Si un componente de software posee este tipo de vulnerabilidad, un atacante interno o externo puede desencadenar acciones inesperadas en los sistemas.
  • Elevación de privilegios: Por lo general, una configuración errónea permite a los usuarios asignarse, de alguna manera, derechos que no deberían tener. Por ejemplo, un representante de ventas de una compañía podría aprovechar esta vulnerabilidad para dar más recursos o autorizaciones de los que debería en su función.

Tips para cuidar la seguridad de los Data Centers (Schneider Electric)

  • Soluciones eficaces en seguridad: Las empresas deben realizar un mantenimiento preventivo a los centros de datos, pues no solo se puede confiar en que al tener un centro de datos propio, en sitio, la seguridad está garantizada por la vigilancia de los accesos al lugar del almacenamiento de datos. Así mismo, es necesario que se garanticen los accesos remotos, ya que no es viable tener solo limitadores de FireWall si no se asegura que el riesgo se minimice en distintos espacios.
  • Red de seguridad integrada: En aras de establecer unos sistemas de seguridad efectivos, es necesario desarrollar una red de ciberseguridad soportada en 4 pilares: procesos, programas, herramientas y recursos. Igualmente, es necesario desarrollar unos nuevos marcos que permitan efectuar una migración de los sistemas a un entorno más holístico, entendiendo que es el eje que permitirá fortalecer los niveles de seguridad.
Imagen: Towfiqu Barbhuiya (Unplash).

Creencias erradas de la seguridad de la información (Impresistem)

  • Manejo adecuado de contraseñas: Las personas aseguran tener un uso adecuado de contraseñas, pero no lo es en la práctica. La realidad es que el cambio de las mismas se hace de vez en cuando, y en algunos casos utilizan la misma para todas sus cuentas: correo electrónico, redes sociales, correos corporativos, accesos a plataformas, entre otros, lo cual genera que la ventana hacia la vulnerabilidad de los datos sea cada vez más amplia.
  • Tener antivirus como única solución de seguridad: Tener un antivirus o un firewall no es la única solución segura para contrarrestar situaciones de riesgo de la información. Los antivirus no son infalibles, pueden ser infiltrados por correos maliciosos y crear ventanas emergentes de acceso.
  • Todos los ataques vienen de afuera: Las empresas y el usuario final tienden a suponer que los ataques siempre vienen de lugares externos. No necesariamente los ataques provienen de fuera de las organizaciones; por eso es necesario garantizar, mediante estrictos protocolos de contratación, que el personal que va a ingresar a la compañía no tenga la intención de apoderarse de datos sensibles. También se requiere asegurar que ninguna persona diferente a nosotros haga uso de los dispositivos donde tenemos ancladas cuentas personales.

Imagen principal: Cottonbro (Pexels).

¿Qué te ha parecido este artículo?

¡Síguenos en nuestras redes sociales!

I
Redacción Impacto TIC

Una de las disrupciones digitales en el periodismo es la visión colaborativa. Muchos de nuestros contenidos y procesos periodísticos y editoriales, como este, se cocinan y se desarrollan en equipo.

email Sígueme en

Artículos relacionados

Artículo 1 de 5