El delito cibernético puede afectar a sus clientes, a sus empleados y sus resultados. La primera línea de defensa es saber qué es real y qué no lo es.
Los ataques cibernéticos y las amenazas suelen aparecer en los titulares, no solo por el tamaño de los ataques, sino por el efecto masivo que pueden tener algunas violaciones. Cuando una conocida plataforma de transferencia de archivos estuvo en riesgo a principios de 2023, por ejemplo, expuso información de miles de organizaciones y de millones de personas de todo el mundo.
Veamos otro ejemplo: en septiembre de 2023, un ataque cibernético cortó la red de una cadena hotelera de Las Vegas. Las habitaciones del hotel, que dependían de tarjetas de acceso, quedaron inaccesibles. Los casinos se vaciaron. El ataque comenzó con llamadas fraudulentas al servicio de asistencia, durante las que los atacantes, por medio del phishing, robaron las credenciales de acceso al sistema de los empleados.
Los métodos de los criminales cibernéticos pueden ser de gran alcance y técnicamente complejos, o pueden concentrarse en engañar a un solo empleado. Los grandes ataques que aparecen en los titulares sirven de advertencia para compañías de todos los tamaños y de todos los sectores. ¿Cuál es la mejor forma de ocuparse de los riesgos y responsabilidades de seguridad cibernética de su negocio?
Un importante primer paso es disipar algunos de los mitos más persistentes sobre la seguridad en línea. Veamos cinco.
Mito n.º 1: los ciberdelincuentes solo apuntan a las grandes corporaciones
En realidad, existen muchas razones estratégicas para atacar empresas pequeñas. "Las pequeñas y medianas empresas pueden ser más susceptibles a los ataques cibernéticos porque no suelen contar con personal ni recursos dedicados a la seguridad cibernética", afirma Adam Perino, vicepresidente de Seguridad Cibernética de Regions. "Y como las grandes empresas invierten en controles de seguridad más extensos y sofisticados, es lógico que los malhechores recurran a organizaciones que aún no pueden invertir en protección de vanguardia".
Mantener oculta su organización tampoco la protegerá del delito cibernético. Los ciberdelincuentes suelen usar programas de software conocidos como bots para buscar, de manera automática, sistemas vulnerables en la web, independientemente del tamaño o tipo de empresa. Luego, los delincuentes revisan los sistemas y datos comprometidos para determinar cuánto podría pagar la víctima si la extorsionaran. Los datos pueden ocultarse o comercializarse en la llamada dark web, a la que solo pueden acceder determinados navegadores de Internet.
"Puede que los delincuentes no obtengan una recompensa multimillonaria, pero puede ser suficiente para justificar su esfuerzo", afirma Perino. "Y más que suficiente para parar un negocio".
Mito n.º 2: solo necesita proteger su red
Las pequeñas y medianas empresas dependen cada vez más de proveedores para compartir datos y servicios, y eso ha expuesto a las organizaciones a recibir a posibles amenazas cibernéticas.
Cada vez más empresas, por ejemplo, están trasladando sus operaciones a entornos basados en la nube que dependen de productos de software de terceros. Algunos les permiten a los empleados usar dispositivos personales para las actividades laborales. Para los delincuentes cibernéticos, estos cambios revelan nuevos caminos hacia las redes privadas.
Las vulnerabilidades de la cadena de suministro en el software de desarrollo empresarial pueden afectar a miles de clientes a escala mundial. "Su empresa no tendrá visibilidad de todas las puertas traseras del software que usa", afirma Perino. "Lo que sí puede hacer es mantenerse al día con las actualizaciones de software y asegurarse de utilizar solo las últimas versiones". ¿Por qué? Porque las empresas de software suelen añadir nuevas protecciones a las versiones más recientes.
La gestión de riesgos de terceros va ganando importancia a medida que las empresas intentan establecer estándares de operación que incluyan las prácticas recomendadas de seguridad cibernética. "El riesgo cibernético es solo una faceta de la gestión de riesgos de terceros, pero es esencial", afirma Perino. También recomienda hacer una evaluación detallada de las políticas de "traiga su propio dispositivo" y establecer controles sobre el uso del dispositivo que reflejen la tolerancia de riesgo de la empresa.
Mito n.º 3: las herramientas de seguridad por sí solas son suficientes para mantener alejados a los enemigos
Históricamente, las organizaciones dependían demasiado del software antivirus para proteger sus redes. Esa cambió ahora que los cortafuegos, las VPN, el cifrado y otras herramientas de seguridad se han vuelto comunes. Pero confiar únicamente en la tecnología para garantizar la seguridad cibernética sigue siendo un error.
Todas las organizaciones deberían considerar otros aspectos de la defensa cibernética para garantizar la efectividad de sus controles. Eso incluye personas, procesos, capacitación, corrección y capas de defensa.
El Instituto Nacional de Estándares y Tecnología publicó marcos de seguridad cibernética que brindan información sobre cómo las organizaciones deben entender y mejorar su gestión específica de los riesgos de seguridad cibernética.
Probar los controles de seguridad cibernética es en especial importante. "Hacer evaluaciones de rutina de la eficacia de sus controles de seguridad cibernética ayudará a garantizar que todos los aspectos de su postura de defensa estén alineados", afirma Perino. "Entonces, responder a las amenazas cibernéticas se convierte en una especie de memoria muscular".
Mito n.º 4: la autenticación multifactor es suficiente para la gestión de identidades
Si bien las contraseñas seguras y la autenticación multifactor fortalecerán su red y dificultarán el acceso no autorizado, un adversario decidido aún puede comprometer su red. Las tácticas de ingeniería social, como las usadas en los ataques a los complejos turísticos de Las Vegas, siguen siendo muy efectivas debido a la posibilidad de error humano.
A medida que la identidad se convierte en el nuevo perímetro de las organizaciones, todos los aspectos de la autenticación, la adición de dispositivos a su red y el restablecimiento de las credenciales de los empleados necesitarán un análisis adicional. "Establezca prácticas de prueba continuas para garantizar que su organización detecte y mitigue los ataques de ingeniería social en las cuentas de sus empleados de manera eficaz", dice Perino, y agrega que es posible que se necesiten controles automatizados y manuales para revisar y validar cualquier cambio en cuentas con privilegios especiales.
Mito n.º 5: la seguridad cibernética es responsabilidad exclusiva de TI
Todos los empleados y sus proveedores deben trabajar juntos para prevenir incidentes cibernéticos. Los descuidos y errores de rutina (por ejemplo, abrir un archivo adjunto de correo electrónico sospechoso, hacer clic en un enlace web que no es de confianza o responder a un mensaje de texto malicioso) son responsables de la gran mayoría de los ataques cibernéticos contra las empresas.
"Cada empleado cumple un papel en la seguridad cibernética", dice Perino, y agrega que las empresas deberían exigir capacitación obligatoria para que todos los empleados sepan identificar, evaluar y denunciar personas, correos electrónicos, mensajes de texto, llamadas y sitios web sospechosos. "No todo el mundo necesita formación técnica, pero todas las personas con acceso a su red necesitan formación en materia de concienciación sobre seguridad cibernética".
Establecer prácticas sugeridas por la industria
Muchas de las prácticas recomendadas de seguridad cibernética (como programar copias de seguridad periódicas de los datos para permitir una recuperación rápida en caso de ransomware) requerirán la aceptación de los líderes empresariales. Otra buena práctica es usar "acceso con privilegios mínimos", que proporciona acceso al sistema a los empleados según sus requisitos laborales. Con esto, la empresa limita la exposición. Al priorizar la preparación y la capacitación cibernética, los directivos pueden alinear estos objetivos con los resultados comerciales.
Tres cosas para hacer
- Aprenda a crear e implementar un plan de respuesta ante violaciones de datos.
- Considere en qué momento su empresa podría necesitar un abogado especialista en seguridad cibernética.
- Lea más sobre cómo proteger su empresa del fraude.