Luchar en una guerra implacable: cómo las empresas pueden estar a salvo de un ciberataque

|In Publicaciones
|By Bakertilly

Defenderse de un ataque en línea se está convirtiendo en una tarea cada vez más onerosa y costosa para las empresas. Los expertos de Baker Tilly detallan cómo las organizaciones pueden defenderse mejor contra la amenaza implacable del ciberataque.

Es una historia aparentemente inocente que se desarrolla en empresas de todo el mundo todos los días: un empleado recibe un correo electrónico que cree que proviene de su gerente y actúa según las instrucciones que contiene.

Esas instrucciones pueden ser tan simples como hacer clic en un enlace o responder el correo electrónico y, a menudo, solicitan tareas típicas que los empleados pueden realizar mientras realizan sus trabajos.

Pero al seguir esas instrucciones, ese empleado, sin saberlo, ha abierto la puerta a un ciberataque.

Y podría ser extremadamente costoso.

Solo en los Estados Unidos, la Oficina Federal de Investigaciones informó que las pérdidas incurridas debido a estafas cibernéticas que incluyen extorsión, robo de identidad y violaciones de datos aumentaron a $6.9 mil millones de dólares en 2021, un aumento del 64 % con respecto al año anterior.

Para las organizaciones individuales, el costo de una violación de datos promedia alrededor de $5.4 millones de dólares, según una investigación de los especialistas en seguridad cibernética Imperva.

Al mismo tiempo, la tasa de ataque ha ido en constante aumento.

La investigación realizada por Check Point mostró que, a fines del año pasado, los intentos de ciberataques en empresas de todo el mundo ascendían a 925 por semana, un aumento del 50 % en comparación con 2020.

El experto en ciberseguridad con sede en Denver, Robert Rudloff, socio de RubinBrown, parte de Baker Tilly International Network, dice que todas las empresas son vulnerables, sin importar la industria en la que operen ni el tamaño de su organización.

“La ciberseguridad tiene que ser una alta prioridad para cualquier negocio, porque no quiere ser un blanco fácil”, dice Rudloff.

“Tienes que asegurarte de que no eres el objetivo más fácil, o la fruta madura, por así decirlo.

“Hay tantos objetivos fáciles por ahí, por lo que, si tiene la seguridad adecuada, la mayoría de los ciberdelincuentes rebotarán y se moverán a un objetivo más fácil en lugar de esforzarse mucho”.

Los ataques cibernéticos han aumentado rápidamente a máximos históricos, y aumentaron con especial fuerza después de la invasión rusa de Ucrania en febrero.

Con muchos distraídos por la escalada del conflicto, los ejecutivos de seguridad cibernética, incluido el director ejecutivo de Crowdstrike, George Kurtz, dijeron que los piratas informáticos se estaban aprovechando de la situación, lanzando una gama más amplia de ataques, muchos de los cuales han tenido éxito.

Si bien existen múltiples amenazas para los negocios por parte de los piratas informáticos, se ha demostrado que la forma más fácil de ingresar es el correo electrónico.

En 2021, el FBI recibió casi 20 000 quejas de empresas estadounidenses sobre estafas por correo electrónico, y esas organizaciones dijeron que, en conjunto, habían perdido poco menos de $2400 millones.

Conocidos como phishing, los ataques de correo electrónico generalmente consisten en el envío de correos electrónicos que pretenden ser de empresas o personas de renombre diseñados para recuperar información valiosa, como credenciales de inicio de sesión o detalles de tarjetas de crédito.

Pero incluso a medida que más empresas se dan cuenta de sus vulnerabilidades, el problema para los empleadores es que los métodos de los piratas informáticos se vuelven cada vez más creíbles y complejos.

Jeff Krull, quien dirige los servicios de seguridad cibernética de Baker Tilly en los EE. UU., dice que los ataques por correo electrónico han recorrido un largo camino desde los casi cómicos correos electrónicos de los ‘príncipes africanos’ que buscaban un benefactor para recibir millones de dólares que eran tan frecuentes a fines de la década de 1990 y principios años 2000.

“Los delincuentes han ganado mucho dinero en los últimos dos o tres años”, dice Krull.

“Tuvieron éxito en muchos de los esquemas de fraude de transferencias bancarias y ataques de ransomware que lanzaron, por lo que están bien financiados.

“Y los criminales bien financiados significan que se están volviendo más sofisticados, y la tarea antes de los ataques ha llegado al punto en que pueden tomarse su tiempo para hacerlo realmente un poco más específico.

“Hace alrededor de 15 años, era más un enfoque rudimentario.

“Ahora el enfoque es ‘hay una empresa a la que quiero apuntar, creo que tiene efectivo o tal vez tiene debilidades de seguridad, o tal vez tiene IP que podría robar’.

“Están jugando un poco más el juego largo y están investigando internamente para estar mejor informados cuando envían un ataque”.

Krull dice que parte de ese largo juego involucra a personas sin escrúpulos que rastrean sitios de redes sociales, particularmente LinkedIn, en busca de información sobre empresas o empleados para que parezcan creíbles.

El juego final, dice, es obtener una entrada a la red de una organización.

“Una vez que puede ingresar a la red, es cuando pueden comenzar a buscar”, dice Krull.

“Ahora que están dentro de la red, pueden mirar todo lo que está conectado a la red para probar y explotar.

“Lo que ves cada vez más es que entrarán en una red y exfiltrarán todo lo que puedan, robarán tus datos y luego bloquearán tus datos.

«Luego exigirán un rescate, generalmente en alguna forma de criptomoneda, e incluso si tiene buenas copias de seguridad y puede restaurar sus datos, amenazarán con comenzar a filtrarlos en la web oscura a menos que pague».

El Sr. Rudloff de RubinBrown dice que los piratas informáticos también son cada vez más conscientes de las oportunidades disponibles al concentrarse en grupos o empleados específicos de la industria.

La investigación de Check Point encontró que el sector de educación/investigación fue el más atacado en 2021, con un promedio de 1605 ataques por organización cada semana. Le siguió el sector gobierno/militar con 1.136 ataques/semana y la industria de las comunicaciones, con 1.070 ataques/semana.

 

Krull dice que los piratas informáticos también adaptarán los ataques cibernéticos según el tipo de industria.

“Los objetivos del ransomware tienden a centrarse en la atención médica con más frecuencia que en cualquier otro lugar, porque en el sistema de atención médica, si sus computadoras no funcionan, las personas podrían morir, por lo que es mucho más probable que la atención médica pague el rescate rápidamente”, dice Rudloff.

“Un caso similar es la infraestructura crítica: si los piratas informáticos persiguen la infraestructura, es mucho más probable que se pague el rescate”.

Parte de la razón por la que los ataques cibernéticos continúan aumentando es que muchas organizaciones no los consideran uno de sus principales riesgos.

Un estudio reciente realizado por la agencia de listados de servicios comerciales UpCity mostró que solo la mitad de las pequeñas empresas que encuestaron tenían un plan de seguridad cibernética implementado, y mientras el 30% dice que planea iniciar uno, el 20% sigue siendo vulnerable a un ataque.

El estudio también mostró que solo el 42 % de los encuestados había revisado sus planes de ciberseguridad desde el inicio de la pandemia, mientras que el cambio a dispositivos propiedad de los empleados creó más puntos de entrada a la infraestructura de red de una organización.

Krull dice que gran parte de la complacencia se debe al hecho de que la mayoría de las organizaciones cuentan con un seguro contra ataques cibernéticos, por lo que consideran que el riesgo financiero es bajo.

Pero con el aumento de la prevalencia de ataques exitosos y la subsiguiente avalancha de reclamos, Krull dice que las aseguradoras de seguridad cibernética están comenzando a hacer más diligencia debida y están aumentando los costos de cobertura.

“Los seguros cibernéticos se están volviendo mucho más caros en muchos casos”, dice Krull.

“Escuchamos que algunas organizaciones pueden tener dificultades incluso para obtenerlo debido al perfil de riesgo con los suscriptores y las aseguradoras siguen retrasando la retención, por lo que las organizaciones tienen que mantener una mayor parte del riesgo.

“Una empresa puede tener una póliza de $ 5 millones, pero la aseguradora ahora los dejará en el anzuelo por el primer $ 1 millón.

“Con todo lo que está sucediendo, creo que habrá un replanteamiento de la gestión de riesgos en los próximos años.

«Las organizaciones comenzarán a decir ‘si estoy en el anzuelo por una mayor parte del riesgo, tal vez deba hacer más para protegerme’.

Quizás sorprendentemente, el costo no es la mayor barrera para implementar las protecciones adecuadas contra los ataques cibernéticos.

“Y sinceramente, casi todas las organizaciones podrían hacer más: muy pocas organizaciones tienen todos los controles que deberían tener, y en muchas organizaciones hay personas que saben que no están haciendo todo lo que deberían hacer”.

Krull dice que, en cambio, a menudo existen barreras culturales dentro de las organizaciones, así como una falta de voluntad para tomarse el tiempo y el esfuerzo de implementar las protecciones.

“Muchas organizaciones usan aplicaciones que no tienen autenticación de múltiples factores y no tienen procesos bien consolidados sobre cómo pueden aprovisionar y desaprovisionar personas, y cuando mencionamos esas cosas, todos están de acuerdo en que deberían incorporarse. el redil”, dice.

“Pero luego, de repente, el departamento de recursos humanos dice que quiere controlar la aplicación, por lo que hay una batalla cultural a su alrededor.

“No tiene nada que ver con que nadie discuta cuál es la respuesta correcta, desde el punto de vista de la seguridad.

“La gente de seguridad le dirá que, por lo general, pueden accionar un interruptor y activar la autenticación de múltiples factores.

«Pero cuando el usuario final dice ‘no, no podemos hacer nuestro trabajo si haces eso’, o ‘tenemos que pasar por un proceso completo de gestión de cambios para hacerlo’, ahí es cuando hay un problema».

En el contexto de un ataque implacable, puede ser fácil suponer que no se puede hacer nada para evitar que los ciberdelincuentes obtengan acceso a una organización.

Afortunadamente, sin embargo, el Sr. Rudloff dice que existen varias estrategias que las empresas pueden implementar para mitigar el riesgo del delito cibernético.“Hay tres cosas principales en las que tratamos de hacer que los clientes se concentren”, dice.

“Uno es la higiene de la seguridad, que consiste en asegurarse de que la infraestructura de TI, especialmente la infraestructura orientada a Internet, se mantenga actualizada, o al menos esté cerca de estar actualizada.

“La segunda es la capacitación de concientización sobre seguridad, y tiene como objetivo asegurarse de que si sus empleados reciben un correo electrónico que dice que el jefe quiere que compren tarjetas de regalo o hagan clic en un enlace, estén al menos un poco escépticos y no lo hagan. haga clic en lo primero.

“La tercera área es asegurarse de que los proveedores de servicios y proveedores estén haciendo algo para proteger su seguridad.

“Dependiendo de cómo esté configurada una organización, qué trabajo están haciendo y en qué tipo de industria están, la evaluación de riesgos se reduce a dónde enfocan su tiempo y energía.

“Si sabe que un proveedor que le brinda un servicio ha tenido un problema, ya sea un ataque, una violación de datos u otro tipo de ataque, puede estar más atento y desconfiar de los ataques que se le presenten.

“Si no eres consciente, entonces es más difícil estar preparado”.

Una estrategia de mitigación de riesgos cada vez más importante, dice Rudloff, es adelantarse a las amenazas.

Eso comienza con una evaluación de riesgos regular, que dice que ayuda a las organizaciones a determinar dónde debe estar su enfoque de seguridad cibernética.

“Depende de su industria y del tipo de organización que sea, pero para la mayoría de las organizaciones debe tener una buena inteligencia de amenazas y ser honesto consigo mismo sobre el riesgo”, dice Rudloff.

Otro elemento crucial para abordar los ataques cibernéticos es garantizar que los empleados puedan identificar cuándo un correo electrónico que les han enviado puede no ser legítimo.

“Anteriormente, era director de seguridad de la información, y siempre prefería que alguien me llamara y me dijera que recibió un correo electrónico o hizo clic en algo porque eso lo ayuda a usted a través del proceso y ayuda a la organización a través del proceso, en lugar de encontrar una o dos semanas más tarde, alguien hizo clic en algo y no nos lo dijeron y ahora hay una infección que debe eliminarse”, dice el Sr. Rudloff.

“Parte de la cultura organizacional es hacer que esté bien decir ‘oye, hice clic en algo que no debería haber hecho’.

“La otra parte es educar a las personas para que sepan que se están produciendo ataques. La educación no tiene por qué ser difícil o aburrida; siempre recomendamos que la juegues tanto como puedas”.