- Por Luis Hernández, SOC Manager S21Sec.
Es importante saber que los ciberataques pueden tener diversas causas, aunque principalmente estas son económicas y políticas. Hoy en día, los ciberdelincuentes operan como organizaciones verdaderamente sofisticadas, con sus propios departamentos de desarrollo, recursos humanos, finanzas, etc, y enfocados principalmente en sus beneficios.
Como ejemplo de ciberataque, podemos mencionar el ransomware -un tipo de malware que se introduce en los equipos, cifra la información e impide el acceso a ella, exigiendo un rescate para devolverla-. En los últimos años, el ransomware se ha convertido en uno de los tipos de malware más utilizados por los atacantes con fines económicos. Este tipo de ataque puede realizarse a través de la web, por correo electrónico, mediante captura de credenciales, post-explotación de herramientas (en la que el hacker aprovecha vulnerabilidades para obtener acceso no autorizado) o combinaciones de malware.
Dependiendo del nivel de sofisticación del actor malicioso, los ciberataques pueden ser más o menos complejos y, en consecuencia, su detección es más o menos fácil. Es importante que las organizaciones conozcan sus «fronteras» y entidades, así como que apliquen una vigilancia eficaz en todos los niveles (Defense in Depth) para garantizar que los ciberataques se detectan correctamente y/o se eviten con eficacia.
¿Qué debe hacer mi empresa una vez se ha confirmado el ciberataque?
Cuando se sufre un ciberataque, los segundos valen oro, y saber con quién se puede contar y cómo se le puede ayudar a tomar decisiones sobre los siguientes pasos es fundamental para recuperar la información o cualquier actividad empresarial. El atacante suele permanecer dentro de la red entre 3 y 6 meses y, dependiendo del objetivo del ataque, este actor puede incluso permanecer años dentro de una red, con acceso no autorizado a herramientas e información confidencial. El tipo de respuesta a un incidente de ciberseguridad dependerá siempre de múltiples factores, por ejemplo, el tipo de ataque que se lleve a cabo, el impacto financiero, los recursos de que dispone la organización para la respuesta, entre otros. El plan de respuesta a incidentes, que a menudo es pasado por alto por las organizaciones, marca la diferencia entre «estar preparado para» y «reaccionar ante». Hoy en día se asume que un incidente de ciberseguridad es algo a lo que las organizaciones están sometidas, por lo que a menudo se juzga a las organizaciones no por si han sufrido un ciberataque, sino por cómo lo han afrontado. Por lo tanto, es esencial disponer de procedimientos debidamente documentados y de ejercicios periódicos que permitan a la empresa poner a prueba su resistencia y su capacidad de reacción ante un ciberataque.
¿Qué deben hacer los empleados en caso de ciberataque?
S21sec descubrió que el 36% de las empresas no están seguras de si sus empleados serían capaces de prevenir o detectar un ciberataque. Esto demuestra que cada vez es más importante invertir en la formación de los trabajadores, así como en las soluciones y herramientas adecuadas para cada caso. Por lo tanto, es esencial que las empresas se aseguren de que sus empleados son (cada vez más) responsables de la «ciberhigiene». Las organizaciones deben asegurarse de que los empleados son conscientes de las ciberamenazas más comunes y de que, cuando se identifican, existen los canales adecuados para que los equipos de seguridad intervengan.
A menudo se reclama un rescate a cambio de la información robada. ¿Hay que pagar?
En S21sec no recomendamos realizar ningún pago. Esto se debe a que esta transacción no garantiza el acceso a los datos, y podría acabar sufriendo nuevos ataques por parte de los mismos ciberdelincuentes. De hecho, al realizar el pago también estamos financiando el negocio de los hackers.
¿Cuál es el mejor consejo para reducir la probabilidad de ser atacado por un hacker o un grupo de ciberdelincuentes?
La mejor manera de reducir la probabilidad de sufrir un ataque es conocer la realidad a la que se enfrenta la organización. Cada negocio tiene sus propias particularidades y cada actor criminal sus propias motivaciones, por eso las organizaciones que mejor conocen la realidad de su negocio y cómo se ven afectadas en las distintas fases de la cadena de ataque son las que están mejor preparadas. Esta preparación es «visible» para algunos tipos de actores y suficiente para hacerles desistir de su objetivo, ya que existe una preferencia por los blancos fáciles. Por lo tanto, las organizaciones pueden prepararse en términos de concienciación de los usuarios, tecnología (software actualizado, protección de redes, supervisión de entidades), procesos (por ejemplo, modelo de comunicación entre diferentes equipos, incorporación de socios) y personas (equipo especializado en ciberseguridad), garantizando una reducción de su superficie de ataque y una mejora de su postura global de ciberseguridad.
Por último, la sensibilización también implica dar a conocer y recordar consejos básicos que marcan la diferencia, como:
- Piensa antes de hacer clic: nunca abras un archivo adjunto y no hagas clic en un enlace de remitentes que no conozcas.
- No te fíes de promociones, ofertas o sorteos: consulta siempre el sitio web oficial de la empresa.
- Comprueba la fuente: sobre todo si el correo te pide que confirmes información personal y/o financiera.
- Actualiza tus contraseñas y no las reutilices en tus redes sociales o sitios web potencialmente inseguros.
- Instala soluciones de seguridad en tus dispositivos y mantenlos actualizados.
- Ten cuidado con la información que publicas en las redes sociales: no compartas datos personales o imágenes que puedan comprometerte a ti o a tu organización.
Es importante destacar que en S21sec creemos que generar y mantener redes de confianza entre empresas, clientes, socios, operadores de telecomunicaciones y organismos oficiales es fundamental para el futuro.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
