Cuando un director del FBI habla de los riesgos que corren los bufetes de abogados, todos los que trabajan en el sector lo escuchan. Según el exdirector del FBI Frank Mueller, existen dos tipos de bufetes de abogados: los que han sido víctimas de ataques informáticos y los que serán víctimas de ataques informáticos.
Una dura declaración contra quienes consideran la protección de los datos confidenciales de sus clientes como una prioridad absoluta. Aún más alarmante es que la cita de Mueller ya tiene ocho años y sigue siendo válida.
Según la encuesta de 2020 de la Asociación Estadounidense de Abogados, el 29 % de las empresas sufrieron una violación de seguridad (como un hacker, un robo, un exploit en un sitio web, etc.). Creemos que estas cifras son mucho más altas, ya que muchas empresas se ocultan y no informan de los incidentes cibernéticos. En la misma encuesta, el 21 % de las empresas que respondieron siguen informando que no saben si su empresa ha sufrido alguna vez una violación de seguridad. En muchos casos, no saberlo puede ser incluso peor. A menudo nos encontramos en situaciones en las que un atacante pasó meses dentro de una organización y pudo llevar a cabo ataques muy sofisticados y devastadores. Esta lamentable situación podría haberse mitigado con un enfoque más proactivo en materia de ciberseguridad. Atrás quedaron los días en que las empresas podían dormirse en los laureles y esperar lo mejor. Las estadísticas muestran un panorama sombrío que incluso subestima lo que a menudo vemos en el mercado.
¿Qué hacer? Empecemos por tomar conciencia.
Ser proactivo requiere un cambio de mentalidad que comienza con la conciencia del riesgo. En un artículo anterior, explicamos los diversos riesgos comerciales asociados con los ataques cibernéticos. En este artículo, compartimos algunas formas y tácticas que los atacantes pueden emplear para penetrar o dañar su organización. Ser consciente de las formas en que alguien podría poner en riesgo su sustento le permite considerar sus opciones y decidir qué mecanismos y procedimientos implementar.
Suplantación de identidad (phishing)
Un ataque de phishing es un ataque que se dirige a los usuarios a través de correo electrónico, mensajes de texto o mensajes directos (WhatsApp, mensajes de redes sociales, etc.). En esta situación, el atacante, enmascarado tras un contacto de confianza, aprovecha la noción preconcebida de confianza para extraer credenciales de inicio de sesión, información bancaria u otros tipos de datos confidenciales. En un intento de esquema de phishing, el atacante engaña al destinatario para que divulgue credenciales, haga clic en un enlace malicioso o abra un archivo adjunto que infecta el sistema del usuario con malware, troyano o vulnerabilidad de día cero. En un entorno corporativo, el phishing puede tener un efecto devastador al permitir a los atacantes penetrar las defensas de las organizaciones, lo que a menudo conduce a un ataque de ransomware, fuga de información privilegiada o manipulación financiera. Las estafas de phishing pueden adoptar varias formas; a continuación, se detallan las más comunes:
Suplantación de identidad (spear phishing)
A diferencia del phishing general, que se utiliza principalmente como correo no deseado para bombardear millones de cuentas, el phishing selectivo es una estafa dirigida específicamente contra un individuo dentro de una organización. En esta estafa, el atacante obtiene información sobre la persona o empresa y lleva a cabo un ataque muy específico.
Ballenero
Es la punta del iceberg de la estafa de phishing dirigida a directores ejecutivos o socios (“ballenas”). Los atacantes consideran que este vector es útil, ya que los directores ejecutivos tienen acceso inmediato a la información o al poder de ejecución para solicitar transferencias monetarias de alto valor.
Compromiso de correo electrónico empresarial (BEC)
Se puede considerar como una “caza de ballenas a la inversa”, en la que el atacante envía un correo electrónico a un empleado como si viniera del CXO o de un ejecutivo. El atacante aprovecha la urgencia de un correo electrónico autorizado para inducir a los empleados, proveedores o clientes a tomar medidas rápidas. Por lo general, la acción toma la forma de una transferencia de dinero. En casos más graves, el BEC también puede adoptar la forma de un hacker que se sienta en su servidor de correo y monitorea todo su tráfico de correo electrónico.
Clon
Uno de los intentos más comunes en los que los atacantes clonaban un correo electrónico “legítimo” (nombre de remitente y cuerpo de correo electrónico similares) e insertaban enlaces maliciosos para engañar al receptor para que ingresara información confidencial en una página web falsa replicada.
Programa espía
El spyware es un software malicioso que se infiltra en los dispositivos conectados para luego recopilar datos de uso de Internet e información confidencial. El spyware rastrea y recopila información para venderla a anunciantes, empresas de datos o redes delictivas externas. El spyware puede utilizarse en muchos casos, pero generalmente se utiliza para capturar información de tarjetas de crédito o cuentas bancarias, capturar credenciales de inicio de sesión y robar una identidad personal. Es otra herramienta en la caja de herramientas de un hacker.
El hombre en el medio
Ataque En este caso, se necesitan tres para bailar el tango: la víctima, la entidad con la que la víctima está tratando de comunicarse y el "hombre en el medio", que intercepta las comunicaciones de la víctima. En este tipo de ataque, el atacante explota un protocolo web débil y se inserta entre las dos partes que intentan comunicarse, sin que ambas lo sepan. Una vez insertado, el atacante puede interceptar credenciales y datos confidenciales. Una forma más agresiva generalmente manipula a la víctima para que divulgue información adicional e incluso puede adoptar una forma más proactiva de seguimiento por parte del atacante utilizando correos electrónicos, mensajes de texto y otros medios.
Amenaza interna
A diferencia de otros ataques, este tipo no es externo y se realiza desde dentro. Un trabajo interno, por así decirlo. La amenaza identificada aquí proviene de la acción de un empleado que pone en riesgo a la empresa mediante el robo de información, la interrupción de los procesos comerciales o el sabotaje. Pero no solo las acciones intencionales pueden poner en riesgo su práctica. Los empleados o proveedores negligentes con acceso a la información pueden causar daños considerables, así como errores de seguridad o fugas accidentales. En este ataque, el acceso era un hecho, pero la falta de controles y procesos en torno al acceso es la culpable. Los datos de los clientes, la propiedad intelectual, los datos financieros, los datos de los empleados y otras bases de datos son las joyas de la corona de las empresas que pueden ser explotadas por un empleado deshonesto o alguien que abuse de su acceso. La falta de capacitación y concienciación de los empleados, las estrategias de protección de datos insuficientes o ineficientes y un número cada vez mayor de dispositivos con acceso aumentan este riesgo.
Ransomware
El ransomware es un tipo específico de ataque que retiene sus datos (personales/corporativos) como rehenes a cambio de un rescate.
Este ataque, debemos señalar, es el resultado de un evento de violación continua instigado por uno de los mecanismos que hemos detallado anteriormente. El ransomware es altamente táctico y aprovecha el control total de los atacantes sobre sus datos. Los atacantes amenazan con corromper, cifrar, bloquear o publicar información a menos que la víctima acepte cumplir con las demandas del atacante. En la mayoría de los casos, las demandas son monetarias. Una vez pagado (generalmente en bitcoins), el atacante proporcionará una clave de descifrado para los archivos. Pagar el rescate proporcionará a las víctimas un acceso más rápido a sus datos, pero, paguen o no, las organizaciones vulneradas seguirán sufriendo las consecuencias de la vulneración durante meses e incluso años. Continuamente vemos que el sector de servicios profesionales (principalmente firmas legales y de contabilidad) es el objetivo de este tipo de ataques porque:
La dependencia de este sector de los datos es esencial.
Las características de los datos contienen información valiosa.
El sector está generalmente desprotegido, lo que hace que la ecuación riesgo/recompensa sea favorable para los atacantes. En muchos escenarios en los que se nos pide ayuda,
El ransomware fue el último paso del ataque. El atacante había entrado en la organización semanas o meses antes, se había tomado el tiempo de conocerla y sus activos y luego atacó tomando los datos como rehenes después de haberlos copiado fuera de línea.
Resumen
Proteger a las organizaciones contra las amenazas cibernéticas se vuelve cada vez más complejo a medida que las empresas se transforman y digitalizan, y muchas de ellas se ven obligadas a adaptarse a entornos fuera de la oficina donde faltaban controles de seguridad y soporte debido a la pandemia. A pesar de esto, la comprensión y el conocimiento básicos de las diversas metodologías de ataque reducen drásticamente algunas de las formas en que los atacantes obtienen acceso a las joyas de la corona. Ser proactivo en materia de ciberseguridad es imperativo. En nuestro próximo artículo, exploraremos cómo implementar procedimientos y herramientas básicos para aumentar su seguridad general y reducir el riesgo empresarial derivado de las amenazas cibernéticas.
________
¿Qué tan protegido está? Si no puede responder fácilmente a esta pregunta, es hora de evaluar su postura cibernética para proteger su negocio. No permita que años de trabajo duro desaparezcan de la noche a la mañana.
Comments