Introducción

Los eventos del 2020 obligaron a una parte importante del mundo laboral a trabajar desde casa. Las instituciones necesitaron cambiar sus operaciones virtualmente, estuvieran o no preparadas. En muchos casos, la logística para distribuir computadoras portátiles y otros suministros de oficina con la mayor rapidez y la menor interrupción posible de las operaciones ocupó un lugar central. Esto no dejaba mucho tiempo para pensar en la importancia de la seguridad, cibernética y mucho menos poner en marcha defensas. En este artículo, analizamos el panorama actual de la seguridad cibernética, identificamos los vectores comunes de ataque y ofrecemos un enfoque de cinco pasos para la higiene cibernética.

Panorama actual

Las filtraciones de datos de las grandes corporaciones suelen ser las que aparecen en las noticias, pero las pequeñas empresas, las organizaciones sin fines de lucro, las instituciones de educación superior, los sistemas de atención médica y otras instituciones son un objetivo cada vez más atractivo para los ataques cibernéticos. Las pérdidas mundiales derivadas del delito cibernético superan ya el billón de dólares, según un diciembre de 2020 reporte de McAfee.

Si bien las grandes empresas suelen tener el presupuesto necesario para mantener la tecnología más avanzada y dedicar departamentos enteros a la seguridad, los delincuentes prevén que las instituciones más pequeñas tienen recursos limitados para la seguridad cibernética. Casi un tercio (28 %) de las filtraciones de datos en 2020 involucraron a pequeñas empresas, según el Informe de Investigaciones de Filtraciones de Datos del 2021 de Verizon.

Piensa en una organización religiosa local, como una iglesia, una sinagoga o una mezquita. La organización depende de sus miembros, donantes financieros y voluntarios para mantenerse en funcionamiento. Con el tiempo, la organización recoge un tesoro oculto de información personal confidencial. Por ejemplo, la organización puede tener los nombres, direcciones, números de teléfono e incluso los números de las tarjetas de crédito de los miembros que han donado dinero en el pasado.

En general, ¿tendría esta pequeña organización sin fines de lucro un software de base de datos centrado en la seguridad o un proveedor para proteger esta información confidencial? O, ¿es más probable que la persona responsable de las finanzas de la organización tenga una simple hoja de cálculo de Microsoft® Excel guardada en su unidad compartida no segura? En este caso, los delincuentes cibernéticos probablemente tendrían razón acerca de las vulnerabilidades de las organizaciones más pequeñas. Lo más probable es que las instituciones religiosas más pequeñas no dispongan de los recursos necesarios para crear una base de datos centrada en la seguridad, y su hoja de cálculo de Excel con información sobre los donantes es mucho más fácil de conseguir que una gran empresa con múltiples líneas de protección cibernética.

Un ataque cibernético exitoso tiene implicaciones de gran alcance para instituciones grandes y pequeñas, con o sin fines de lucro. Una filtración perjudica la reputación de una institución y disuade a socios, empleados, donantes, voluntarios y otros asociados a trabajar con la organización. El activo más sensible de una institución son sus datos, y es responsabilidad de la institución protegerlos. Las ramificaciones financieras también son importantes.

Lamentablemente, no existe una panacea para hacer que una institución sea cibernéticamente segura. Los delincuentes cibernéticos siempre encuentran nuevas maneras de causar daños. Pero un compromiso con la educación continua, la formación de los empleados y algunas buenas prácticas pueden contribuir en gran medida a mantener la responsabilidad de una institución de proteger sus datos. Los métodos de higiene cibernética que aquí se exponen son asequibles y pueden contribuir en gran medida a mantener seguros los activos de una institución.

Tres vectores comunes de los ataques cibernéticos

Una parte fundamental de la protección contra el delito cibernético, especialmente con recursos limitados, es comprender y centrarse en la mitigación de las amenazas comunes. Tres vectores comunes del delito cibernético son el correo electrónico, las redes empresariales y los dispositivos móviles.

Correo electrónico

El delito cibernético realizado por correo electrónico se denomina a veces "phishing" [suplantación de identidad]. Según la Encuesta de Fraude y Control de Pagos de la AFP del 2020, el 75 % de las empresas estuvieron expuestas al fraude de correo electrónico empresarial en el 2019, y la suplantación de identidad representó el 22 % de las filtraciones en el 2020, según el Informe de Investigaciones de Filtraciones de Datos de Verizon del 2021. En este escenario, un delincuente cibernético envía lo que parece ser un correo electrónico legítimamente relacionado con el negocio. El correo electrónico indica al empleado que realice una tarea que parece inocua, pero que permite al delincuente completar su delito (por ejemplo, iniciar una transferencia bancaria u otra transacción financiera accediendo al sistema de la organización).

Una línea de ataque común es que un estafador se haga pasar por un alto ejecutivo e intente que el empleado envíe información personal sensible por correo electrónico. Otra es que el delincuente cibernético se haga pasar por un proveedor externo y pida al destinatario que haga clic en un enlace y rellene un formulario con información sobre las cuentas financieras de la institución. Aunque el enfoque puede ser diferente, los correos electrónicos comerciales fraudulentos suelen contener algunas señales de alarma detectables, como por ejemplo:

  • un saludo genérico y extraño;
  • uso de un número en lugar de una letra, como el uso de "1" en lugar de "L";
  • una exigencia de respuesta inmediata;
  • una oferta demasiado buena para ser verdad; y
  • una dirección que tiene una pequeña variación con respecto a la dirección real de la empresa.

Si el delincuente tiene éxito, podría obtener acceso a información confidencial de los clientes, acceso a la información financiera de la institución u otra información valiosa.

Defensas claves:

Empodera a tu gente. La principal defensa contra los ataques cibernéticos son los empleados de una institución. Los empleados pueden detectar el comportamiento anómalo indicativo de una infección por malware, suplantación de identidad u otro ataque de ingeniería social. Permitir que los empleados hagan una pausa e informen de las actividades sospechosas protegerá a tus clientes y a tu negocio.

Establece la autenticación de mensajes basada en el dominio y la conformidad de los informes (DMARC) en todos tus dominios de correo electrónico. DMARC es una forma de firmar electrónicamente los correos electrónicos e indicar a los proveedores de correo electrónico cómo identificar cuando tu institución envía un correo electrónico frente a cuando un delincuente se hace pasar por tu institución al enviar un correo electrónico. DMARC también indica a los proveedores de correo electrónico qué hacer con esas suplantaciones: eliminarlas o ponerlas en cuarentena. También puedes obtener informes sobre quién intenta suplantar a tu institución y con qué frecuencia. Esto puede ayudarte a crear comunicaciones para tus clientes y/o empleados para que puedan proteger mejor a la empresa y a ellos mismos.

Separar los deberes conduce a un objetivo mucho más difícil. Por ejemplo, un proceso de aprobación (p.ej., para una solicitud de distribución de dinero en efectivo) que requiera que el solicitante y el aprobador sean personas diferentes puede dificultar a los delincuentes, exigiéndoles que comprometan a varias personas.

La autenticación multifactorial (MFA) impide que un delincuente pueda acceder a tus correos electrónicos con sólo conocer o adivinar tu contraseña. La MFA es compatible con los principales proveedores de correo electrónico y ofrece una importante mejora de la seguridad con respecto al uso de un nombre de usuario y una contraseña.

Seguridad de la red

Otro tipo de fraude se produce cuando un delincuente cibernético accede a la información confidencial de una institución logrando entrar en la red de la empresa. En el 2020, el 45 % de las filtraciones fueron causadas por tácticas de hacking como esta.

Los piratas informáticos pueden entrar en la red empresarial interna de una institución de diferentes maneras. A medida que el trabajo a distancia se hace más común, los empleados deben estar atentos a cómo y dónde se conectan a la red interna de forma remota.

Si la computadora está conectada a la red de una empresa, y el delincuente cibernético tiene acceso a la computadora, entonces el delincuente cibernético tiene acceso a la red de la empresa. Y si todo el contenido de toda la red de la empresa está disponible desde un único punto de entrada, sin requerir diferentes contraseñas para diferentes áreas seguras, entonces el delincuente cibernético tiene acceso inmediato y fácil a todo.

Defensas claves:

Redes virtuales privadas (VPN). El uso de una VPN limita la capacidad de un delincuente para interceptar las comunicaciones entre los sistemas dispares de los empleados de una organización y su red principal. Cuando se habilita la MFA en una VPN, resulta aún más difícil para cualquier delincuente acceder a la red de la empresa.

Aplica los parches del sistema lo antes posible. Los sistemas sin parches han estado en el centro de muchas de las mayores filtraciones, costando a las empresas cientos de millones de dólares. Desconectar un sistema para ponerle un parche nunca costará tanto como los sistemas que no tienen parches han costado a las empresas afectadas. A los actores del ransomware (secuestro cibernético de datos), en particular, les gusta atacar los sistemas sin parches.

Segrega los sistemas y sólo permite el acceso a los datos que las personas necesitan para llevar a cabo su actividad. Todos los empleados de una organización no deberían tener acceso a todos los datos de la misma. Incluso exigir la protección con contraseña de las carpetas puede limitar la capacidad de un delincuente para robar o convertir en armas los datos de una empresa.

Dispositivos móviles

Más personas que nunca utilizan dispositivos móviles y tabletas para hacer negocios en línea. Además de ser vulnerables a acciones no físicas como poner en peligro el correo electrónico y piratear la red, los dispositivos móviles también son vulnerables a las interferencias físicas. Aunque pueda parecer el guión de una película de espías, las acciones físicas están presentes en el 4 % de las filtraciones.

Empezando por el ejemplo obvio, si un teléfono se pierde o es robado, todos los datos de la empresa y el acceso al dispositivo móvil se van con él. Incluso sin acceso a la contraseña, los piratas informáticos más sofisticados son capaces de realizar un "jailbreak" a los teléfonos instalando un software que les permite saltarse las indicaciones de la contraseña.

Otros tipos de interferencias físicas pueden ser menos evidentes. Por ejemplo, ¿cuántas veces has estado de viaje o fuera de casa y has necesitado cargar tu dispositivo móvil? Sabiendo esto, algunos piratas informáticos han instalado estaciones de carga para realizar "juice jacking". Cuando el dispositivo se enchufa para cargarlo, los piratas informáticos utilizan el cable de carga para acceder a los datos del teléfono o instalar malware en el dispositivo.

Defensas claves:

Establecer la MFA en los teléfonos móviles. Esto impedirá que se realicen cambios no autorizados.

Establecer bloqueo de pantallas en los teléfonos. Incluso un simple PIN de cuatro dígitos puede frustrar el intento de un delincuente de utilizar tu teléfono en tu contra.

Llevar contigo tu propio cargador o utilizar un bloqueador de escritura cuando viajes.

Establecer procedimientos fuertes para que nadie actúe en base a un buzón de voz, un mensaje de texto o una simple llamada telefónica. Así se evita que un delincuente se haga pasar por un empleado para sembrar el caos en tu empresa.

Enfoque de cinco pasos

La higiene cibernética tendrá un aspecto diferente para las distintas organizaciones, pero los distintos enfoques pueden compartir las mejores prácticas comunes. Recomendamos un enfoque de cinco pasos que se adapta a las necesidades (y recursos) de tu organización.

Paso 1: Infórmate

El primer paso de cualquier ejercicio de solución de problemas es comprender el problema. Dedica tiempo a comprender el alcance del problema y qué políticas y procedimientos tiene tu organización en la actualidad. Los párrafos anteriores son un buen comienzo, pero hay más cosas que aprender. Investiga los vectores comunes que vimos anteriormente. ¿Participa tu organización en actividades que la ponen en riesgo? Algunas de las preguntas clave que hay que tener en cuenta son:

  1. Tu organización es más vulnerable a los ataques de suplantación de identidad si tus empleados no participan activamente en la capacitación sobre cómo detectar y responder a los correos electrónicos fraudulentos. ¿Se proporciona capacitación regular en seguridad cibernética para los empleados?
  2. Una organización es más vulnerable a las filtraciones de la red si se accede a ella mediante conexiones Wi-Fi inseguras. ¿Proporciona a los usuarios una manera de proteger su conexión mediante herramientas de seguridad como las VPN?
  3. ¿Se permite a los empleados realizar su trabajo con dispositivos móviles que no hayan sido entregados por la empresa? ¿Sabes qué dispositivos utilizan y si los protegen con contraseñas y capacidades de rastreo?

Puede parecer obvio, pero no sobra decir: trabajar con una empresa de seguridad cibernética puede ayudarte a identificar y comprender el alcance de lo que tu organización necesita para tener éxito en la implementación de soluciones de seguridad cibernética.

Paso 2: Asigna propietarios clave e indicadores clave de desempeño

La priorización de la seguridad cibernética comienza con el liderazgo; lamentablemente, el liderazgo a menudo se compromete sólo con lo estrictamente necesario. Sin embargo, esto está cambiando, ya que las organizaciones reconocen las consecuencias de una mala higiene cibernética.

Cada vez es más común que las organizaciones nombren a un responsable de la seguridad de la información de la empresa que esté equipado para mantenerse al día sobre las necesidades de seguridad cibernética de la organización, y que pueda comunicar sus preocupaciones directamente a su equipo directivo, a los miembros del consejo de administración y a otras partes interesadas clave.

Una vez definidos los propietarios clave, es importante definir cómo será el éxito. No recibir noticias es una buena noticia cuando se trata de delitos cibernéticos, pero no puedes dejar tus esfuerzos en piloto automático. Los indicadores clave de rendimiento ayudan a mantener la seguridad cibernética como prioridad. La "ausencia de filtraciones" no es un indicador de rendimiento de calidad porque el panorama del delito cibernético cambia constantemente. Lo que funcionó el trimestre pasado podría no funcionar este trimestre.

Los indicadores clave de rendimiento que tratan de identificar los riesgos potenciales son preferibles a basarse en datos retrospectivos. ¿Qué que es el "éxito" de seguridad para ti? ¿Qué medidas correspondientes son factibles para tu organización?

Paso 3: Desarrolla un plan de acción y políticas clave

Establecer políticas, procedimientos y controles formales para las amenazas específicas que tu organización decida abordar. Los empleados pueden ser una gran primera línea de defensa contra los ataques, siempre que sepan qué buscar. Los empleados deben estar capacitados y empoderados para reconocer la actividad en línea que se desvía de la norma. Para crear una cultura de vigilancia, es importante que el sentimiento comience desde arriba. Asegúrate de que tu junta directiva y tu administración ejecutiva se comunican y siguen las políticas y los procedimientos.

Para ilustrar este punto, considera que la mayoría de las organizaciones tienen que comprar software y/o contratar a proveedores externos como parte de su actividad normal. Como parte del proceso de toma de decisiones de compra/contratación, ¿tiene tu organización una política para hacer preguntas relacionadas con la seguridad? Por ejemplo, una pregunta importante podría ser preguntar sobre su experiencia previa con las filtraciones de datos. ¿Cuándo fue la última filtración y cómo respondieron? También es útil saber si el tercero realiza auditorías de seguridad periódicas realizadas por un proveedor externo. Estas preguntas pueden ayudarte a sentirte seguro de que tus datos, y potencialmente los de tus clientes, estarán protegidos.

Las políticas también deben identificar los pasos clave para manejar una filtración. Si se produce una filtración de la seguridad, es fundamental actuar con rapidez para proteger las operaciones y corregir las vulnerabilidades, y disponer de un procedimiento puede ayudar a reducir el tiempo de respuesta. La Guía de Respuesta a la Filtración de Datos de la Comisión Federal de Comercio (FTC) es un buen punto de partida.

Al establecer un procedimiento para hacer frente a una posible filtración, es importante considerar un plan de comunicación. Las consecuencias de una filtración generalmente van más allá de la oficina y pueden perjudicar las relaciones con clientes, proveedores, voluntarios, donantes y otros. Las comunicaciones tras una filtración pueden ayudar a conservar esas relaciones. La guía de la FTC, mencionada anteriormente, incluye un modelo de carta que tu organización puede utilizar para notificar de forma adecuada y oportuna a todas las partes afectadas, incluidos los individuos, los proveedores y otras organizaciones.

Por último, el seguro cibernético es una opción que puede ayudarte a proteger tu empresa contra las pérdidas causadas por un ataque cibernético. Los proveedores ofrecen cosas como pagos a los consumidores afectados por una filtración, costos de litigio, gestión de crisis y más. Dada la variedad de proveedores de seguros, es importante preguntar a los proveedores de seguros cibernéticos qué cubren y qué no cubren sus pólizas específicas.

Paso 4: Establece un periodo de revisión

¿Deben revisarse los planes cada 3, 6 o 12 meses? La respuesta corresponderá al plan de acción de una organización. Dado que el panorama de la seguridad cibernética cambia con rapidez, probablemente sea prudente pecar de exceso.

Para servir de primera línea de defensa, los empleados necesitan ver una cultura de seguridad. Esto puede fomentarse con un programa de formación regular. Además de confiar en la cultura de la seguridad, las organizaciones pueden optar por bloquear el acceso de un empleado a la red si no completa las capacitaciones.

Pasando a un enfoque externo, es importante supervisar y revisar regularmente a los proveedores externos. Los requerimientos de revisión periódica deben incluirse en el contrato para que el proveedor verifique continuamente el cumplimiento de las normas de la organización y demuestre que mantiene su seguridad actualizada.

Por último, recomendamos que el periodo de revisión se adapte al plan de acción de la organización. Algunos planes necesitarán revisiones más frecuentes, mientras que una revisión anual puede ser suficiente para otros. Esta decisión también puede depender del alcance de las operaciones de la organización y de una serie de otros factores relacionados con el alcance de la posible exposición de la empresa al delito cibernético.

Paso 5: Ejecuta

Inicia tus esfuerzos de seguridad cibernética ahora. Es imperativo que las instituciones no esperen a convertirse en víctimas para abordar esta realidad: los delincuentes cibernéticos son sofisticados y su objetivo es sorprender a las instituciones con la guardia baja. Hay un viejo refrán que dice: "La confianza tarda toda una vida en construirse y un solo día en perderse". Tomar medidas ahora para aplicar las mejores prácticas de higiene cibernética puede ayudar a una organización a mantener la confianza de sus clientes, empleados y otras partes interesadas clave.

Conclusión

La pandemia aceleró la transformación digital del mundo. Creemos que la importancia del entorno virtual, y la necesidad de protección, va a aumentar en lugar de desaparecer.

Las mejores prácticas que compartimos aquí sirven como una buena introducción para entender el panorama del delito cibernético y cómo posicionar tu organización de forma más defensiva. Los delincuentes cibernéticos encontrarán nuevas maneras de cometer delitos en línea, pero los recursos de protección también seguirán evolucionando. Los expertos en seguridad cibernética adaptar los planes a las necesidades específicas de tu institución.

Para obtener más recursos útiles, visita el centro de seguridad y privacidad de PNC.