Pareciera que hoy en día casi todo el mundo conoce el término ciberseguridad. Apenas encendemos las noticias, oímos hablar sobre alguna nueva vulneración de datos. ¿Le suena el caso de Colonial Pipeline? Agregue Covid-19 a la historia y creará un entorno que cambia con tanta rapidez que para las organizaciones es difícil seguir el ritmo de los riesgos.
El hecho es que cualquier iglesia, escuela u organización puede ser víctima de ciberataques, y cualquiera que tenga acceso a su red o a sus sistemas puede desencadenar un ataque involuntariamente. En este artículo hablaremos de los numerosos factores que han provocado nuevas tendencias y, en algunos casos, un enfoque renovado en ciertos tipos de ataques denominados vectores de ataque. También hablaremos sobre cómo el entorno actual hizo que las organizaciones tomaran nueva conciencia sobre cómo hacer frente a las amenazas.Ataques a las cadenas de suministros
Con niveles no divulgados ni antes vistos, la industria cibernética observa cómo los actores malintencionados se dedican a atacar las cadenas de suministros. Esto ocurre cuando actores malintencionados se infiltran en su/s sistema/s a través de un proveedor externo de software o de servicios que usted utiliza, por ejemplo, herramientas de seguridad o de gestión, o incluso software antivirus. Por ejemplo, en el jaqueo de SolarWinds, los actores malintencionados tenían como objetivo, entre otras cosas, las revisiones de software utilizadas en todo el mundo. Una vez que los usuarios instalaban las revisiones de su software, los actores malintencionados adquirían acceso a esos sistemas.
Este ataque proporcionó a los piratas informáticos la capacidad de jaquear una empresa y obtener acceso repentino a miles de sus clientes globales. El alcance del jaqueo de SolarWinds parece aumentar día a día, y desde su anuncio, aparecieron otros ataques similares que dejaron expuestas a decenas de miles de organizaciones afectadas.
Además de la exposición de los datos en el seno de estas organizaciones, otro impacto significativo de estos ataques a la cadena de suministro es la pérdida de confianza que genera entre nosotros y los proveedores. Como mínimo, nos hace vacilar antes de considerar la instalación de software de terceros en nuestros sistemas y, por irónico que parezca, puede incluso hacernos dudar a la hora de confiar en esos sistemas cuyo propósito es ayudar a proteger nuestros datos.
Considere la posibilidad de realizar evaluaciones de riesgos de todos los proveedores que usted y su organización utilicen. Una vez que comprenda qué medidas toman para proteger sus sistemas y procesos, estará mejor equipado para saber si debe seguir utilizándolos. Asimismo, considere la posibilidad de limitar el tráfico de red saliente a lo mínimo indispensable. De esta manera puede evitarse que un actor malintencionado se envíe a sí mismo sus datos, aunque el sistema que usted utiliza haya sido vulnerado. Estas son solo algunas de las medidas que pueden ayudar a reducir los riesgos de su cadena de suministro.
Trabajo a distancia
Mientras la pandemia de Covid-19 se extendía, más organizaciones recurrieron a modelos de teletrabajo. Depende de cada organización que esto se trate de un plan temporal o de una opción a largo plazo. Sin embargo, lo que está claro es que el teletrabajo probablemente haya llegado para quedarse, al menos en mayor proporción que antes de la Covid-19.
A medida que la fuerza de trabajo fue haciendo el cambio al teletrabajo, las organizaciones tuvieron que cambiar el modo de proporcionar acceso a los empleados a los datos de la empresa. Esto condujo a un aumento sustancial de la concienciación y al uso de la autenticación de dos factores (2FA).
Aunque la adopción de la 2FA es algo positivo, también es importante tener en cuenta otros factores que entran en juego cuando se trabaja desde casa. Consideremos, por ejemplo, la privacidad de los datos. Nuestros hogares no son tan seguros como nuestros lugares de trabajo. Un empleador no puede controlar quién entra y sale de la casa de un empleado; por lo tanto, es fundamental educar a los empleados sobre cuestiones de seguridad en el hogar, como la privacidad de la pantalla y si deben imprimir documentos de la empresa en casa. Con los modelos de teletrabajo, el riesgo de posibles robos de documentos o dispositivos de la empresa aumenta considerablemente. ¿Usted o su organización tuvieron en cuenta este riesgo, y tomaron medidas para mitigarlo?
Infórmese e informe a sus empleados sobre lo que deben y no deben hacer mientras trabajan desde casa. Por ejemplo, en la medida de lo posible, asegúrese de que dispongan de un área de trabajo privada, un lugar en el que un visitante de su casa no pueda ver los datos de la empresa en la pantalla de la computadora. Haga cumplir la norma de no imprimir ni almacenar documentos de la empresa en casa. Encripte los discos duros de sus computadoras para proteger los datos en caso de que le roben el dispositivo. Estas medidas, y algunas otras, pueden reducir sustancialmente el riesgo para los datos de su organización.
¿Smishing?
Probablemente haya oído hablar de los correos electrónicos de suplantación de identidad (phishing), que es cuando alguien le envía un correo electrónico haciéndose pasar por otra persona, intentando que realice una acción o proporcione información confidencial. Pero ¿sabe qué es el smishing? El smishing es una nueva variante del phishing que está ganando popularidad entre los actores malintencionados.
Entonces, ¿qué es el smishing? En lugar de utilizar correos electrónicos para obtener datos, el smishing utiliza mensajes de texto SMS enviados a teléfonos celulares. Son más difíciles de identificar que los correos electrónicos de phishing porque los mensajes de texto son más cortos y, por lo tanto, contienen menos información que ayude a reconocer una falsificación.
En el smishing, el actor malintencionado envía un mensaje de texto, haciéndose pasar por alguien que la víctima potencial creería legítimo, como un banco, una compañía de servicios públicos o quizá una tarjeta de crédito. Le sugerirá que haga clic en un enlace en el mensaje de texto para verificar sus credenciales o para ver alguna información importante. Una vez que se hace clic en el enlace, se descarga un software malicioso en el dispositivo o se abre un sitio web que parece tan real que el usuario sigue adelante y proporciona la información que le piden.
¿Ya fue víctima del smishing? ¿Y sus empleados? ¿Sabrán ellos reconocerlo y lidiar con él?
Estas son solo algunas de las tendencias actuales en materia de ciberseguridad. Tanto si afecta a su red, a sus sistemas o a un proveedor de servicios que usted utiliza, el impacto en su vida cotidiana es real. Como ocurre con la mayoría de las cosas, la educación es la clave. Asegúrese de educarse y de educar a sus empleados o voluntarios sobre cómo proteger su organización y su vida personal. Y no olvide compartir cualquier motivo de preocupación. Cuando reciba notificaciones de phishing o smishing, comunique a otros miembros de su círculo lo que ha recibido para que puedan estar atentos a situaciones similares. Si su organización cuenta con un departamento de tecnología de la información (TI), asegúrese de comunicarlo para que puedan tomar medidas y evitar que otros lo reciban. Al fin y al cabo, todos debemos asumir la responsabilidad en nuestra esfera de influencia.
Glosario
Vector de ataque: «un camino, método o escenario específico que puede ser explotado para entrar en un sistema de TI y comprometer así su seguridad» (Fundación Wikimedia, 2021).
Actor malintencionado: «una persona u organización responsable de acciones perjudiciales, ilegales o moralmente incorrectas» (Cambridge English Dictionary).
Ciberataques: «intento de obtener acceso ilegal a una computadora o a un sistema informático con el propósito de causar daños o perjuicios» (Merriam-Webster).
Ciberseguridad: actividad o proceso, habilidad o capacidad, o estado por el cual los sistemas de información y comunicaciones y la información contenida en ellos están protegidos y/o defendidos contra daños, uso o modificación no autorizados, o explotación.
Encriptar: término genérico que abarca cifrar y codificar.
Tecnología de la información: «cualquier equipo o sistema interconectado o subsistema de equipos que procesa, transmite, recibe o intercambia datos o información» (NICCS).
Phishing: «una forma digital de ingeniería social para engañar a las personas para que proporcionen información sensible» (NICCS).
Smishing: «la práctica de utilizar mensajes de texto fraudulentos para extraer datos financieros de los usuarios con fines de robo de identidad» (HarperCollins Publishers Ltd. [s.f.]).
Revisiones de software: «una serie de instrucciones que se agregan a un programa que ya fue traducido al lenguaje de la máquina, como para corregir un error» (HarperCollins Publishers Ltd. [s.f.]).
Autenticación de dos factores (2FA): «un sistema de seguridad que requiere dos formas distintas de identificación para tener acceso a algo» (Kenton, 2020).
Referencias:
- Actor malintencionado | definición del Cambridge English Dictionary. (s.f.). Extraído el 30 de septiembre de 2021
- Glosario de ciberseguridad. National Initiative for Cybersecurity Careers and Studies. (s.f.). Extraído el 30 de septiembre de 2021
- HarperCollins Publishers Ltd. (s.f.). Definición y significado de revisión: Collins English Dictionary. Definición y significado de revisión | Collins English Dictionary. Extraído el 30 de septiembre de 2021
- HarperCollins Publishers Ltd. (s.f.). Definición y significado de smishing: Collins English Dictionary. Definición y significado de smishing | Collins English Dictionary. Extraído el 30 de septiembre de 2021
- Kenton, W. (19 de mayo de 2021). Autenticación de dos factores (2FA). Investopedia. Extraído el 30 de septiembre de 2021
- Merriam-Webster. (s.f.). Ciberataque. Merriam-Webster. Extraído el 30 de septiembre de 2021
- Person, & Stephanie Kelly, J. R.-ault. (9 de junio de 2021). Una contraseña permitió a los piratas informáticos alterar COLONIAL Pipeline, el director general comunica a los senadores. Reuters. Extraído el 30 de septiembre de 2021
- Thomson Reuters. (15 de febrero de 2021). El hackeo de SolarWinds fue «el ataque más grande y sofisticado» de la historia: presidente de Microsoft. Reuters. Extraído el 30 de septiembre de 2021
- Fundación Wikimedia. (5 de septiembre de 2021). Vector de ataque. Wikipedia. Extraído el 30 de septiembre de 2021
Créditos de Imagén: IncrediVFX.adobe.com
