La pandèmia i el teletreball han deixat al descobert com de vulnerables són les empreses i usuaris davant la ciberdelinqüència. Cada dia ens arriben notícies sobre nous fraus que pretenen apropiar-se de dades personals i informació confidencial. La dependència dels sistemes informàtics, el teletreball, l’apogeu de les eines per a videoconferències i l’increment dels ecommerce, entre altres aspectes, han convertit a la ciberseguretat i la protecció de dades en el gran repte de 2021 per a pymes i autònoms.
Què és la ciberseguretat?
Segons la Vikipèdia™, ‘la ciberseguretat és l’àrea relacionada amb la informàtica enfocada a la protecció de la infraestructura computacional i tot allò vinculat a la mateixa. La ciberseguretat comprèn software, hardware, xarxes i tot el que l’organització entengui i valori com un risc si la informació confidencial involucrada pogués arribar a mans d’altres persones…’
Des d’informació confidencial, passant per dades bancàries, fins a arribar als sistemes interns de l’organització, són molts els actius de les empreses que poden ser objectiu dels ciberdelinqüents, que ataquen tant a grans empreses como a pymes o autònoms.
Un atac de malware o ransomware pot deixar inoperativa una empresa durant dies amb les conseqüències que comporta per al negoci, la reputació i la confiança dels clients.
Conèixer les principals ciberamenaces ens pot ajudar a identificar-les a temps per evitar-les o mitigar-les de manera adequada.
Principals ciberamenaces
La majoria dels incidents de seguretat que afecten a les empreses tenen en comú dos factors: el correu electrònic i comunicacions que utilitzen tècniques d’enginyeria social. L’enginyeria social consisteix en utilitzar diferents tècniques de manipulació psicològica amb l’objectiu d’aconseguir que les potencials víctimes revelin informació confidencial o realitzin alguna acció com instal·lar software maliciós.
Segons un informe d’INCIBE, les principals ciberamenaces i fraus que poden afectar a empreses i autònoms són:
- Fugues d’informació: Quan es perd la confidencialitat de la informació de l’empresa i és accessible per terceres persones no autoritzades. Les fugues poden ser involuntàries (pèrdua d’un USB amb informació sense xifrar, no utilitzar la còpia oculta en enviaments a múltiples destinataris) o deliberades (accés intencionat d’un ciberdelinqüent o per part d’un empleat o ex empleat descontent).
- Atacs tipus phishing: És el principal mètode per a robar informació confidencial com noms d’usuari o dades bancàries. És un tipus de frau comès generalment a través del correu electrònic, encara que també via SMS, on es suplanta la identitat d’empreses i organitzacions reconegudes per enganyar a la víctima i robar informació i credencials d’accés.
- Frau del CEO: Es tracta d’un atac dirigit contra una víctima en concret, de la que prèviament s’ha recopilat informació per distints medis, per a què l‘atac sigui més creïble. Els ciberdelinqüents suplanten la identitat d’un alt directiu i sol·liciten a un empleat, amb capacitat de realitzar transaccions financeres, una transferència de diners, al·legant tancar una operació ressenyable en la que s’està treballant.
- Frau de RRHH: S’utilitzen tècniques similars al frau del CEO, però en aquesta ocasió les víctimes són el personal de RRHH de l’empresa i un empleat al que suplanten la seva identitat. El ciberdelinqüent es fa passar per un empleat de l’empresa i sol·licita que el següent ingrés corresponent a la seva nòmina es realitzi a un nou número de compte controlat per l’estafador.
- Sextorsió: És un tipus d’estafa en la que els ciberdelinqüents informen a la víctima per correu electrònic de què ha sigut gravada en situacions compromeses, que seran difoses entre els seus contactes i xarxes socials a no ser que realitzi un pagament a mode de rescat.
- Atacs contra el web corporatiu: La pàgina web de l’empresa és un actiu important, els ciberdelinqüents buscaran atacar-la per diversos motius, com fer-se amb informació confidencial, utilitzar-la per a perpetrar nous atacs o per a danyar la imatge de l’organització.
- Ransomware: Què passaria si tota la informació de la teva empresa fos inaccessible? L’activitat diària es veuria afectada fins al punt d’aturar-se, i si no es compta amb còpies de seguretat funcionals, el tema es pot agreujar. El ransomware és un tipus de malware o software maliciós que afecta a la informació continguda en els diferents dispositius impedint el seu accés, generalment xifrant-la i sol·licitant un rescat econòmic als afectats a canvi de poder recuperar el seu accés. En molts casos, aquests atacs es propaguen a altres dispositius, unitats de xarxa o informació al núvol.
- Frau del fals suport de Microsoft: L’estafador suplanta la identitat d’un tècnic de Microsoft amb el pretext de solucionar certs problemes tècnics a l’equip, sent l’objectiu comprometre la seguretat i privacitat del dispositiu i, per tant, de la pròpia empresa.
- Campanyes de correus electrònics amb malware: El malware via correu electrònic és una de les principals maneres que tenen els ciberdelinqüents per infectar els dispositius de les víctimes. Un simple correu que aparenta ser una factura, un justificant de compra o qualsevol altre esquer, podria suposar l’inici d’una infecció que posi en risc la seguretat de l’organització.
- Atacs de denegació de serveis: A l’igual que els atacs de tipus ransomware, que impedeixen l’accés a la informació de l’empresa, els atacs de denegació de servei impossibiliten el correcte funcionament dels serveis que ofereix l’empresa tant a empleats com a clients.
Com actuar davant un ciberatac?
Quan s’és víctima de qualsevol d’aquests atacs o fraus, és recomanable interposar denúncia a la policia aportant les proves disponibles i reportar a INCIBE-CERT per mitjà del correu incidencias@incibe-cert.es per evitar que altres usuaris caiguin en el frau. Davant qualsevol dubte, disposeu del número 017 com a línia d’Ajuda en Ciberseguretat.
Ciberseguretat i Protecció de Dades
Quan l’incident comporta, per exemple, una fuga d’informació ha de gestionar-se adequadament ja que una mala gestió pot magnificar l’efecte negatiu de la incidència. Si la fuga d’informació afecta a dades personals es considera una bretxa de seguretat i l’empresa està obligada, depenent de la gravetat, a notificar l’incident en un termini de 72 hores a l’Agència Espanyola de Protecció de Dades, autoritats pertinents o organismes equivalents. Depenent de la tipologia de les dades, volum i exposició d’aquestes, s’haurà de comunicar aquesta bretxa també a les persones/usuaris afectats.
Exemples de ciberatacs recents
A mode d’exemple, aquests són alguns dels ciberatacs/fraus que s’estan duent a terme aquests dies:
- ING alerta d’un atac nou de phishing als clients via mail o SMS.
- ‘DHL: el seu paquet està arribant’: estafa per SMS que infecta el teu Android.
- ‘Multa no pagada’: correu fraudulent que suplanta a la DGT.
- Robatori massiu de dades personals de clients d’una sex-shop.
- BBVA investiga atac de phishing que avisa d’una suspensió del compte bancari.
Recomanacions i conclusions davant ciberatacs
En el proper post us donarem una sèrie de pautes a seguir i recomanacions per evitar aquests ciberatacs o mitigar-los de la manera més adequada i correcta si som víctimes d’ells.
El que està clar és que el risc zero no existeix i tots som víctimes potencials d’aquests tipus d’atacs, però és important estar alerta i, sobretot, conscienciar al màxim als empleats, que són el graó més important a la cadena de la seguretat per als ciberdelinqüents. És clau una correcta formació en aquesta matèria a la plantilla.
Si pateixes algun atac d’aquest tipus i no saps com procedir, contacta amb nosaltres; ja hem ajudat a uns quants clients a gestionar correctament incidents que poden fer molt mal a la reputació del nostre negoci.
L’equip de PymeLegal.