La pandemia y el teletrabajo han dejado al descubierto lo vulnerables que son las empresas y usuarios ante la ciberdelincuencia. Cada día nos llegan noticias sobre nuevos fraudes que pretenden apropiarse de datos personales e información confidencial. La dependencia de los sistemas informáticos, el teletrabajo, el auge de las herramientas para videoconferencias y el incremento de los ecommerce, entre otros aspectos, han convertido a la ciberseguridad y la protección de datos en el gran reto de 2021 para pymes y autónomos.
¿Qué es la ciberseguridad?
Según la Wikipedia®, ‘la ciberseguridad es el área relacionada con la informática enfocada a la protección de la infraestructura computacional y todo lo vinculado a la misma. La ciberseguridad comprende software, hardware, redes y todo lo que la organización entienda y valore como un riesgo si la información confidencial involucrada pudiera llegar a manos de otras personas…’
Desde información confidencial, pasando por datos bancarios, hasta llegar a los sistemas internos de la organización, son muchos los activos de las empresas que pueden ser objetivo de los ciberdelincuentes, que atacan tanto a grandes empresas como a pymes o autónomos.
Un ataque de malware o ransomware puede dejar inoperativa una empresa durante días con las consecuencias que conlleva para el negocio, la reputación y la confianza de los clientes.
Conocer las principales ciber amenazas nos puede ayudar a identificarlas a tiempo para evitarlas o mitigarlas de forma adecuada.
Principales ciber amenazas
La mayoría de los incidentes de seguridad que afectan a las empresas tienen en común dos factores: el correo electrónico y comunicaciones que utilizan técnicas de ingeniería social. La ingeniería social consiste en utilizar diferentes técnicas de manipulación psicológica con el objetivo de conseguir que las potenciales víctimas revelen información confidencial o realicen alguna acción como instalar software malicioso.
Según un informe de INCIBE, les principales ciber amenazas y fraudes que pueden afectar a empresas y autónomos son:
- Fugas de información: Cuando se pierde la confidencialidad de la información de la empresa i es accesible por terceras personas no autorizadas. Las fugas pueden ser involuntarias (perdida de un USB con información sin cifrar, no utilizar la copia oculta en envíos a múltiples destinatarios) o deliberadas (acceso intencionado de un ciberdelincuente o por parte de un empleado o exempleado descontento).
- Ataques tipo phishing: Es el principal método para robar información confidencial como nombres de usuario o datos bancarios. Es un tipo de fraude cometido generalmente a través del correo electrónico, aunque también vía SMS, donde se suplanta la identidad de empresas y organizaciones reconocidas para engañar a la víctima y robar información y credenciales de acceso.
- Fraude del CEO: Se trata de un ataque dirigido contra una víctima en concreto, de la que previamente se ha recopilado información por distintos medios, para que el ataque sea más creíble. Los ciberdelincuentes suplantan la identidad de un alto directivo y solicitan a un empleado, con capacidad de realizar transacciones financieras, una transferencia de dinero, alegando cerrar una operación reseñable en la que se está trabajando.
- Fraude de RRHH: Se utilizan técnicas similares al fraude del CEO, pero en esta ocasión las víctimas son el personal de RRHH de la empresa y un empleado al que suplantan su identidad. El ciberdelincuente se hace pasar por un empleado de la empresa y solicita que el siguiente ingreso correspondiente a su nómina se realice a un nuevo número de cuenta controlado por el estafador.
- Sextorsión: Es un tipo de estafa en la que los ciberdelincuentes informan a la víctima por correo electrónico de que ha sido grabada en situaciones comprometedoras, que serán difundidas entre sus contactos y redes sociales a no ser que realice un pago a modo de rescate.
- Ataques contra la web corporativa: La página web de la empresa es un activo importante, los ciberdelincuentes buscarán atacarla por diversos motivos, como hacerse con información confidencial, utilizarla para perpetrar nuevos ataques o para dañar la imagen de la organización.
- Ransomware: ¿Qué sucedería si toda la información de tu empresa fuera inaccesible? La actividad diaria se vería afectada hasta el punto de detenerse, y si no se cuenta con copias de seguridad funcionales, el tema se puede agravar. El ransomware es un tipo de malware o software malicioso que afecta a la información contenida en los diferentes dispositivos impidiendo su acceso, generalmente cifrándola y solicitando un rescate económico a los afectados a cambio de poder recuperar su acceso. En muchos casos, estos ataques se propagan a otros dispositivos, unidades de red o información en la nube.
- Fraude del falso soporte de Microsoft: El estafador suplanta la identidad de un técnico de Microsoft con el pretexto de solucionar ciertos problemas técnicos en el equipo, siendo el objetivo comprometer la seguridad y privacidad del dispositivo y, por lo tanto, de la propia empresa.
- Campañas de correos electrónicos con malware: El malware vía correo electrónico es una de las principales formas que tienen los ciberdelincuentes para infectar los dispositivos de las víctimas. Un simple correo que aparenta ser una factura, un justificante de compra o cualquier otro señuelo, podría suponer el inicio de una infección que ponga en riesgo la seguridad de la organización.
- Ataques de denegación de servicios: Al igual que los ataques de tipo ransomware, que impiden el acceso a la información de la empresa, los ataques de denegación de servicio imposibilitan el correcto funcionamiento de los servicios que ofrece la empresa tanto a empleados como a clientes.
¿Cómo actuar ante un ciberataque?
Cuando se es víctima de cualquiera de estos ataques o fraudes, es recomendable interponer denuncia a la policía aportando las pruebas disponibles y reportar a INCIBE-CERT por medio del correo incidencias@incibe-cert.es para evitar que otros usuarios caigan en el fraude. Ante cualquier duda, disponéis del número 017 como línea de Ayuda en Ciberseguridad.
Ciberseguridad y Protección de Datos
Cuando el incidente conlleva, por ejemplo, una fuga de información debe gestionarse adecuadamente ya que una mala gestión puede magnificar el efecto negativo de la incidencia. Si la fuga de información afecta a datos personales se considera una brecha de seguridad y la empresa está obligada, dependiendo de la gravedad, a notificar el incidente en un plazo de 72 horas a la Agencia Española de Protección de Datos, autoridades pertinentes u organismos equivalentes. Dependiendo de la tipología de los datos, volumen y exposición de estos, se deberá comunicar dicha brecha también a las personas/usuarios afectadas.
Ejemplos de ciberataques recientes
A modo de ejemplo, estos son algunos de los ciberataques/fraudes que se están llevando a cabo estos días:
- ING alerta de un ataque nuevo de phishing a los clientes vía mail o SMS.
- ‘DHL: su paquete está llegando’: estafa por SMS que infecta tu Android.
- ‘Multa no pagada’: correo fraudulento que suplanta a la DGT.
- Robo masivo de datos personales de clientes de una sex-shop.
- BBVA investiga ataque de phishing que avisa de una suspensión de la cuenta bancaria.
Recomendaciones y conclusiones ante ciberataques
En el próximo post os daremos una serie de pautas a seguir y recomendaciones para evitar estos ciberataques o mitigarlos de la forma más adecuada y correcta si somos víctimas de ellos.
Lo que está claro es que el riesgo cero no existe y todos somos víctimas potenciales de estos tipos de ataques, pero es importante estar alerta y, sobre todo, concienciar al máximo a los empleados, que son el eslabón más importante en la cadena de la seguridad para los ciber delincuentes. Es clave una correcta formación en esta materia a la plantilla.
Si sufres algún ataque de este tipo y no sabes cómo proceder, contacta con nosotros; ya hemos ayudado a unos cuantos clientes a gestionar correctamente incidentes que pueden hacer mucho daño a la reputación de nuestro negocio.
El equipo de PymeLegal.