Visión Empresarial

Aspectos básicos de la seguridad cibernética: cómo proteger a su empresa de los hackers

Cómo las empresas pueden protegerse y reaccionar ante ataques de seguridad de hackers.

La mayoría de las brechas de seguridad cibernética de las compañías importantes, desde Equifax hasta Yahoo, han llegado a los encabezados de las noticias. Mientras que las compañías más pe-queñas tienden a volar por debajo del radar de las fuentes de noticias, no son inmunes a los incan-sables esfuerzos de los hackers. De hecho, el riesgo es incluso mayor, ya que muchos dueños no tienen un protocolo ni un plan de seguridad cibernética implementados.

Debido a que las empresas más pequeñas suelen tener menos flujo de dinero y ahorros, el hecho de que sus actividades comerciales se interrumpan debido a un ataque menor puede ser catastrófico desde el punto de vista financiero. Ponemon Institute, una empresa independiente que investiga sobre la privacidad, la protección de datos y las políticas de seguridad de la información, dijo que el costo promedio mundial de las brechas de datos es ahora $3.62 millones de dólares, mientras que el costo promedio de cada registro perdido o robado de información privada y confidencial es de $141 dólares.

“En el mundo interconectado en el que vivimos, ninguna organización está segura de la amenaza de los ataques cibernéticos, brechas de datos, pérdida de información privada o incluso los ataques básicos de negación de servicio (DoS)”, dice Nathan Wenzler, jefe de estrategias de seguridad en AsTech, una compañía de consultoría en seguridad con base en San Francisco. “Independientemen-te del tamaño, cada empresa tiene acceso a experiencia en seguridad cibernética para identificar formas de mitigar ese riesgo al proteger activos críticos y ayudar a implementar dichas estrategias de manera eficiente y efectiva de una manera posible”.

Los puntos de entrada de los hackers para interrumpir su negocio

Mientras que los hackers son capaces de cerrar un negocio temporalmente o incluso permanente-mente, la probabilidad es mayor de lo que muchos dueños de empresas creen. Si los hackers son capaces de obtener datos privados, es probable que amenacen a las empresas con ransomware cos-tosos.

“Una brecha importante en verdad puede sacar de actividad a una compañía. Sin embargo, la mag-nitud del daño y la capacidad de la empresa de recuperarse depende de varios factores”, dice Serge Borso, instructor adjunto en SecureSet, una academia inmersiva y acelerada de seguridad cibernéti-ca con base en Denver. “En casos que involucran ransomware, un componente crítico para limitar el impacto negativo es implementar una segmentación adecuada y hacer copias de seguridad perió-dicas de los sistemas y datos críticos”.

Las compañías que dependen de los pagos por medios móviles pueden mitigar riesgos al usar un dispositivo dedicado en lugar de un dispositivo personal o de múltiples propósitos y una red priva-da virtual, conocida como VPN. El objetivo es reducir la amenaza a los sistemas y redes que están procesando los pagos.

“Las terminales de punto de venta deben ser monitoreadas físicamente por empleados o gerentes para asegurarse de que no hayan sido saboteadas así como también virtualmente para validar que están funcionando según han sido diseñadas, por ejemplo con el cifrado de extremo a extremo”, recomienda.

Proteger los activos de una compañía de un robo o un gran incendio o terremoto es una prioridad para los dueños de empresas, pero el mismo escrutinio debe tomarse para prevenir el fraude de los delincuentes cibernéticos.

“Esto se trata más de la preparación de una organización para un incidente, que de las actividades delictivas”, explica Chris Roberts, jefe de arquitectura de seguridad de Acalvio, un proveedor de detección avanzada de amenazas y soluciones de defensa con base en Santa Clara, California. “La misma lógica se aplica si una compañía está en el medio de una inundación”.

No ser capaz de acceder a los registros de accesos o sistemas de pago por un tiempo prolongado podría ser nefasto para las finanzas. “La mayoría de las compañías quebrarían si no pueden proce-sar pagos o enviar facturas durante un corto período de tiempo”, dice.

Las pequeñas empresas se están volviendo con más frecuencia el objetivo de la comunidad de ha-ckers de sombrero negro, que está compuesta por hackers que entran en un sistema o red informá-ticos con intención maliciosa, dice Mary Ann Miller, directora sénior y asesora ejecutiva sobre fraude en NICE Actimize, un proveedor de soluciones de software para delitos financieros con base en Hoboken, Nueva Jersey. Los estafadores piratean credenciales de inicio de sesión o las compran a través de brechas de datos en la Internet oscura de cuentas de correo electrónico de pe-queñas empresas y consumidores.

La técnica más popular es hacer la ingeniería social de la pequeña empresa y luego redireccionar la dirección de correo electrónico para cometer el fraude. El spoofing (redireccionamiento) puede hacerse fácilmente y con solo cambiar una letra, si el nombre de una compañía es “Hello.com”, el estafador lo cambia a “Hel!o.com”, explica.

“El ligero cambio es muy difícil de detectar a primera vista”, afirma Miller. “El estafador comienza a comunicarse con la pequeña empresa y hace la ingeniería social de la empresa para pagar una factura o boleta que está por vencer, pero dirige los fondos a la cuenta bancaria controlada por el estafador”.

Los estafadores pueden comprender fácilmente la relación y las comunicaciones entre la pequeña empresa y sus proveedores o clientes, ya que han estado leyendo y espiando su bandeja de entrada.

Cómo revertir los ataques de hackers

“Las compañías más pequeñas que no pueden pagar a un empleado a tiempo completo para preve-nir el fraude deben buscar un contratista que pueda ir durante unas horas o una vez a la semana”, recomienda Roberts.

“Hay demasiadas cosas por hacer para ser capaz de recordar todo usted mismo”, agrega. “Es así de simple. Usted no liquida los impuestos como pequeña empresa. Usted contrata a un contador y tiene a personal de mantenimiento para cuidar el lugar. Para nuestro caso es igual. Hay que contra-tar a alguien que sepa lo que está haciendo”.

Si bien los hackers no descansan en sus actividades, incluso las empresas en expansión pueden protegerse y reducir el riesgo al abrir una cuenta para pequeñas empresas en su banco”, dice Miller.

“Su banco se asegurará de que tenga las protecciones y le enseñará con regularidad los ataques fraudulentos más recientes contra pequeñas empresas y los pasos que debe tomar para proteger a su empresa”, añade.

Los dueños de pequeñas empresas no pueden confiarse en un solo servicio o sistema para mitigar efectivamente los riesgos de fraude en transacciones y en línea, recomienda East West Bank. En cambio, deben buscar adoptar distintas prácticas de mitigación de riesgo, como múltiples capas de seguridad, refinamiento de procedimientos operativos y controles de sistemas, así como la instala-ción de IBM® Security Trusteer Rapport® y otro software de seguridad para obtener altos niveles de protección de seguridad.

Una táctica común que los estafadores usan es enviar un correo electrónico solicitando el pago de servicios o un producto. Los dueños de empresas deben verificar la información de pago con el proveedor cuando reciben un correo electrónico y llamar para confirmar que las instrucciones de pago sean precisas. Los estafadores suelen intentar engañar a los dueños alterando las instrucciones del correo electrónico original, de manera que el dinero sea redirigido a ellos en lugar del proveedor legítimo. Implementar controles de dos factores para iniciar sesión en las comunicaciones por co-rreo electrónico de la empresa también es algo beneficioso, explica Miller.

Si bien los dueños y los empleados son indiferentes a cambiar sus contraseñas con frecuencia, esto puede ser la perdición para muchas compañías, dice Roberts.

“Comience a prestar atención a esas contraseñas que no le gusta cambiar o si usa la misma para el trabajo y para Yahoo o Facebook”, aconseja. “Cámbielas, sepárelas y, básicamente, comience a llevar el control de las contraseñas”.

A medida que más datos se almacenan en la nube, las compañías necesitan asegurarse de limitar la información que comparten con proveedores y vendedores, y de implementar las protecciones ne-cesarias, dice Steve Durbin, director ejecutivo de Information Security Forum, una autoridad sobre cibernética, seguridad de la información y gestión de riesgos con base en Londres.

“Las organizaciones de todos los tamaños necesitan entender por completo hasta qué punto pueden confiar en el almacenamiento y la informática en la nube”, dijo. “Es posible que tengan datos en la nube que ni siquiera saben que están allí”.

Confiar únicamente en las soluciones de seguridad reactivas, que generalmente se implementan después de una brecha de datos, no es un método efectivo, explica Wenzler.

Las soluciones de seguridad proactivas, como sistemas de parches o ejecutar un software de antivi-rus en los puntos finales, pueden solucionar códigos vulnerables o “actuar como una pared para detener a los virus y malware antes de que se instalen, mucho antes de que estos sistemas puedan ser explotados”, expresa.

La mayoría de las compañías abordan el problema del hackeo con una combinación de soluciones proactivas y reactivas, añade Wenzler.

“En raras ocasiones solo una o la otra funcionan para proteger completamente a los datos y activos críticos de una organización. Se requiere una cantidad razonable de análisis por parte de profesio-nales capacitados en seguridad y riesgo para entender las necesidades específicas de una organiza-ción y determinar qué capas de defensa son las más adecuadas”, explica.