Qué es la ciberseguridad y por qué la necesitas en tu empresa

La ciberseguridad, seguridad informática o seguridad de las tecnologías de la información es el conjunto de prácticas y medidas para asegurar la integridad, confidencialidad y disponibilidad de la información en redes y sistemas informáticos.

Pero…

¿Realmente es necesaria la ciberseguridad?

Muchas empresas se creen ajenas a los peligros de tener infraestructuras informáticas vulnerables y viven en la ilusión de que un ciberataque es algo que solo le puede pasar a las grandes multinacionales. Sin embargo, cada día son más frecuentes los ataques automatizados que atacan indiscriminadamente a grandes empresas, pymes y usuarios particulares.

Como ya sabrás, en 2017 hubo un ciberataque a escala mundial producido por el ransomware WannaCry que afectó a más de 300.000 dispositivos en más de 150 países.

En las noticias aparecieron los casos de las grandes empresas afectadas, pero precisamente estas son las que se vieron menos impactadas, ya que disponen de medidas de seguridad y protocolos de actuación para minimizar los daños en estas situaciones. En cambio, hubo muchas pequeñas y medianas empresas cuyos casos no salieron en los medios que también se vieron afectadas.

La mayoría de pymes no están preparadas para un ataque informático, no han tomado medidas preventivas para evitarlos, tienen muchas vulnerabilidades conocidas y desconocidas y, una vez que detectan el ataque, no tienen un protocolo de actuación. O el que tienen no es el adecuado para solucionar o paliar el problema.

Según un estudio realizado por Kaspersky Lab y Ponemon Institute en 2017, el 60% de las pequeñas empresas que sufren un ciberataque desaparece a los 6 meses. Otros datos relevantes son que el 43% de los ciberataques afecta a pymes o que los costes directos que debe asumir una pyme después de un ataque ascienden a 35.000 euros de media.

Qué hacer para que tu negocio esté 100% protegido contra los ciberataques

Lo primero es dejar de pensar que puedes estar protegido al 100% contra los ciberataques. Tu negocio nunca estará completamente protegido, pero lo que sí puedes hacer es tomar medidas para disminuir el riesgo de que se produzcan y, en caso de que pase, atenuar los daños.

Empieza por solucionar las vulnerabilidades más básicas. Para ello debes:

• Tener los sistemas operativos actualizados y con los parches de seguridad instalados.
• Configurar correctamente los firewalls de tus dispositivos.
• Tener instalado un antivirus en tus ordenadores.
• Cambiar las contraseñas por defecto.
• Establecer una política de backups, realizando copias de seguridad periódicas.
• Configurar correctamente el software que tienes instalado.
• Formar y concienciar a tus trabajadores sobre seguridad informática.

Además ten en cuenta estos comportamientos de riesgo que debes evitar:

• Usar dispositivos de almacenamiento externo ajenos a la empresa, como discos duros o memorias externas USB personales.
• Subir archivos a la nube sin cifrar.
• Usar programas pirata.
• Usar las redes sociales personales en los equipos de la empresa.
• No realizar copias de seguridad del trabajo diario así como de información de clientes.
• Conectarse a redes WiFi públicas con el móvil o portátil de empresa sin usar una VPN.
• Ausentarse del puesto de trabajo sin bloquear equipos o cerrar sesión.
• Gestionar contraseñas y permisos de forma incorrecta.
• Descargar ficheros de emails recibidos de fuentes desconocidas y sin analizar con un antivirus.
• No notificar las incidencias de seguridad a los responsables de la empresa.

El eslabón más débil de la cadena, el ser humano

Una empresa ya puede tener perfectamente configurados y actualizados sus dispositivos, con un antivirus con análisis a tiempo real, un cortafuegos muy restrictivo a todas las conexiones externas, o la última tecnología en seguridad informática, que seguirá siendo vulnerable si sus empleados no están formados en el ámbito de la ciberseguridad.

Estos ciberataques basados en explotar al propio ser humano son los llamados ataques de ingeniería social.

Algunos de los ataques que tu empresa puede sufrir si tus empleados no están correctamente formados y concienciados sobre la seguridad informática son:

Phishing

Se trata de uno de los ataques más comunes, pero ¿qué es phishing? Normalmente este ataque comienza con la recepción de un email que simula ser de una fuente de confianza, como por ejemplo una entidad bancaria. En dicho email se le indica a la víctima que, por un motivo u otro, debe realizar alguna acción en la web del banco, y en el mismo email se le facilita un enlace a la web para que inicie sesión en su cuenta.

Si la víctima clica en el enlace llegará a una página web que simula ser la del banco, pero que en realidad es una página creada por el cibercriminal. El usuario introduce en la página falsa sus datos de acceso, los que son reenviados al cibercriminal mientras que la víctima será redirigida a la verdadera página del banco mostrándole el típico mensaje de error de que la contraseña no es correcta. La víctima pensará que se ha equivocado al introducir la contraseña y después de volver a intentarlo conseguirá acceder a la cuenta del banco por lo que no sospechará que ahora el cibercriminal dispone de los datos de acceso a su cuenta bancaria.

En un futuro artículo hablaremos más en profundidad sobre qué es el phishing, cómo funciona, cómo evitar caer en él.

Baiting

Esta modalidad de ataque de ingeniería social se basa en explotar la curiosidad de las personas. Un caso de baiting sería infectar una memoria USB con un troyano y dejarla en el suelo junto a la entrada de la empresa para que uno de los empleados se la encuentre y la inserte en uno de los ordenadores de la empresa para ver qué contiene.

Una vez insertada la memoria USB en el ordenador, el troyano infecta el equipo e intenta propagarse a través de la red local al resto de equipos de la empresa, proporcionándole al cibercriminal acceso remoto a todos los equipos que consiga infectar.

Pretexting

Esta técnica consiste en suplantar la identidad de alguien para obtener información de este o de terceros. Por ejemplo, un pretexting sería llamar a un servicio de atención al cliente -como una compañía telefónica- haciéndose pasar por un cliente, con el fin de obtener más información de él. De esta manera puedes conseguir, por ejemplo, el registro de llamadas.

Normalmente para realizar estos ataques, el cibercriminal ha tenido que realizar una investigación previa recabando información básica del cliente. En general, la mayor parte de la información necesaria está expuesta de forma pública en redes sociales como por ejemplo la fecha de nacimiento, la dirección de residencia, etc.

Si crees que tu empresa no cuenta con los protocolos de seguridad necesarios para proteger los datos de tus trabajadores y de tus clientes, contacta con nuestro equipo de desarrolladores web. Ellos te podrán entregar una solución ajustada a tus necesidades.