Las necesidades de los ciberdelincuentes pasan por los datos personales, que son los que les permiten alcanzar lo que realmente buscan: el dinero. Se tiende a pensar que se centran en las grandes fortunas y empresas, sin embargo, tal y como reflejan las estadísticas, más del 60% de las pymes a nivel global han sufrido ciberataques durante 2022.
Las pequeñas y medianas empresas contribuyen en gran medida a la economía global. Según la Organización Mundial del Comercio, este tipo de organizaciones representan más del 90% del negocio de todo el mundo. Los ataques cibernéticos provocan pérdidas de información confidencial y financieras y devalúan el valor de mercado de la empresa, mientras los delincuentes tratan de alcanzar sus objetivos. Las pymes consideran que los incidentes de ciberseguridad son el tipo de crisis que implica más desafíos. En Kaspersky, hemos determinado cuáles serán las amenazas más importantes para las pymes durante 2023 y de qué manera pueden detectarse y prevenirse.
Pérdidas de datos causadas por empleados
Los datos de las empresas se pueden filtrar de diferentes maneras, y en muchas ocasiones es algo que sucede de forma involuntaria. Durante la pandemia, quienes tuvieron que teletrabajar utilizaron los ordenadores corporativos con otros propósitos, como jugar a videojuegos online, ver películas o utilizar plataformas de aprendizaje. En 2020, el 46% de los empleados jamás había trabajado en remoto. Ahora, dos tercios de ellos aseguran que no volverá a la oficina, mientras el resto reconoce tener una semana presencial más corta. Es una tendencia que ha llegado para quedarse y que supone una amenaza económica para las empresas.
El nivel de ciberseguridad ha mejorado tras la pandemia, pero el uso de ordenadores de empresa utilizados para el entretenimiento es una de las formas de acceso más comunes a la red interna de una organización. Cuando se usan fuentes alternativas para la descarga de películas o series de reciente estreno se pueden encontrar diferentes tipos de malware: troyanos, spyware, backdoor o adware. Según las estadísticas manejadas por Kaspersky, el 35% de los usuarios que fueron vulnerados a través de plataformas de streaming se vieron afectados por troyanos. Cuando este malware acaba en un ordenador corporativo, los atacantes pueden, entre otras cosas, acceder a la red de la empresa y robar información confidencial, incluidos los planes de desarrollo comercial o datos personales de empleados.
Se tiende a culpar a ex trabajadores de la empresa de posibles filtraciones de datos. Sin embargo, según un estudio de Kaspersky, solo la mitad de los responsables de estas organizaciones está seguro de que sus ex empleados carecen de acceso a datos de la empresa almacenados en la nube o al uso de cuentas corporativas. Es posible que ni siquiera el propio ex trabajador sepa que tiene acceso a estos recursos, lo que no es óbice para que una verificación rutinaria muestre que personas sin autorización pueden acceder a información confidencial. Algo que, además, puede ser motivo de multas.
La salida de un empleado de una manera cordial tampoco evita el peligro. ¿Quién garantiza que no usó contraseñas débiles que pueden ser descubiertas por los atacantes? Cualquier acceso de manera reiterada a un sistema, ya sea entornos colaborativos, correos de trabajo o máquinas virtuales, incrementa la superficie de ataque. Hasta un chat entre empleados sobre temas no necesariamente laborales puede utilizarse para realizar ataques basados en ingeniería social.
Ataques de denegación de servicio (DDoS)
Los ataques DDoS ponen al límite los recursos de la empresa, como su página web. El modus operandi es sencillo: se envían múltiples solicitudes de acceso a la página para sobrepasar su capacidad de gestionar el tráfico. El volumen de peticiones es tan grande que deja de funcionar con normalidad.
Los ciberdelincuentes utilizan distintos métodos para actuar sobre bancos, retailers o pymes, y con frecuencia recurren a los ataques DDoS. Hace poco, la web alemana Takeaway.com fue extorsionada de esta forma. Los atacantes solicitaron dos bitcoins (32.000 euros) para detener el ataque. Los incidentes a través de DDoS a comercios online aumentan en Navidad, momento en el que los clientes están más activos.
También se ha visto una tendencia creciente en el sector del gaming. Los data centers norteamericanos de Final Fantasy 14 fueron atacados en agosto. Los jugadores experimentaron problemas de conexión, registro y también al compartir datos. Los juegos multijugador de Blizzard (Call of Duty, World of Warcraft, Overwatch, Hearthstone y Diablo: Inmortal) también fueron atacados a través de DDoS. Hay que tener en cuenta que muchos ataques de este tipo no son reportados porque las cantidades a pagar no son muy altas.
Cadena de suministro
Los ataques a través de la cadena de suministro implican que un servicio o programa utilizado temporalmente se vuelva malicioso. Son lanzados a través de vendedores o proveedores de la empresa: bancos, empresas de logística o, incluso, servicios de entrega de comida. Estos incidentes son diferentes tanto por su complejidad como por su nivel de destrucción.
Por ejemplo, se ha visto cómo algunos atacantes usan ExPetr (alias NotPetya) para comprometer el sistema de actualización automática del software de contabilidad M.E.Doc, a fin de que envíe ransomware a sus clientes. Grandes empresas y pymes se han visto afectadas, con el resultado de pérdidas millonarias.
CCleaner, uno de los programas más conocidos para la limpieza de registros y utilizado tanto por usuarios de a pie como por administradores de sistemas, también fue comprometido. Los atacantes incluyeron una puerta trasera o Backdoor en varias versiones, las cuales se distribuyeron durante un mes desde las webs oficiales de la empresa. Se descargaron 2,27 millones de veces y al menos 1,65 millones de copias de malware trataron de comunicarse con los servidores de los ciberdelincuentes.
También son significativos los incidentes DiceyF en el sudeste asiático, centrados principalmente en un operador de casinos online. Es también digno de mención SmudgeX, un ataque avanzado persistente (APT) desconocido que comprometió un servidor de distribución, reemplazando un instalador legítimo con un troyano que propagó PlugX entre los empleados públicos de un país del sur de Asia que tenían que instalar la herramienta. Casi con toda seguridad, los sistemas TI que administraban el servidor de distribución y los desarrolladores se vieron afectados.
Malware
Se puede encontrar en cualquier lugar. Si se descargan archivos ilegítimos, es importante asegurarse de que no haya malware. Las amenazas más activas son los encriptadores que se centran en los datos, el dinero o la información personal de los propietarios de la empresa. En este sentido, hay que mencionar que más de una cuarta parte de las pymes usan software pirateado o sin licencia para reducir los costes. Este software puede incluir archivos maliciosos o no deseados que amenazan las redes y equipos corporativos.
Los empresarios deben tener también en cuenta los brokers ilegales que facilitan a terceros el acceso a las empresas, algo que causará un gran daño en 2023. Utilizan cryptokacking, robo de claves bancarias, ransomware, robo de cookies y otro malware muy problemático. Vale como ejemplo Emotet, el malware que roba contraseñas bancarias y afecta a organizaciones de todo el mundo. Otro grupo que se enfoca en las pymes es DeathStaller, conocido por sus ataques a entidades de tipo legal, financieras y del sector de los viajes. Se centra en el robo de información confidencial relativa a causas legales en las que están involucradas personas de relevancia y grandes activos financieros, inteligencia comercial y fusiones y adquisiciones.
Ingeniería social
Desde el comienzo de la pandemia, muchas empresas han derivado a Internet gran parte de su flujo de trabajo, aprendiendo además a utilizar herramientas colaborativas. Es digno de mención en este sentido el aumento del uso de Microsoft Office 365. No sorprende que el phishing se centre cada vez más en las cuentas de quienes utilizan esta plataforma. Los estafadores recurren a todo tipo de trucos para que los usuarios introduzcan sus contraseñas en sitios webs que simulan ser los verdaderos.
Desde Kaspersky hemos descubierto nuevas y elaboradas formas de engaño dirigidas a los propietarios de las empresas. Algunos de ellos se hacen pasar por servicios de préstamo o entregas, compartiendo sitios web falsos o enviando correos con documentos de contabilidad engañosos. Otros atacantes se hacen pasar por plataformas online legítimas, como Wise Transfer, para obtener beneficio de sus víctimas.
Otro descubrimiento de los analistas de Kaspersky fue un enlace a una web traducida utilizando Google Translate. Los atacantes utilizaron este servicio para eludir los mecanismos de seguridad de las empresas. Así, se envía un correo electrónico con un archivo que incluye un documento de pago que parece apuntar a un sitio traducido por Google Translate, pero en realidad conduce a una web falsa que busca robar dinero a la víctima.
En resumen, los cibercriminales tratarán de llegar a sus víctimas de cualquier manera posible: software sin licencia, sitios web, correos electrónicos con phishing, brechas en la red de seguridad del negocio o ataques DDoS masivos. Una reciente encuesta de Kaspersky mostró que el 41% de las pymes cuenta con un plan de prevención frente a crisis, por lo cual se deduce que se preocupan de la ciberseguridad y comprenden la dificultad en la solución de los incidentes de este tipo. Esperamos que esto se traduzca en la implementación de soluciones de seguridad fiables.
Para proteger el negocio de ciberataques, Kaspersky recomienda lo siguiente:
- Implementar una política de contraseñas robustas, que incluyan ocho letras, un número, mayúsculas, minúsculas y un carácter especial. Hay que asegurarse de que se cambien las contraseñas cuando se sospeche que hayan podido ser comprometidas. Para poner esto en práctica y sin esfuerzos adicionales se debe utilizar una solución de seguridad que incluya un gestor de contraseñas.
- No ignorar las actualizaciones de los fabricantes de software y hardware. No solo incluyen nuevas características y mejoras de interfaz, también solucionan problemas de seguridad.
- Mantener en la plantilla un nivel alto de concienciación en torno a la seguridad. Es importante animar a los trabajadores a que se informen de las amenazas actuales y las formas de proteger tanto su vida personal como la laboral. Es interesante llevar a cabo programas de formación, que ahorrarán tiempo a los departamentos informáticos y darán buenos resultados.