En los últimos años, el cambio al teletrabajo causado por la COVID-19 combinado con la transformación digital de numerosas organizaciones ha creado oportunidades para los cibercriminales. Por ello, es esencial que todas las empresas, tanto grandes como pequeñas, entiendan cuáles son las principales amenazas y los problemas de seguridad de los sitios web, a fin de que puedan tomar medidas para protegerse. Sigue leyendo para obtener más información.
Riesgo de ciberseguridad para empresas n.º 1: ransomware
Según los informes, el 80 % de las empresas del mundo experimentaron algún tipo de ataque de ransomware en 2021. El ransomware es software que restringe el acceso de los usuarios a los ordenadores o restringe el acceso a los datos mediante el cifrado de la información. El usuario debe introducir una clave especial para restaurar el acceso, y el hacker solo proporcionará la clave cuando se le pague el rescate. El ransomware más malicioso borra todos los datos del usuario, incluso si se paga el rescate.
Muchos propietarios de pequeñas o medianas empresas creen que son peces diminutos en un océano de ballenas corporativas, y que estas son mucho más atractivas para los criminales. Leen noticias sobre ciberataques de gran repercusión en grandes empresas y se sienten seguros en comparación, pero las grandes empresas han aprendido por las malas a reforzar su protección contra ciberintrusos y han mejorado sus defensas contra futuros ataques.
Como resultado, los cibercriminales ven a las pymes como objetivos fáciles, ya que suelen tener una protección mínima y no disponen del conocimiento para evitar el robo de datos en sus ordenadores. Las contraseñas están al alcance de la mano, del mismo modo que los datos bancarios, las direcciones residenciales e incluso los números del seguro social. Armados con esta información, los ciberladrones pueden drenar fondos, robar identidades y lanzar ciberataques contra empresas e incluso gobiernos.
Cómo pueden protegerse las empresas contra el ransomware
Adoptar medidas de seguridad por capas: para reducir el riesgo de ransomware, se debe adoptar un enfoque de ciberseguridad por capas. Esto significa utilizar conjuntamente varias herramientas de seguridad. Por ejemplo, utiliza un antivirus de buena calidad en cada dispositivo y mantenlo actualizado, instala un firewall y utiliza filtros de spam y prevención contra la pérdida de datos en la nube. Utilizar una combinación de herramientas significa que, si una falla, el resto sigue funcionando como refuerzo.
Realizar copias de seguridad de los datos: asegúrate de que la empresa tenga una copia de seguridad del sistema completa y sin conexión que esté actualizada y separada de la red principal. Esto te permitirá acceder a los datos incluso si tu empresa es víctima del ransomware. Prueba la copia de seguridad regularmente para asegurarte de que funcionará cuando la necesites.
Revisar la política de BYOD (siglas en inglés de “Trae tu propio dispositivo”): con el cambio al teletrabajo, los empleados a veces utilizan sus propios ordenadores portátiles o dispositivos móviles para trabajar y acceder a la red de la empresa. Esto implica un riesgo, ya que es posible que estos dispositivos no tengan un antivirus adecuado u otro software de seguridad instalado. Si los empleados trabajan mientras viajan, puede que accedan a redes wifi públicas que no son seguras. Para contrarrestarlo, puedes restringir el acceso a la red para los dispositivos de la empresa y exigir que los empleados accedan a ella mediante una red privada virtual (VPN).
Riesgo de ciberseguridad para empresas n.º 2: phishing
El phishing es otra ciberamenaza significativa para las empresas. El phishing se refiere a los intentos de obtener información confidencial como nombres de usuarios, contraseñas y datos de tarjetas de crédito mediante correos electrónicos fraudulentos diseñados para parecer reales, o a veces mediante sitios web falsos. Tradicionalmente, los fraudes de phishing se realizaban por correo electrónico. Sin embargo, en los últimos años, es más frecuente que los fraudes de phishing se realicen por mensajes de texto (denominado smishing) y por llamadas telefónicas (denominado vishing).
El término spear phishing se utiliza para referirse a intentos de phishing cuyo objetivo es una persona específica o una empresa. Los cibercriminales utilizan técnicas de ingeniería social para personalizar los mensajes destinados a los objetivos a fin de que parezcan correos electrónicos reales enviados por sus contactos conocidos. Utilizan varias fuentes de información online (como las redes sociales o los sitios web de las empresas) para desarrollar un perfil de sus objetivos. Puede que incluso llamen por teléfono a una empresa haciéndose pasar por un cliente para obtener información bancaria y otros datos.
Los correos electrónicos suplantados suelen enviarse directamente al encargado de las cuentas de la empresa con una solicitud para desembolsar los fondos en la cuenta bancaria de un cliente. El correo electrónico proporciona la información bancaria y los detalles de la transferencia de fondos. Al no ser conscientes del engaño, muchos encargados han enviado cantidades que van desde unos pocos miles de dólares hasta millones de dólares a las cuentas bancarias de los cibercriminales.
Cómo las empresas pueden protegerse del phishing
Tener en cuenta la huella digital: es consciente de la información de la empresa disponible públicamente en Internet (es decir, la huella digital) y cómo puede exponer al personal a este tipo de crimen. Por ejemplo, enumerar a todo el personal directivo con enlaces a sus perfiles de LinkedIn, sus direcciones de correo electrónico y números de teléfono puede aumentar el riesgo de que se conviertan en víctimas de phishing (puedes leer más sobre los problemas de privacidad de LinkedIn aquí).
Utilizar filtros de correos electrónicos: por sí mismo, un filtro de correo electrónico no garantiza que no se reciban correos electrónicos de phishing, pero sí ayuda a mejorar la protección. Los proveedores de correo electrónico ofrecen una variedad de filtros para correos no deseados y spam, de modo que vale la pena investigar el mercado a fin de elegir el proveedor más adecuado.
Utilizar antivirus: tener un antivirus completo y actualizado instalado en cada dispositivo ayuda a proteger la empresa de los ataques de phishing y de otras muchas ciberamenazas. Los antivirus con funciones antiphishing analizarán los archivos adjuntos de los correos electrónicos para comprobar si son de riesgo.
Mantenerse alerta: prestar atención a las señales de phishing. Por ejemplo, es poco probable que haya errores gramaticales y de ortografía en un correo electrónico del banco en el que soliciten los datos personales. Si un correo electrónico intenta crear una sensación de urgencia (por ejemplo, al decirte que tu cuenta fue hackeada y debe restablecerse inmediatamente), puede ser una señal de alerta. Si un mensaje contiene una URL, pasa el cursor por la URL para comprobar que lleve a la página correcta. También es importante verificar que la URL tenga un certificado SSL y comience con HTTPS. En general, si recibes un correo electrónico de un remitente desconocido, no abras los archivos adjuntos.
Riesgo de ciberseguridad para empresas n.º 3: contraseñas débiles
Otro riesgo de seguridad informática importante para las empresas es que los empleados utilicen contraseñas débiles y fáciles de adivinar. Utilizar contraseñas débiles o fáciles de adivinar, o usar las mismas contraseñas para múltiples cuentas, puede hacer que información sensible o financiera se vea comprometida. Las empresas pequeñas suelen estar particularmente en riesgo, ya que es posible que los empleados utilicen contraseñas más débiles debido a un mayor desconocimiento de los riesgos de seguridad en Internet. Una media del 19 % de los profesionales de empresas utilizan contraseñas fáciles de adivinar o utilizan las mismas contraseñas en diferentes cuentas.
Los hackers desarrollan programas que aplican diccionarios llenos de millones de contraseñas con el objetivo de obtener acceso forzoso a los sistemas de TI de personas o empresas. Estos se denominan ataques de fuerza bruta y tienen una tasa alta de éxito en el acceso a ordenadores. Cuando un hacker encuentra la contraseña de una aplicación de software, la probabilidad de obtener acceso a otras cuentas con la misma contraseña es alta.
Cómo pueden protegerse las empresas de las contraseñas débiles
Crear una política de contraseñas seguras y aplicarla técnicamente: una contraseña segura contiene al menos 15 caracteres e incluye una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Los usuarios deben evitar secuencias numéricas simples como “12345” o nombres de parejas, hijos o mascotas en las contraseñas, dado que los hackers pueden obtener esta información fácilmente de las redes sociales. Algunas empresas exigen a sus empleados que cambien sus contraseñas al menos cada 90 días.
Utilizar un administrador de contraseñas: los empleados deberían considerar el uso de un administrador de contraseñas para generar y mantener contraseñas largas y complejas que pueden pegarse en las páginas de inicio de sesión de las aplicaciones.
Activar la autenticación de múltiples factores: la autenticación de múltiples factores o MFA garantiza que los usuarios necesiten más que una contraseña para obtener acceso a las cuentas empresariales. Esto incluye pasos de verificación adicionales, como recibir un código de acceso en el móvil. Esta capa de seguridad adicional ayuda a evitar que los atacantes accedan a las cuentas empresariales, incluso si han adivinado correctamente la contraseña.
Cambiar las contraseñas predeterminadas: un error común es no cambiar las contraseñas predeterminadas de los fabricantes en los móviles, los ordenadores portátiles y otros tipos de equipos informáticos. Cambia todas las contraseñas predeterminadas antes de entregar los dispositivos al personal. Revisa los dispositivos y el software con regularidad para detectar contraseñas predeterminadas que no se hayan modificado.
Riesgo de ciberseguridad para empresas n.º 4: dispositivos móviles
Las empresas suelen proporcionar teléfonos inteligentes, ordenadores portátiles y tabletas al personal para que pueda trabajar de manera remota y flexible. Como consecuencia, se almacenan más datos en tabletas y teléfonos inteligentes que nunca. Estos dispositivos son tan potentes como los ordenadores tradicionales y, dado que son portátiles y pueden utilizarse fuera de la seguridad de la oficina y el hogar, necesitan aún más protección que los equipos de sobremesa. Sin embargo, en muchas empresas, la mayoría de puntos de conexión portátiles no tienen protección contra las amenazas de vulnerabilidades de phishing, malware y SO de móviles, lo que los convierte en uno de los mayores riesgos de ciberseguridad.
Cómo las empresas pueden proteger los dispositivos móviles
Activar la protección de contraseñas:utiliza un PIN o una contraseña complejos para evitar que cualquier criminal promedio pueda acceder al teléfono. Muchos dispositivos incluyen reconocimiento facial o de huellas dactilares para bloquearlos, lo que reduce la necesidad de utilizar contraseñas. Estas funciones no siempre están activadas de forma predeterminada, de modo que se debe comprobar que estén funcionando.
Asegurarse de que los dispositivos perdidos o robados puedan rastrearse o bloquearse, o que se puedan eliminar sus datos: si se roba o pierde un dispositivo de un empleado, deberías poder rastrearlo y eliminar todos los datos de forma remota. Los códigos de acceso pueden disuadir temporalmente a los ladrones, pero el hecho de poder eliminar toda la información valiosa de un dispositivo antes de que accedan a ella elimina totalmente el riesgo. Asegúrate siempre de que esta función esté activada en cada dispositivo móvil de los empleados.
Realizar copias de seguridad de los datos: del mismo modo que realizas copias de seguridad de los datos de los ordenadores con regularidad, deberías hacer copias de los datos de los dispositivos móviles de la empresa. Si un dispositivo se pierde o lo roban, es tranquilizador saber que los datos valiosos están seguros y se pueden restablecer.
Mantener las aplicaciones y los dispositivos actualizados: comprueba que tengas las últimas versiones del software y las aplicaciones para asegurarte de los parches de seguridad más recientes.
Crear una política de seguridad para móviles: antes de que cualquier empleado empiece a trabajar desde un dispositivo móvil, establece una política de uso aceptable de acuerdo con los reglamentos legales. Al proporcionar directrices sobre qué hacer cuando un dispositivo se pierde o lo roban, el personal sabrá cómo actuar y podrá hacerlo rápidamente. Los empleados debe leer y firmar una copia de la política antes de empezar a utilizar un dispositivo móvil de la empresa para manifestar que son conscientes de los riesgos y saben cómo mantenerse seguros.
Cifrar siempre los datos: es esencial habilitar el cifrado en los teléfonos móviles de la empresa. El cifrado de dispositivos móviles convierte los datos almacenados en el teléfono a un formato ilegible. Al igual que con la protección de contraseñas para teléfonos, los usuarios deben introducir un PIN o contraseña de cifrado para descifrar los datos. Los teléfonos modernos suelen incluir un nivel de protección y cifrado de contraseñas, aunque algunos son más seguros que otros. Por ejemplo, con Android, cuando creas el código de acceso, se te ofrece la opción de activar el cifrado. Habilita el cifrado en todos los dispositivos físicos, y respáldalo con software de cifrado de datos según sea conveniente.
Riesgo de ciberseguridad para empresas n.º 5: errores humanos
Según un estudio de 2021 realizado por IBM, los errores humanos causan el 95 % de las vulneraciones de seguridad. En otras palabras, las acciones accidentales (o la falta de acciones) permiten que se produzcan las vulneraciones. A menudo, esto se refiere a errores simples como hacer clic en archivos adjuntos sospechosos en correos electrónicos, visitar sitios web de riesgo o utilizar contraseñas débiles o la misma contraseña para varias cuentas (y, por lo tanto, hay coincidencias significativas con otros riesgos descritos en este artículo, dado que los errores humanos suelen ser el hilo conductor). Básicamente, los cibercriminales se aprovechan de las debilidades humanas.
Cómo pueden protegerse las empresas de los errores humanos
Ofrecer formación: la mayoría de los errores humanos se deben a que los empleados desconocen los riesgos. Los errores humanos se pueden reducir mediante una formación eficaz de concienciación sobre los riesgos de ciberseguridad, lo que incluye enseñar a los empleados los riesgos de la ingeniería social. El objetivo debería ser concienciar sobre las amenazas de ciberseguridad en las empresas, de modo que pueda establecer un buen nivel de protocolo informático. La capacitación del personal, los correos electrónicos o boletines informativos internos regulares y los cursos de iniciación laborales ayudarán.
Reducir la carga de contraseñas: aunque es esencial contar con una política de contraseñas seguras, la mejor forma de reducir los errores humanos es disminuir la cantidad de contraseñas. Esto puede lograrse mediante el uso de administradores de contraseñas (con la autenticación de múltiples factores activada para mejorar la seguridad) y dispositivos con autenticación biométrica, como la identificación de la huella dactilar.
Las pequeñas empresas pueden ser especialmente vulnerables a los riesgos de seguridad online
Las pequeñas y medianas empresas pueden ser especialmente vulnerables a las amenazas de ciberseguridad. Esto se debe a los siguientes motivos:
- A menudo, no creen que puedan ser el objetivo de las amenazas y, por lo tanto, no están preparadas.
- Pueden tener sistemas anticuados o falta de protocolos de seguridad y capacitación, lo que las hace más fáciles de hackear.
- Tienen menos probabilidades de disponer de equipos informáticos grandes y específicos que puedan mantenerse actualizados en los últimos riesgos de seguridad informática y en problemas de seguridad de los sitios web.
Hacer una evaluación de los riesgos de ciberseguridad de la empresa
Para evaluar las principales amenazas de ciberseguridad que pueden afectar a una empresa, primero se debe realizar una evaluación de los sistemas de seguridad actuales. Elaborar una lista de activos que incluya el software y el hardware. Crear una lista que indique dónde se almacenan los datos y quién tiene acceso a ellos. Mantener esta información protegida y segura, y limitar quién puede verla. Hacer una evaluación de los sistemas de seguridad actuales para descubrir dónde pueden estar las vulnerabilidades. Una evaluación de riesgos empresariales puede ayudar a mantener la empresa a salvo.
Además de los consejos descritos en este artículo, hay dos prácticas más de ciberseguridad que se pueden aplicar:
- Disponer de un plan contra ciberataques: debes estar preparado en caso de emergencia. Si sufres un ataque, siempre debes proteger la empresa lo mejor posible, así como a los empleados y clientes. Por ello, es esencial tener un plan preparado que detalle qué hacer si sucede lo peor.
- Mantenerse informado sobre los últimos riesgos de ciberseguridad para empresas: conocer los últimos riesgos de seguridad a medida que evolucionan ayuda a anticiparte y saber cómo protegerte.
Finalmente, la seguridad de puntos de conexión es un aspecto crucial a la hora de lidiar con las amenazas de ciberseguridad para empresas. Un punto de conexión es cualquier dispositivo conectado a la red: ordenadores portátiles, ordenadores de sobremesa, móviles, impresoras, servidores, etc. La seguridad de puntos de conexión es el proceso de proteger los puntos de conexión utilizados para el trabajo de las amenazas de ciberseguridad. El software de seguridad de puntos de conexión basado en la nube es ideal para las pequeñas y medianas empresas, dado que requiere menos recursos internos para la administración y menos compromisos por adelantado, y proporciona supervisión continua y la capacidad de controlar los puntos de conexión desde cualquier lugar.
Lee más acerca de las soluciones de seguridad de puntos de conexión de Kaspersky aquí.
Kaspersky Endpoint Security recibió tres premios AV-TEST al mejor rendimiento, protección y usabilidad de un producto de seguridad de puntos de conexión para empresas en 2021. En todas las pruebas, Kaspersky Endpoint Security demostró un rendimiento, protección y usabilidad excepcionales para las empresas.
Artículos y enlaces relacionados:
- ¿Qué es el IoT y la seguridad del IoT?
- Inteligencia de amenazas
- ¿Qué es la amenaza persistente avanzada y cuáles son sus indicios?
- ¿Qué es Endpoint Security?
Productos relacionados: