Que tu organización esté sometida a algunos riesgos es, por desgracia, inevitable; sin embargo es posible minimizar al máximo esos riesgos conociendo las principales amenazas que pueden afectarte.

Imagina que alguna persona externa a tu empresa pudiera tener acceso a la lectura de los correos electrónicos corporativos, que pudieran acceder a la web y tomar su control o consiguieran bloquearla. Pongámonos en la peor situación, que toda la información de tu empresa quedara inaccesible y por tanto impidiera la continuidad de tu negocio.

Cualquiera de estas situaciones podría suponer la pérdida de confianza de tus clientes o acarrear consecuencias legales y sanciones por parte de las administraciones competentes.

Hoy queremos ayudarte a conocer las principales amenazas que pueden afectar a tu empresa y las medidas que puedes tomar para eliminarlas o al menos minimizar su impacto.

EVITANDO FUGAS DE INFORMACIÓN

Una fuga de información se produce cuando se pierde la confidencialidad de la información de tu organización. Supondría un grave problema, que debido a un incidente de seguridad, dicha información fuera accesible por terceros no autorizados.

Las fugas de información se pueden producir de forma involuntaria o deliberada, a través de dispositivos móviles, del correo electrónico, por medio de redes inalámbricas o aplicaciones, a través de las redes sociales, a consecuencia de credenciales de acceso inseguras, etc.

Cuando una fuga de información afecta a los datos de carácter personal, la empresa tiene obligación de notificarlo a la Agencia Española de Protección de Datos y en algunos casos a las personas cuyos datos se hayan visto afectados.

Para prevenir las fugas de información es necesario aplicar medidas tanto a nivel organizativo, como técnico y legal:

• Definir una política de privacidad y procedimientos para el ciclo de vida de los datos.
• Establecer un sistema de clasificación de la información para ligarlo a roles o niveles de acceso.
• Llevar a cabo acciones de formación y concienciación en ciberseguridad.
• Implantar un sistema de gestión de seguridad de la información.
• Implantar un sistema de control de acceso e identidad.
• soluciones anti-malware y anti-fraude, seguridad perimetral y protección de telecomunicaciones.
• Control de contenidos, monitorización de tráfico y copias de seguridad.
• Control de acceso a los recursos, actualizaciones de seguridad y parches.
• Establecer acuerdos de confidencialidad.
• Solicitar a los empleados la aceptación de la política de seguridad.
• Tomar medidas relativas a la adecuación y cumplimiento de la legislación aplicable (LOPDGDD, LSSI, RGPD, etc.)

PROTEGIENDO EL CORREO ELECTRÓNICO

La base de la mayoría de incidentes de seguridad es el correo electrónico, aprender a identificar este tipo de comunicaciones fraudulentas es clave para reducir la posibilidad de sufrir un incidente de seguridad.

Muchos ciberdelincuentes atacan el eslabón más importante en la cadena de seguridad, los empleados, mediante ingeniería social. La ingeniería social consiste en utilizar diferente técnicas de manipulación psicológica con el objetivo de conseguir que se revele información confidencial, o la realización de una acción que pueda beneficiar al ciberdelincuente.

Para propagar sus campañas fraudulentas, los ciberdelincuentes, necesitan un medio de comunicación, el medio preferido para ellos suele ser el correo electrónico.

Estas son algunas técnicas que utilizan los ciberdelincuentes:

• Falsear la dirección del remitente para hacerse pasar por una dirección legítima, por ejemplo de un banco o entidad de tu confianza.
• Modificación del nombre del dominio para que sea lo más parecida al legítimo por ejemplo bankia.com se sustituye por bankla.com.
• Los correos electrónicos pueden contener enlaces falsificados que simulen enlazar a un sitio web legítimo cuando en realidad no es así.
• Adjuntar documentos maliciosos, que se ocultan como si fueran facturas, imágenes, documentación…

Es más sencillo por identificar un ataque de ingeniería social si tienes en cuenta algunos aspectos:

• Revisa la dirección del remitente analizando la cabecera del correo, no olvides comprobar el nombre del dominio.Las comunicaciones legítimas suelen ser personales, dedica especial atención a aquellas encabezadas por “Estimado cliente,
• usuario, etc.”
• Si el correo lleva un archivo adjunto, comprueba previamente la extensión del fichero, los archivos .exe, .vbs, .msi, .docm, .xlsm o .pptm son auto ejecutables.
• Revisa si el texto del email contiene faltas de ortografía o errores gramaticales.
• Antes de acceder a un enlace, verifica la web a la que te redirige.

CONOCIENDO QUÉ ES UN PHISHING

Un phishing es un tipo de fraude cometido generalmente a través del correo electrónico, aunque también puede producirse por sms, redes sociales o aplicaciones de mensajería instantánea. Su objetivo es robar información confidencial y credenciales de acceso, para ello suplantan la identidad de empresas y organizaciones reconocidas.

Normalmente los phishing se envían desde un email falso y contienen un enlace que te conduce a una página web fraudulenta, esta web suele ser muy parecida a la web suplantada.

Los principales aspectos que debes tener en cuenta para identificar un ataque de tipo phishing son los siguientes:

• En la mayoría de ocasiones los remitentes del email no coinciden con la organización a la que representan. revisa la cabecera del email.
• Normalmente te solicitan una acción de manera urgente ante una situación negativa.
• Los enlaces suelen aparentar corresponder a la web legítima, comprueba a dónde apuntan realmente pasando el ratón por encima del enlace.
• Acostúmbrate a visitar la web introduciendo manualmente la dirección de la web, en lugar de hacer clic en el enlace.
• Revisa que la estética y la firma del correo sea la habitual de la entidad, si te parece algo diferente al menos desconfía.

NO CAIGAS EN EL FRAUDE DEL CEO

Esta técnica consiste en robar fondos de una empresa suplantando la identidad del alta directivo. Para ello, previamente se recoge información de la víctima por medio, por ejemplo, de sus redes sociales, para ganar su confianza.

El ciberdelincuente suplanta la identidad del directivo y solicitan al empleado (normalmente alguien con capacidad para realizar transacciones financieras) una transferencia de dinero con un motivo importante y urgente.

Para evitar caer en este tipo de fraude es recomendable:

• Verificar la información recibida por otro medio de comunicación, por ejemplo por teléfono.Comprobar el remitente.
• Revisar especialmente las solicitudes urgentes y confidenciales.
• Prestar atención a la ortografía y la expresión.
• Analizar la estética del email.

NO CAIGAS EN EL FRAUDE DE RR.HH.

Este fraude es muy similar al fraude del CEO, pero en esta ocasión las víctimas son el personal de recursos humanos de tu empresa, el ciberdelincuente suplanta a un empleado y solicita que el siguiente ingreso correspondiente a su nómina se realice a un nuevo numero de cuenta controlado por el estafador.

Ante cualquier email de un empleado de la organización, es necesario verificar cualquier tipo de solicitud mediante otro medio de comunicación, como una llamada telefónica.

PROTEGIENDO LA WEB DE ATAQUES

La página web de tu empresa es cada día más importante, sobre todo desde la pandemia cuando los medios digitales han sido tan importantes durante confinamientos y ante la recomendación de quedarnos en casa.

Un ciberdelincuente puede decidir atacar tu web por diferentes motivos, como hacerse con información confidencial que puede utilizar en otro tipo de ataques o simplemente para dañar la imagen de tu empresa.

Es erróneo pensar que tu web esta a salvo porque no pertenece a una gran organización, total “quien va a querer acceder a mi web…”. Precisamente las webs de las pequeñas organizaciones suelen estar menos protegidas y por tanto suelen ser, en mayor o menos medida, más fáciles de acceder, esto las convierte en un blanco más habitual de lo que puedas pensar.

Estos son los principales motivos que pueden hacer tu web vulnerable:

• Tienen vulnerabilidades (fallos o deficiencias de software) no parcheadas.
• Malas configuraciones, como contraseñas simples o no disponer de sistemas de verificación.
• Contienen errores de diseño que pueden ser explotados por ciberdelincuentes.

Para proteger la web corporativa, reduciendo al máximo es riesgo, es necesario:

• Disponer de un certificado SSL.
• Aplicar las actualizaciones de seguridad.
• Disponer de contraseñas robustas.
• Realizar copias de seguridad y almacenarlas en un entorno seguro.
• Disponer de sistemas captcha.
• Aplicar un sistema de gestión de riesgos que almacena los eventos más importantes que se producen en la web.
• Disponer de entornos de producción y prueba.
• Aplicar una metodología de desarrollo seguro.
• Monitorizar el tráfico.
• Disponer de sistemas de respaldo.
• Realizar auditorías técnicas periódicas.
• Escoger proveedores de seguridad externos de confianza.
• Implementar medios de pago seguros.
• Revisar el cumplimento legal y normativo.

CONOCE QUÉ ES UN RANSOMWARE

El ransomware es un tipo de software malicioso que afecta a la información contenida en diferentes dispositivos, generalmente cifrándola y solicitando un rescate económico a los afectados a cambio de poder recuperar su acceso.

Este tipo de ataque se puede recibir a través del correo electrónico o de vulnerabilidades o configuraciones de seguridad deficientes.

Para evitar se víctima de un ransomware es importante seguir estos consejos:

• Precaución con adjuntos contenidos en correos electrónicos y enlaces a páginas externas.
• Actualizar el software.
• Aplicar configuraciones de seguridad robustas.
• Utilizar herramientas antiransomware.
• Verificar que se realizan y almacenan correctamente las copias de seguridad.

PROTEGIÉNDOTE ANTE ATAQUES DE DENEGACIÓN DE SERVICIO

Estos ataques tiene como objetivo degradar la calidad de un servicio, por ejemplo la web, hasta dejarlo en un estado no funcional. Para lograrlo los ciberdelincuentes saturan los recursos del sistema que aloja el servicio a interrumpir, enviándoles una avalancha de peticiones que no son capaces de atender.

En muchas ocasiones solamente se es consciente se que se está sufriendo un ataque de denegación de servicio cuando se está siendo atacado. Par ello es imprescindible implementar algunas medidas preventivas en función de si el servidor es propio o externo:

Cuando el servidor es propio:

• Ubicar el servidor web en una zona desmilitarizada.
• Implementar sistemas de detección y prevención de intrusiones.
• Disponer de un software de protección.
• Contratar un proveedor de seguridad externo.

Cuando el servicio se encuentra alojado en un proveedor externo:

• Verificar que ofrecen el mayor ancho de banda posible.
• Disponer del mismo servicio ubicado en otro servido (redundancia y balanceo de carga).
• Disponer de soluciones de seguridad basados en la nube.