La pandemia y el teletrabajo han dejado al descubierto lo vulnerables que son las empresas y usuarios ante la ciberdelincuencia. Cada día nos llegan noticias sobre nuevos fraudes que pretenden apropiarse de datos personales e información confidencial. La dependencia de los sistemas informáticos, el teletrabajo, el auge de las herramientas para videoconferencias y el incremento de los ecommerce, entre otros aspectos, han convertido a la ciberseguridad y la protección de datos en el gran reto de 2021 para pymes y autónomos.
¿Qué es la ciberseguridad?
Según la Wikipedia®, ‘la ciberseguridad es el área relacionada con la informática enfocada a la protección de la infraestructura computacional y todo lo vinculado a la misma. La ciberseguridad comprende software, hardware, redes y todo lo que la organización entienda y valore como un riesgo si la información confidencial involucrada pudiera llegar a manos de otras personas…’.
Desde información confidencial, pasando por datos bancarios, hasta llegar a los sistemas internos de la organización, son muchos los activos de las empresas que pueden ser objetivo de los ciberdelincuentes, que atacan tanto a grandes empresas como a pymes o autónomos.
Un ataque de malware o ransomware puede dejar inoperativa una empresa durante días con las consecuencias que conlleva para el negocio, la reputación y la confianza de los clientes.
Conocer las principales ciber amenazas nos puede ayudar a identificarlas a tiempo para evitarlas o mitigarlas de forma adecuada.
Principales ciber amenazas
La mayoría de los incidentes de seguridad que afectan a las empresas tienen en común dos factores: el correo electrónico y comunicaciones que utilizan técnicas de ingeniería social. La ingeniería social consiste en utilizar diferentes técnicas de manipulación psicológica con el objetivo de conseguir que las potenciales víctimas revelen información confidencial o realicen alguna acción como instalar software malicioso.
Según un informe de INCIBE, les principales ciber amenazas y fraudes que pueden afectar a empresas y autónomos son:
- Fugas de información: Cuando se pierde la confidencialidad de la información de la empresa y es accesible por terceras personas no autorizadas. Las fugas pueden ser involuntarias (perdida de un USB con información sin cifrar, no utilizar la copia oculta en envíos a múltiples destinatarios) o deliberadas (acceso intencionado de un ciberdelincuente o por parte de un empleado o exempleado descontento).
- Ataques tipo phishing: Es el principal método para robar información confidencial como nombres de usuario o datos bancarios. Es un tipo de fraude cometido generalmente a través del correo electrónico, aunque también vía SMS, donde se suplanta la identidad de empresas y organizaciones reconocidas para engañar a la víctima y robar información y credenciales de acceso.
- Fraude del CEO: Se trata de un ataque dirigido contra una víctima en concreto, de la que previamente se ha recopilado información por distintos medios, para que el ataque sea más creíble. Los ciberdelincuentes suplantan la identidad de un alto directivo y solicitan a un empleado, con capacidad de realizar transacciones financieras, una transferencia de dinero, alegando cerrar una operación reseñable en la que se está trabajando.
- Fraude de RRHH: Se utilizan técnicas similares al fraude del CEO, pero en esta ocasión las víctimas son el personal de RRHH de la empresa y un empleado al que suplantan su identidad. El ciberdelincuente se hace pasar por un empleado de la empresa y solicita que el siguiente ingreso correspondiente a su nómina se realice a un nuevo número de cuenta controlado por el estafador.
- Sextorsión: Es un tipo de estafa en la que los ciberdelincuentes informan a la víctima por correo electrónico de que ha sido grabada en situaciones comprometedoras, que serán difundidas entre sus contactos y redes sociales a no ser que realice un pago a modo de rescate.
- Ataques contra la web corporativa: La página web de la empresa es un activo importante, los ciberdelincuentes buscarán atacarla por diversos motivos, como hacerse con información confidencial, utilizarla para perpetrar nuevos ataques o para dañar la imagen de la organización.
- Ransomware: ¿Qué sucedería si toda la información de tu empresa fuera inaccesible? La actividad diaria se vería afectada hasta el punto de detenerse, y si no se cuenta con copias de seguridad funcionales, el tema se puede agravar. El ransomware es un tipo de malware o software malicioso que afecta a la información contenida en los diferentes dispositivos impidiendo su acceso, generalmente cifrándola y solicitando un rescate económico a los afectados a cambio de poder recuperar su acceso. En muchos casos, estos ataques se propagan a otros dispositivos, unidades de red o información en la nube.
- Fraude del falso soporte de Microsoft: El estafador suplanta la identidad de un técnico de Microsoft con el pretexto de solucionar ciertos problemas técnicos en el equipo, siendo el objetivo comprometer la seguridad y privacidad del dispositivo y, por lo tanto, de la propia empresa.
- Campañas de correos electrónicos con malware: El malware vía correo electrónico es una de las principales formas que tienen los ciberdelincuentes para infectar los dispositivos de las víctimas. Un simple correo que aparenta ser una factura, un justificante de compra o cualquier otro señuelo, podría suponer el inicio de una infección que ponga en riesgo la seguridad de la organización.
- Ataques de denegación de servicios: Al igual que los ataques de tipo ransomware, que impiden el acceso a la información de la empresa, los ataques de denegación de servicio imposibilitan el correcto funcionamiento de los servicios que ofrece la empresa tanto a empleados como a clientes.
¿Cómo actuar ante un ciberataque?
Cuando se es víctima de cualquiera de estos ataques o fraudes, es recomendable interponer denuncia a la policía aportando las pruebas disponibles y reportar a INCIBE-CERT por medio del correo incidencias@incibe-cert.es para evitar que otros usuarios caigan en el fraude. Ante cualquier duda, disponéis del número 017 como línea de Ayuda en Ciberseguridad.
Ciberseguridad y Protección de Datos: Ataques Ransomware
Cuando el incidente conlleva, por ejemplo, una fuga de información debe gestionarse adecuadamente ya que una mala gestión puede magnificar el efecto negativo de la incidencia. Si la fuga de información afecta a datos personales se considera una brecha de seguridad y la empresa está obligada, dependiendo de la gravedad, a notificar el incidente en un plazo de 72 horas a la Agencia Española de Protección de Datos, autoridades pertinentes u organismos equivalentes. Dependiendo de la tipología de los datos, volumen y exposición de estos, se deberá comunicar dicha brecha también a las personas/usuarios afectadas.
Son muchas las ciberamenazas y fraudes que están afectando a pymes y autónomos poniendo en riesgo nuestro negocio, los datos personales que gestionamos, la reputación de la empresa y la confianza de nuestros clientes.
Uno de los ataques más frecuente es el llamado ‘ransomware’, que afecta desde grandes corporaciones a pequeñas pymes que, sin las medidas adecuadas, pueden llegar a ver afectada su operativa diaria, incluso a detenerla.
¿Qué es un ataque ransomware?
El ransomware es un tipo de malware o software malicioso que afecta a la información contenida en los diferentes dispositivos impidiendo su acceso, generalmente cifrándola y solicitando un rescate económico (habitualmente en bitcoins) a los afectados a cambio de poder recuperar su acceso.
Las infecciones de ransomware se producen principalmente por dos vías:
- Campañas de malware a través del correo electrónico: Los ciberdelincuentes envían correos electrónicos fraudulentos donde se distribuye el software malicioso que puede estar adjunto en el propio correo. Suelen utilizar técnicas de ingeniería social con las que forzar a los usuarios a descargar y ejecutar los ficheros.
- Vulnerabilidades o configuraciones de seguridad deficientes: Los ciberdelincuentes también pueden infectar los dispositivos sin interacción de los usuarios aprovechando vulnerabilidades no parcheadas o configuraciones de seguridad deficientes, como, por ejemplo, los escritorios remotos.
¿Cómo evitar un ataque de ransomware?
Es importante seguir estos consejos para evitar un ataque de ransomware:
- Precaución con adjuntos en correos electrónicos y enlaces a páginas externas: Se deben seguir las mismas recomendaciones que en las campañas de phishingy en caso de duda, no descargar ficheros adjuntos ni acceder a los enlaces del correo. Siempre se deberá analizar con el antivirus del equipo o con alguna herramienta en línea los archivos adjuntos o que provengan de una web externa. Algunas de estas extensiones de ficheros nunca deben ejecutarse a menos que se conozca su origen: .exe, .msi, .vbs, archivos ofimáticos con macros (.docm, .xlsm, .pptm, .doc, .xls, .ppt, .docx, .xlsx, .pptx), y cualquier archivo comprimido que contenga alguna de estas extensiones.
- Software actualizado y configuraciones de seguridad robustas: Todo el software de la empresa, tanto en los dispositivos como en servicios a través de internet, deben estar siempre actualizados a la última versión. Entre los errores de configuración que destacan como origen de un ransomware es el uso de credenciales débiles de acceso. Se deben utilizar contraseñas robustas y evitar nombres de usuario genéricos como ‘administrador’, nombre de la empresa, etc.
- Herramientas antiransomware: Existen herramientas específicas que reducen o evitan las consecuencias de un ataque de este tipo ya que monitorizan la red y los dispositivos deteniendo y bloqueando los procesos de cifrado.
Lo que está claro es que el riesgo cero no existe y todos somos víctimas potenciales de estos tipos de ataques, pero es importante estar alerta. Además de estas recomendaciones es clave concienciar a los trabajadores, que son el eslabón más importante en la cadena de la seguridad para los ciber delincuentes, sobre la existencia de estas amenazas mediante formaciones y realizar de forma periódica copias de seguridad.
¿Qué hacer si sufrimos un ataque de ransomware?
Debemos seguir una serie de pasos para minimizar las consecuencias:
- Aislar el equipo o equipos infectados de la red principal de la organización para que no se propague la infección.
- Clonar los discos de los dispositivos infectados para mantener el disco en su estado original; en un futuro puede que exista método de recuperación.
- Desinfectar los dispositivos afectados y el disco clonado para intentar recuperar los archivos cifrados. Analizar todos los equipos de la empresa con un antimalware.
- Intentar recuperar los archivos cifrados en el disco clonado previamente desinfectado. El proyecto de la EUROPOL No More Ransom cuenta con diferentes herramientas de descifrado.
- En caso de disponer de una copia de seguridad se debe restaurar utilizando la más reciente y libre de modificaciones maliciosas.
- Utilizar un disco nuevo o formateado, así como una instalación en limpio del sistema operativo, y restaurar la copia de seguridad más reciente a la infección.
- No acceder al pago del ‘rescate’; pagarlo no garantiza que la información se nos devuelva y nos deja ante una posición de debilidad ante nuevos ataques o la petición de más pagos.
Además, es recomendable interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado aportando toda la información disponible y poner en conocimiento del INCIBE-CERT el incidente. Y si se han visto afectados datos personales es necesario comunicarlo a la AEPD.
¿Cómo comunico a la AEPD una brecha de seguridad de este tipo?
Si el ataque ha afectado a los datos personales de nuestra empresa (clientes, proveedores, trabajadores, potenciales, etc.) debemos comunicar esta brecha de seguridad a la Agencia Española de Protección de Datos a través de su sede electrónica (Herramienta Comunica-Brecha).
La AEPD facilita este tipo de comunicaciones a través de una serie de formularios para determinar la gravedad de la brecha y para aportar la documentación necesaria sobre el caso. Además, dependiendo del volumen de datos, exposición y tipología de estos, puede ser necesario comunicar el incidente a los afectados.
