Los ataques cibernéticos están destruyendo a las pequeñas empresas

La mayor debilidad cibernética se encuentra “entre el monitor y la silla”.

De acerdo con el Departamento de Recursos de Información de Texas, el 16 de agosto de 2019 veintidós ciudades de Texas fueron simultáneamente blanco de un ataque coordinado del tipo “rescate” (ransomware).

Aunque la gran mayoría de las ciudades atacadas eran pequeños gobiernos locales, este incidente pone de relieve un error popular de la sociedad actual: que los ladrones cibernéticos sólo apuntan a grandes empresas.

Incidentes cibernéticos en cifras

Los desastres aéreos y las violaciones cibernéticas tienen un hilo conductor común: los grandes acontecimientos catastróficos tienden a dominar los titulares. Según un estudio llevado a cabo en 2017 por el Ponemon Institute, el 43% de los ataques cibernéticos fueron dirigidos a pequeñas empresas.

Dada la intensa cobertura de las violaciones que afectaron a gigantes como Equifax y Capital One, es fácil creer que las grandes entidades son víctimas de violaciones por un amplio margen.

Esta idea puede llevar a las pequeñas empresas a caer en la autocomplacencia, con la mentalidad de que las violaciones son sólo un problema de las grandes empresas.

Las pequeñas empresas no sólo son más susceptibles de ser objeto de violaciones debido a factores como la falta de recursos de TI capaces, sino que también son las que más sufren después de un ataque.

El mismo estudio del Ponemon Institute reveló que el 60% de las pequeñas empresas cierran sus puertas dentro de los 6 meses posteriores a un ataque cibernético, un hecho que no aparece en los titulares. La mayoría de estos ataques son de tipo phishing/ingeniería social, algo cuyo alcance puede limitarse con una capacitación adecuada sobre higiene cibernética para el personal de estas empresas más pequeñas.

Combatir los ataques coordinados

No es de esperar que estos atacantes cambien sus tácticas, técnicas o procedimientos (TTP) en el corto plazo, por una sencilla razón: está funcionando.

Hasta que las empresas con sede en los EE. UU., tanto grandes como pequeñas, se vuelvan más resistentes a estos tipos de ataques, seguiremos viendo un gran número de ataques del tipo rescate (ransomware) o basados en phishing que comprometen a los correos electrónicos.

El costo de este vector de ataque es muy bajo, ya que puede ser desarrollado una vez por un atacante y reutilizado muchas veces, lo que garantiza un bajo nivel de esfuerzo y una gran cantidad de consecuencias devastadoras cuando se tiene éxito. Las amenazas nunca desaparecen por completo, simplemente cambian su objetivo, estrategia o método de entrega y resurgen bajo nuevas formas. Ya sea que trate de ventanas emergentes que aparecen mientras navegamos por Internet, fraude con tarjetas de crédito o sofisticados correos electrónicos de phishing, seguimos siendo testigos de un clima de amenazas que evoluciona en tiempo real. El correo electrónico de phishing de Google Docs de 2017 fue el primer ataque de phishing coordinado a gran escala.

A medida que las amenazas siguen evolucionando, el nivel de exigencia para lograr la resiliencia cibernética sigue aumentando. Hace diez años, un perímetro de red sólido, la instalación gestionada de parches en el sistema operativo y la protección de las terminales representaban una estrategia de higiene cibernética sólida. En la actualidad, la misma estrategia sería, casi literalmente, el requisito mínimo exigido y la esperanza de mostrar la ‘debida diligencia’ dentro de su entorno corporativo.

A medida que las cosas se tranquilizan tras un nuevo ataque del tipo “rescate” (ransomware), siempre hay aportes concretos que las empresas de todos los tamaños pueden considerar y adoptar. Debemos alinear nuestros programas de seguridad hacia un enfoque de “Seguridad por niveles”: contar con diferentes capas de seguridad de modo que un solo ataque no pueda sortear todos los controles de seguridad implementados.

Cuando se trata de la amenaza de ransomware y de otras amenazas complejas, algunas de las mejores prácticas incluyen:

  • Implementar un programa de higiene cibernética para fortalecer el “firewall humano”.
  • Evaluar los riesgos y las deficiencias en materia de seguridad y planificar su corrección.
  • Almacenar copias de seguridad offline de activos críticos.
  • Planificar su plan de respuesta con suficiente anticipación. 

Se deben crear y probar planes de respuesta antes de que se produzca un evento real.

No existe una panacea cuando se trata de estas amenazas cibernéticas, pero sí hay buenas prácticas bien fundamentadas que, cuando se las utiliza adecuadamente junto con un programa de métricas de seguridad, pueden ayudar a garantizar una superficie de ataque mínima y un alcance e impacto reducidos de cualquier evento cibernético.

Consecuencias del incidente cibernético de Texas

La violación cibernética ocurrida en Texas probablemente llevará a que las entidades más pequeñas examinen con mayor detalle a sus proveedores de servicios de TI externos.

Prueba de ello se puede encontrar hoy simplemente al revisar los cuestionarios de ‘diligencia debida’ que las entidades solicitan a estos proveedores de servicios que completen. Es de esperar que estas mismas entidades también soliciten auditorías/certificaciones independientes para los proveedores externos.

Mientras que Atlanta y Baltimore se negaron a pagar un rescate después de haber sufrido violaciones cibernéticas, es posible que los municipios más pequeños con presupuestos más reducidos no tengan el mismo lujo.

Este escenario para los pueblos más pequeños se ve exacerbado por la cantidad de tiempo que les tomó recuperarse a estas grandes ciudades, y por los gastos adicionales incurridos por no pagar el rescate exigido.

La mayor amenaza se encuentra entre el teclado y la silla: si se aumenta la resiliencia de este elemento humano en los municipios, se aumentará la resiliencia de la nación. 

Fuente: Risk and Insurance

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *