Cada vez con más frecuencia las empresas, con independencia de su tamaño, son objetivo de los cibercriminales. Son víctimas de ataques que suelen acabar con el robo de información confidencial, dejando en una situación muy comprometida a la empresa.
De hecho, en los últimos meses se han multiplicado los casos de ransomware. Los atacantes codifican la información de las empresas para posteriormente solicitar un rescate por la misma con la amenaza de destruir toda esa información si no se paga en un determinado plazo. Pero, ¿es esta una muestra representativa de las amenazas a las que están expuestas las empresas?
Amenazas y ciberataques
Es necesario distinguir entre los daños causados por una amenaza informática y un ciberataque. Las amenazas informáticas son malware que busca infectar el mayor número de sistemas, sin diferenciar entre ordenadores de usuarios particulares o de empresas. Buscan el beneficio inmediato por parte del ciberdelincuente.
Sin embargo, los ciberataques suelen tener un objetivo más definido e incluso buscar información muy concreta o atacar sólo a un sector o país en especial. Al contrario de lo que mucha gente piensa, la mayoría de estos ciberataques hacen uso de técnicas conocidas (envío de ficheros adjuntos o enlaces maliciosos en correos electrónicos) y muchas veces se aprovechan de vulnerabilidades conocidas cuyo parche de seguridad aún no ha sido aplicado.
Ya vimos cómo viejas amenazas continúan siendo una preocupación en empresas, a pesar de tratarse en muchas ocasiones de vulnerabilidades con entre 2 y 4 años de existencia.
Phishing, exploits y botnets, riesgos para las empresas
De hecho, una de las técnicas más utilizadas para conseguir información confidencial de los empleados de una empresa como las credenciales de acceso a los recursos internos sigue siendo el phishing. Las páginas web falsas que simulan ser las de acceso a, por ejemplo, el correo corporativo, pueden ocasionar verdaderos dolores de cabeza si quien introduce sus credenciales no se da cuenta de si la web en la que lo está haciendo es otra distinta a la original.
Muchos de estos ataques se lanzan contra empleados de todos los niveles de una empresa o de varias, preparando correos fraudulentos y enviándoles a las direcciones de email que muchos de los empleados proporcionan en sus tarjetas de visita, información de contacto en la propia web de la empresa o incluso en redes sociales. Todo un filón para un atacante que sepa diseñar un correo lo suficientemente convincente para conseguir que alguien pulse sobre el enlace proporcionado y le dirija a la web trampa.
Además, aprovechando el envío de estos correos se pueden adjuntar ficheros adjuntos que sean susceptibles de ser abiertos por los empleados. Con una técnica tan sencilla como utilizar nombres de archivo sugerentes del tipo “Facturas2015” o “PlanEstratégicoAnual”, se puede conseguir que muchos usuarios muerdan el anzuelo y abran esos ficheros, por mucho que estos sean ejecutables ocultos en un contenedor ZIP.
Siempre hay técnicas un poco más elaboradas que usan ficheros aparentemente inofensivos como hojas de cálculo Excel, documentos de Word o ficheros PDF para, aprovechando vulnerabilidades, conseguir que se descargue y ejecute un código malicioso. Estos ficheros lanzan un exploit que se aprovecha de una vulnerabilidad no corregida (o para la que no existe parche en el caso de los 0-day) y consigue de esta manera que el delincuente ejecute un malware en la máquina, que le permite tomar control del sistema y robar todo tipo de información confidencial.
De hecho, el año pasado en nuestro ESET Security Report encontramos que en pequeñas y medianas empresas, los casos de phishing y explotación de vulnerabilidades ocurrieron en el 48,43% y 47,35% de los casos, respectivamente.
Por eso es importante contar siempre con el sistema y las aplicaciones que usamos en él actualizadas a la última versión. En caso contrario nos arriesgamos a utilizar un sistema vulnerable como Windows XP (que dejó que ponga en peligro la integridad de los datos a menos que lo protejamos con una herramienta de seguridad capaz de detectar estos exploits y bloquearlos.
Pero los delincuentes no solo quieren robarnos información. El simple hecho de contar con miles de ordenadores infectados ya les reporta beneficio si estos se incluyen dentro de una botnet y obedecen las órdenes del delincuente.
Sus discos duros pueden ser utilizados para almacenar todo tipo de material ilegal; la conexión a Internet sistemas puede usarse para enviar millones de correos spam o lanzar ataques de denegación de servicio distribuidos (DDoS) y su capacidad de proceso se puede usar para minar monedas criptográficas como Bitcoin que irán a parar a la cartera virtual de los delincuentes.
Costo para las empresas
Pocas son las compañías que no utilizan protocolos de seguridad en sus equipos, aunque no siempre son los mejores. Cualquier empresa, desde una PyME a una gran corporación, debería ser consciente de la importancia de la seguridad informática y del costo que tendría para sus arcas un incidente de seguridad.
En realidad, este depende de varios factores como el tamaño de la empresa, la importancia de la información que haya podido ser comprometida, el alcance del ataque o la infección dentro de la empresa -e incluso la situación geográfica de la misma. Pero lo cierto es que todos los estudios demuestran un aumento constante en el número de las amenazas y ciberataques que tienen en el punto de mira a empresas de todo el mundo, sean del tamaño que sean.
Si no se puede evitar, y la red corporativa se ve afectada, habría que poner en práctica el plan de recuperación. No son pocos los usuarios preocupados porque el servidor donde almacenan toda la información de la empresa se encuentra afectado por un ransomware y piden un elevado rescate para tener acceso de nuevo a la información. Pensemos en el caso de la empresa argentina que pagó 2,500 dólares por recuperar sus archivos.
Tendría una fácil solución si la empresa tuviese una copia de seguridad o backup actualizada de los datos almacenados en el ordenador afectado, pero incluso una norma de seguridad tan básica no se cumple tantas veces como debería.
Mucho mejor que tratar de recuperarse de un incidente de este tipo es prevenirlo controlando los activos frente a posibles riesgos, definiendo los procedimiento a seguir en caso de infección, implementando los controles para asegurar el cumplimiento de las políticas de seguridad, educando a todo el personal de la empresa, realizando auditorías periódicas y evaluaciones de riesgos, y demás.
Hay mucho trabajo que hacer en una empresa para asegurar su información. No todo consiste en implementar soluciones de seguridad capaces de proteger contra campañas de phishing o exploits, y que detecten vulnerabilidades en sistemas (si bien estas son la base elemental y fundamental); estas han de ser complementadas con una serie de políticas y buenas prácticas. Existen además una serie de normas y estándares que se pueden seguir para implementar todos estos controles.
Si bien un incidente aislado puede parecer poco costoso, es necesario tener en cuenta que las empresas que no se protejan estarán expuestas a este tipo de ataques constantemente y que los costes se irán incrementando, llegando incluso a provocar su cierre si la información robada es lo suficientemente importante como para poner en duda la confianza que tienen depositada en ella sus clientes.
La nueva generación de soluciones corporativas de ESET fue desarrollada en base a requisitos que indicaron usuarios reales, y los protege de todos estos riesgos para que, con la información de su negocio protegida, las empresas puedan lograr más.