El año 2022 estuvo marcado por dos tácticas en materia de ciberataques: el ransomware y el phishing. Si bien ambas modalidades fueron las predilectas por las bandas organizadas del ciberespacio para extorsionar a organizaciones públicas y privadas, ¿sabías que existen otras técnicas para cumplir igual objetivo? Que el desconocimiento no ponga en riesgo la información crítica de tu empresa y toma nota.
Y es que precisamente la carencia de cultura en seguridad informática ha sido uno de los pilares del alza de hasta un 150% de ataques informáticos que sufrieron diversas compañías durante el año 2021. Todo esto sostenido también por un gran número de ciberdelincuentes que, en la penumbra, trabaja por sofisticar más aún sus métodos de amenaza.
“Uno de los ataques más comunes en las empresas es el phishing, pero también tenemos el robo de cookies del navegador a través de un software malintencionado, o el uso de la ingeniería social”, señala Camilo Mix, asesor en Ciberinteligencia de la consultora CronUp Ciberseguridad, quien detalla las nuevas tácticas que está adoptando el cibercrimen para hacerse de la información crítica de un sinnúmero de organizaciones:
Ataques DDoS: Este corresponde a un tipo de ataque en el que múltiples bots se dirigen a un servidor web, sitio web u otro dispositivo de red. Posteriormente, lo copan con una avalancha de mensajes, paquetes y solicitudes de conexión hasta lograr que el objetivo sea «bloqueado«. De paso, los datos y el sistema dejan de estar disponibles para los usuarios, afectado la calidad de servicio de la empresa, objetivo final de esta intervención criminal.
Insiders: Este es realizado gracias a la participación de un funcionario interno de la organización. Ya sea por la vía del soborno, o por iniciativa propia, los ciberdelincuentes ocupan mucho esta vía para robar datos confidenciales.
Ataques de contraseña: O bien conocidos como ataques de fuerza bruta, suelen utilizar un sistema automatizado para concretar el incidente, haciendo uso de diversas combinaciones de contraseña para lograr el ingreso. Evitar el éxito de este tipo de ataques dependerá sólo de la implementación de prácticas que lleven a los usuarios a cambiar passwords de manera periódica.
Fraude del falso soporte de Microsoft: Esta técnica es otro “cuento del tío” muy utilizado por bandas cibercriminales. Aquí, un supuesto técnico de Microsoft entra en contacto con una empresa para solucionar algunos problemas técnicos en sus equipos, siendo su objetivo final el comprometer la seguridad y privacidad de el o los dispositivos afectados. El estafador suele comunicarse vía telefónica, o por medio de la creación de páginas falsas de error donde se informa al usuario que su equipo está en riesgo y que urge ponerse en contacto con ellos para solucionar el presunto “fallo”.
“Hay que cambiar la forma en cómo trabajamos la ciberseguridad a nivel corporativo. Los intentos de ataque son cada vez más seguidos, por lo que es urgente dejar de lado las malas prácticas en seguridad informática y preparar el terreno para que los trabajadores de una organización le tomen el peso a la responsabilidad que tienen como potenciales brechas de seguridad”, sentencia Mix.
Por esto, añade, “debe haber un cambio de mentalidad en las empresas. La ciberseguridad debe dejar de ser vista como un gasto obligatorio, sino como una inversión no tangible que colaborará en que la compañía no sea perjudicada a largo plazo. Además, hay que adaptar las necesidades de seguridad al tamaño real de la empresa y no gastar demasiado, o quedarse corto con servicios o tecnologías para ello. Y lo más importante, generar concientización a toda la organización sobre los peligros que se encuentran en la presente era digital”.
Los consejos son más que necesarios si el objetivo de las decenas de naciones que componen a América Latina es que disminuya la estadística que afectó a la región en los primeros seis meses de este año: 137 mil millones de intentos de ciberataques, es decir, un aumento del 50% en comparación con el mismo período del año pasado.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
