En los últimos 20 años junto al crecimiento del internet surgieron nuevos métodos para delinquir detrás de las pantallas, psicológicamente muchos expertos afirman que los cibercriminales no se identifican como delincuentes a sí mismos, ya que la sociedad ve a los ladrones como aquellos que te asaltan en la calle con un arma de fuego u objeto corto punzante, sin embargo, los delitos realizados a través de la red también perjudican a millones de personas y empresas cada año.
Los delitos más comunes son el robo de las tarjetas de crédito y compras online, desde hace algún tiempo se implementaron mecanismos de seguridad para evitar el robo de las tarjetas de crédito con bloqueos desde el celular, pero generalmente estas opciones únicamente son utilizadas cuando un asaltante callejero hurta la cartera de un individuo, sin embargo cuando los datos de una tarjeta de crédito son filtrados y se encuentran bajo el control de un atacante, el titular de la cuenta no logra identificar la pérdida de su dinero sino hasta en el momento en que se realizan compras en su nombre a través de la red.
La seguridad informática en Colombia es uno de los temas más abandonados por los diferentes sectores de la economía, ya que existen mitos hoy vamos a romper, simplemente para demostrarte que no importa si eres o no reconocido, eres el blanco perfecto para cualquier cibercriminal.
Mi vida no le interesa a nadie ¿Quién va a querer Hackearme?
En realidad, no es importante o relevante tu nombre, si no que se puede hacer con él, para ponerlo sencillo cuando tus datos son filtrados te conviertes en una nueva identidad para el atacante.
Estos datos serán utilizados para suplantar tu identidad dependiendo de los documentos que logre obtener el delincuente podrá realizar diferentes tipos de operaciones bajo tu nombre entre las más destacadas podremos encontrar:
Por esto es necesario contar con buenas practicas “Higiene Digital” al momento de proteger tu identidad en internet, recuerda que las redes sociales sirven para compartir información, intenta no dar muchos detalles o compartir documentos privados que puedan poner en riesgo tu imagen, para nosotros es importante mejorar la Seguridad Informatica Colombia y evitar que surjan nuevas modalidades de estafa en los países latinoamericanos que suelen ser los más vulnerables a este tipo de ataques por parte de los cibercriminales.
- Abrir cuentas bancarias en línea para solicitar créditos rápidos.
- Realizar compras con tu tarjeta de crédito.
- Solicitar dinero prestado a amigos y familiares.
- Compartir o vender contenidos obscenos en tu nombre.
- Vender tu identidad al mejor postor en internet.
- Contratar decenas de servicios en internet como VoIP para realizar llamas en tu nombre.
- Comprar un VPN para delinquir y no dejar rastro… más que el nombre del comprador del VPN que claro, como te imaginas eres “TU”.
Si bien los robos de identidad suelen ser muy comunes entre las personas, también hay una tendencia a realizar el robo de identidad corporativa, lo que permite a los atacantes suplantar los datos de cara a un volumen mucho más grande de clientes y proveedores, muchos casos de ecommerce fraudulentos estuvieron en auge con la aceleración digital, muchas de las compañías no están digitalizadas así que su nombre de dominio (la dirección de la empresa en internet) jamás ha sido comprado.
Un puñado de cibercriminales se dedican a comprar dominios de empresas y realizar ventas a través de internet sin ningún tipo de autorización, generalmente recolectan ese dinero a través de pasarelas de pago creadas con identidades de otras personas para luego convertir las divisas en criptomonedas con lo que finalmente logran escapar de las manos de las autoridades, obviamente dañando la reputación de la marca y haciéndolos quedar como unos ladrones, estafadores entre otros sinónimos.
“La seguridad informática empresarial es muy costosa”
A menudo las empresas latinoamericanas no suelen invertir en seguridad informática comparadas con el resto de países desarrollados y si bien son costos fijos que no se tienen planeados, es un deber tener un rubro especifico destinado a la inversión en seguridad informática, un ataque promedio a una empresa colombiana oscila entre los $500.000.000 & $3.500.000.000 Millones de Pesos (COP), estas cifras podrían dejar en la quiebra a miles de empresas. Las soluciones de seguridad informática a medida que el mercado ha ido evolucionando desarrollo soluciones económicas para empresas tanto pequeñas, medianas y grandes, proteger los equipos de cómputo o mejor conocidos en el mundo de la informática como estaciones de
trabajo es realmente sencillo las tecnologías desarrolladas para protección de Endpoints es realmente económica, fácil de administrar y no requiere un equipo técnico especializado dentro de la organización para su adecuado funcionamiento.
El no proteger la información de la compañía, no solo te pone en riesgo con los cibercriminales, también al prestar tus servicios fuera del país de origen debes contar con una serie de políticas internaciones además de cumplir con las legislaciones nacionales de tu cliente, el incumplir este tipo de políticas te puede acarrear multas superiores a los $100.000 US.
Podríamos enumerar un sinfín de problemas que pueden llegar a enfrentar las empresas si incumplen ciertas normas, pero estamos aquí para ayudar es por eso que dentro de nuestro contenido preparamos estas recomendaciones de seguridad informática para tu empresa, lo que te ayudara no solamente a proteger tu información personal sino también la información empresarial y de tus clientes.
La buena imagen y el prestigio de una empresa puede verse comprometida por la publicación de información sensible, confidencial o falsa en internet, el objetivo de los criminales con este tipo de iniciativas es lucrarse a manos llenas o en algunas decenas de casos también es competencia desleal que busca dañar la reputación de una compañía para después hacerse del mercado mediante este tipo de malas prácticas empresariales, aunque las compañías no se encuentran solas para enfrentar este tipo de delitos, existen marcos legales dentro de cada territorio nacional que los ayudara a dar con el paradero de los delincuentes para ponerlos tras las rejas, así como con campañas gubernamentales para limpiar el buen nombre de la compañía atacada y recuperar la confianza de los clientes.
“Los cibercriminales solo atacan las empresas grandes”
La mayoría de pequeños empresarios suelen pensar que no serán víctimas de un ciberataque, extorsión o robo por internet si bien es cierto que las empresas más grandes del mundo reciben un gran volumen de ataques para ellos puede llegar a ser irrelevante ya que cuentan con divisiones especializas de ciberseguridad para hacer frente a los atacantes, los criminales saben esto y es por ello que el volumen de ataques a pequeñas y medianas empresas tuvo un incremento del 500% durante los últimos dos años.
Los criminales buscan un beneficio económico propio es por eso que buscan la forma de monetizar cada uno de sus ataques ya sea mediante ransomware (Secuestro de tus datos y solicitud de rescate de los mismos) o añadiendo tus equipos a una red zombi, que busca utilizar tu ancho de banda para realizar ataques a otras entidades, incluso con fines terroristas como atacar sitios internacionales mediante ataques de denegación de servicios.
Evitar este tipo de ataques es realmente sencillo en la medida de lo posible es recomendable mantener todos los equipos electrónicos actualizados, ya que no únicamente las vulnerabilidades informáticas son para los equipos de cómputo como generalmente se suele creer, pero eso ya no es un problema porque las soluciones de seguridad informática ofrecen licencias por costos muy bajos que generalmente incluyen protección para la estación de trabajo, el dispositivo móvil o celular también incluye en muchos casos la protección de emails contra ataques de Phishing.
Es importante también realizar capacitaciones en seguridad informática para los colaboradores de las compañías, desde el personal técnico hasta el personal no técnico ya que los ataques de ingeniería social suelen ser utilizados no solamente para enviar correos electrónicos, realizar ataques de Vishing (Suplantación a través de llamadas) sino también para realizar el ingreso al edificio de la empresa y luego intentar ingresar a áreas restringidas en las cuales puede robar información estratégica e indispensable para la operación del negocio. Estos son los mitos más conocidos por todos en la industria de la tecnología, sin embargo, en ocasiones no son utilizados como mitos si no como excusas para no realizar los deberes en temas de seguridad informática, algunos directores de tecnología no cuentan con la suficiente capacitación para liderar un proyecto de seguridad informática empresarial y al no aceptar su falta de conocimiento terminan perjudicando a las organizaciones o incluso llevándolas a la quiebra después de un ciberataque, a continuación queremos compartirte algunos errores en temas de seguridad informática que cometen la mayoría de las empresas.
Principales problemas de seguridad informática en Colombia
Las ciberamenazas y fraudes que comúnmente afectan a las compañías son decenas es por ello que queremos compartir contigo cuales son, como identificar este tipo de amenazas y que hacer en caso de ser víctima de un ataque, el problema no es prevenir, el problema es creer que únicamente realizando una prevención estamos completamente protegidos.
Para una gran parte de organizaciones y personas naturales los activos más valiosos es la información que poseen es por ello que contar con un protocolo de seguridad de la información es tan importante como la estrategia de crecimiento de la compañía, de que sirve crecer rápidamente si cualquiera puede robar nuestros datos o tenemos fugas de información que tan siquiera sabemos que significa.
¿Qué es una fuga de información?
Comúnmente conocido como fuga de información o fuga de datos tiene origen cuando se rompe uno de los tres principios más importantes de la seguridad de la información, así es como nos referimos a la confidencialidad de los datos, dicha información únicamente debería ser accesible para algún miembro especifico de la empresa.
El verdadero problema ocurre cuando un externo a la organización obtiene control o acceso de estos datos, ya que pone completamente en riesgo el funcionamiento de la compañía, se es susceptible a demandas por parte de los clientes a los cuales les expusieron los datos o incluso a multas millonarias por parte de entes reguladores tanto nacionales como internacionales.
La información puede ser extraída de la empresa de diferentes formas, generalmente este tipo de incidentes ocurre cuando se expone la información de dispositivos móviles y de almacenamiento externo, robo de credenciales de correo electrónico, problemas con las redes inalámbricas y aplicaciones empresariales inseguras entre otras.
A menudo el correo electrónico es el principal vector de ataque de los cibercriminales, ya que por allí es el medio en el cual se realizan la mayor cantidad de ataques de ingeniería social, es decir la puerta de entrada a la organización, también a través de ataques a las conexiones inalámbricas los atacantes suelen robar las credenciales de acceso a los sistemas empresariales, para extraer la información rápidamente desde un entorno cercano pero remoto.
¿Cómo reducir el riesgo de ciberataques?
Prevenir las fugas de información es un pilar importante a la hora de realizar la implementación de una estrategia empresarial de seguridad informática, existen tres formas bastante efectivas para robustecer el entorno digital de una organización, estamos hablando del factor organizativo, técnico y legal.
Las medidas organizativas son aquellas que van directamente relacionadas con las metodologías de trabajo y organización con la que cuenta la empresa u organización, lo ideal es contar con una política de seguridad y procedimientos para el ciclo de vida de los datos, establecer un sistema de clasificación de la información, así como los roles de los colaboradores y niveles de acceso en las plataformas, implantar un sistema de gestión de seguridad de la información que incluya capacitación especializada en temas de seguridad informática para todos los miembros de la empresa.
Por otra parte, las medidas técnicas tendrán múltiples objetivos para proteger la infraestructura tecnológica de la empresa, dentro de las cuales se necesitarán limitar los accesos no autorizados a la información, tanto por los cibercriminales, así como por los empleados no autorizados a consultar los datos almacenados.
Generalmente para este tipo de soluciones se suelen utilizar programas o software especializado para implementar sistemas de control de acceso e identidad tanto a nivel de edificio como a nivel de plataformas internas tecnológicas así mismo como realizar la instalación de soluciones anti-malware, anti-fraude y protección de las redes internas. Un proceso que sin duda todas las organizaciones deberían realizar de forma obligatoria y permanente son copias de seguridad, estas sin duda son el oro de una organización al momento de reaccionar rápidamente ante un incidente de seguridad.
Algunas medidas legales implementadas en las organizaciones sirven en diferentes geográficas es muy importante analizar la legislación en la cual se desea implementar la normativa, ya que puede incurrir en procesos ilegales o acoso laboral según la legislación, los protocolos más comunes son acuerdos de confidencialidad al firmar el contrato de trabajo, políticas de seguridad y de la conformidad por parte de los colaboradores de la compañía, esto permitirá tener un poco más de control en cuando el robo de información por parte de personal interno, ya que para ellos puede tener consecuencias legales y sanciones penales.
¿Cómo mejorar mi seguridad informática Colombia?
Es imposible tener una seguridad cien por ciento efectiva, ya que cada día se descubren nuevas vulnerabilidades en los sistemas operativos y hardware, el momento ideal para capacitar al personal en seguridad informática es ahora, según el INCIBE el 75% de las veces que un atacante se aproxima a una víctima logra realizar un ataque efectivo mediante técnicas de ingeniería social, estos usuarios son engañados con la única finalidad de realizar una acción solicitada por el delincuente.
- Es necesario formar y capacitar mediante programas de concientización a todos los colaboradores de las empresas sin importar el sector en el que se desempeñen, ya que para un atacante el acceso a la red interna se puede realizar desde el dispositivo de un operario hasta desde el dispositivo del gerente general, en términos computacionales ambos representan el mismo valor al momento de comprometer la infraestructura y distribuir el malware dentro de la compañía.
- Contar con componentes técnicos en temas de Seguridad para Endpoints es necesario, el software de seguridad a parte de obtener actualizaciones del malware que circula activamente a nivel mundial, también permitirá activar opciones para mitigar aún más los riesgos que puedan representar el error humano, el personal TI tendrá más herramientas para bloquear acciones dentro de los dispositivos corporativos así mismo como realizar actualizaciones de forma automatizada, lo que permitirá mantener los sistemas lo más seguros posible.
- Contar con copias de seguridad que garanticen la continuidad del negocio en caso de sufrir un incidente informático, para realizar los Backups de forma acertada es necesario llevar un inventario de activos de información para que de esta forma se logren identificar los datos críticos dentro de la compañía, así mismo como definir un tipo de Periocidad de las copias de seguridad, lo ideal es que nuestro ciclo de copias de seguridad permita obtener los datos semana tras semana durante el mes, para al final del año contar con 12 valiosas copias de seguridad.
Desde SIGUARD esperamos que a través de este tipo de contenido logremos mejorar la infraestructura tecnológica y reforzar la Seguridad Informática en Colombia de todas las compañías que siguen nuestras recomendaciones, en ciberataque puede llevar a la quiebra de una empresa, no queremos que eso te suceda a ti, protege tu información el activo más valioso en este era y transición digital acelerada que estamos viviendo.