El 71% de las empresas es atacada con gravedad al menos una vez al año, siendo dos los ciberataques significativos a los que de media deben enfrentarse.
Nadie duda de que se trata de un riesgo que puede dañar a cualquier tipo de empresa, pero ¿cuáles son los ciberataques más comunes en las organizaciones?, y no menos importante: ¿qué puede hacer una empresa para defenderse?
Ciberamenazas que debes conocer
El Instituto Nacional de Ciberseguridad ha identificado hasta doce Ciberamenazas en entornos empresariales, que ha reunido en una reciente publicación:
1. Fugas de información o datos
Cuando por un incidente en seguridad se pierde la confidencialidad de la información de la empresa.
El supuesto habitual es el ciberataque, pero en ocasiones también lo motiva un insider, un antiguo empleado descontento. Como tercera causa, puede ocurrir de forma involuntaria, por la pérdida de un teléfono con esta información, envíos de correos electrónicos, etc.
2. Ataque phishing
Su objetivo es robar información confidencial y credenciales de acceso. Para lograrlo, se suplanta la identidad de empresas y organizaciones reconocidas.
El ataque se produce generalmente a través del correo electrónico, aunque también puede ser a través de mensajes SMS, redes sociales, aplicaciones de mensajería instantánea o llamadas telefónicas.
3. Fraude del CEO
También conocido como spear phishing, este ataque se dirige contra una víctima en concreto, de la que previamente se ha recopilado información a través de la página web corporativa, redes sociales profesionales, etc. Esta información convierte el fraude en más creíble y, por tanto, en más peligroso.
El modo de actuación es el siguiente: el ciberdelincuente suplanta la identidad de un directivo para dirigirse a un subordinado de la empresa con capacidad para realizar transferencias de dinero.
En una comunicación por medio electrónico le pide un movimiento de dinero importante, que justifica por el cierre de una operación empresarial. El empleado, al pensar que la orden proviene de un superior, accede, pero además acostumbra a no hacer comentarios internos, porque su supuesto superior le ha pedido máxima confidencialidad.
4. Fraude de Recursos Humanos
En esta ocasión, el ciberdelincuente se hace pasar por un empleado de la empresa y solicita que el ingreso de su nómina se realice a un nuevo número de cuenta, por supuesto, controlado por el estafador.
5. Sextorsión
La víctima es informada por correo electrónico de que ha sido grabada en situación comprometida o que, tras “hackear” su teléfono, disponen de vídeos o conversaciones privadas. De no realizar un pago, normalmente en criptomonedas, esa información será distribuida a todos sus contactos. Para hacer más creíble su amenaza, sus comunicaciones pueden incluir información personal.
6. Ataques contra la web corporativa
El objetivo puede ser muy diferente, desde hacerse con información confidencial a dañar la imagen de la empresa.
En ocasiones, estos hackers vulneran la seguridad más como un entretenimiento o demostración de su conocimiento que con un fin económico, lo que les lleva, por ejemplo, a cambiar la apariencia de la web mostrando imágenes divertidas u obscenas.
Son habituales los ataques de denegación de servicio, lo que ocasiona que los usuarios no puedan comprar en un ecommerce o consultar una página. Y también son frecuentes los que utilizan la web “hackeada” como plataforma para cometer otros delitos.
Malas configuraciones web, contar con vulnerabilidades y no haberlas parcheado, o incluso los errores de diseño facilitan la actuación del delincuente. La enseñanza más evidente es que cualquier web de empresa debe contar con una política de seguridad adecuada.
7. Ransomware
Este malware o software malicioso impide acceder a la información del dispositivo, normalmente por haber sido cifrada. Es uno de los ataques más comunes y efectivos, ya que en ocasiones solo es posible recuperar la información previo pago del rescate que se solicita.
8. Fraude del falso soporte técnico
Un supuesto técnico de una conocida empresa informática avisa sobre errores detectados en los dispositivos de la compañía. Así comienza esta estafa, que puede comprometer la seguridad y privacidad de toda la organización o del dispositivo de un único empleado.
9. Campañas de correos electrónicos con malware
Un correo que aparenta ser una factura, un justificante de compra o cualquier otro señuelo pueden ser el inicio de una infección que se propaga por toda la organización.
El archivo malicioso puede ser un fichero adjunto al correo o un enlace web.
10. Ataques de denegación de servicio
Los ciberdelincuentes realizan muchas peticiones a la vez a un servidor determinado, hasta que logran inhabilitarlo. De este modo, se produce la “caída” de la página web o del ecommerce y los usuarios no pueden acceder hasta que la empresa logra desbloquearlos.
11. Ataques adware
Se muestran anuncios publicitarios a un usuario con el fin de generar ingresos a los ciberdelincuentes. Suelen llegar al dispositivo de la víctima a través de software gratuito o programas no legítimos.
Sin duda, es el ataque menos agresivo de los comentados, pero en ocasiones supone una gran molestia para el usuario, que no puede trabajar con normalidad.
12. Ataque de suplantación de proveedores
Como seguramente habrás adivinado, en esta ocasión la empresa recibe un correo de un proveedor al que el delincuente ha suplantado. El objetivo es conseguir que le hagan una transferencia bancaria que, por supuesto, nunca llegará al destino que se pensaba.
No se debe tomar a la ligera este peligro, ya que las técnicas de ingeniería social que utilizan estos estafadores son cada vez más sofisticadas. Estas operaciones pueden conllevar mucho trabajo previo para conocer el objetivo y resultar convincentes durante el ataque.
0 comentarios