Beazley

Los expertos en ciberseguridad llevan décadas enzarzados en una batalla contra los piratas informáticos. Es una carrera armamentística tecnológica. Cada evolución tecnológica y de seguridad es puesta a prueba en busca de nuevos puntos débiles. Las nuevas innovaciones que aportan beneficios a la sociedad también pueden mejorar las herramientas de las ciber bandas. Cuando se pretende encontrar una bala de plata, los hackers hasta el momento, siempre han encontrado otra vía de entrada. 

Para la ciberseguridad, por desgracia, no existe una defensa impecable, pero sí una defensa en profundidad, y conociendo sus exposiciones y vigilando sus puntos de vulnerabilidad que no pueden eliminarse, las empresas de todos los tamaños pueden detener en seco los incidentes de ciberseguridad o minimizar los daños que causan. 

Toda empresa es un objetivo 

Todas las organizaciones, desde las PYME hasta las multinacionales, dependen de la tecnología. Prácticamente todas las empresas están conectadas y, por extensión, expuestas a riesgos de ciberseguridad. Las empresas más pequeñas suelen carecer de los recursos necesarios para invertir en ciberseguridad en comparación con las grandes. Cada vez son más conscientes de ello. Más de una cuarta parte de las pequeñas empresas (28%) con ingresos anuales inferiores a 1 millón de euros creen que es la principal amenaza a la que se enfrenta su negocio, y también se sienten más expuestas que nunca, con un 25% que afirma no estar preparado para afrontar el riesgo (frente a 2022: 19%).

Sin embargo, esto no significa que estén condenadas a convertirse en víctimas perennes de los ciberdelincuentes. Las pequeñas empresas tienen superficies de ataque más pequeñas. Suelen tener menos empleados y por tanto, menos puntos de entrada, lo que las expone a menos riesgos. Las que reconocen que corren riesgos y tratan de tomar las medidas a su alcance para mitigarlos están mucho mejor protegidas que las que siguen creyendo que no son lo suficientemente grandes como para interesar a los ciberdelincuentes, que no ganan lo suficiente como para ser un objetivo, o el esotérico “eso no me va a pasar a mí”. Lo son, y tienen cada vez más probabilidades de que suceda. Todas las empresas, en cierta medida, están expuestas. 

Grandes empresas, mayores riesgos 

Las grandes empresas suelen ser más conscientes de los riesgos a los que se enfrentan. Saben más. Cuentan con equipos de seguridad que conocen el panorama de las amenazas. Nuestros datos muestran que casi tres cuartas partes (72%) de las empresas con ingresos anuales superiores a 100 millones de dólares se sienten preparadas para hacer frente a futuros riesgos cibernéticos, frente a sólo el 59% de las pequeñas empresas con ingresos anuales inferiores a 1 millón de euros.

Las grandes organizaciones también tienen superficies de ataque extremadamente grandes, deben tener en cuenta todos los riesgos. Tienen una plantilla mayor, lo que significa que hay más personas que pueden cometer un pequeño error que tenga grandes consecuencias. A veces, basta con que un empleado cometa un error en la supervisión o que un error quede sin parchear para que los hackers consigan entrar en los sistemas. 

Además, existe otro problema importante en la gestión de la ciber seguridad en las organizaciones: la creación de sistemas en la sombra por parte de los empleados, que configuran su propia infraestructura para resolver problemas concretos, al margen de los sistemas autorizados. 

Cuando vemos grandes organizaciones hackeadas, tiende a ser un acceso parcial. Al tratarse de grupos de empresas, tienen las infraestructuras en diferentes puntos geográficos. Aunque esto tiene sus inconvenientes, puede detener la propagación de cualquier contagio de malware. Una brecha en Brasil puede afectar a una la marca en Madrid, pero una separación de infraestructuras puede mitigarlo. El hecho de que haya habido una fuga en Brasil no debe implicar que hayan accedido a los datos de Madrid, evitando una exposición pública en medios a mayor escala. 

Aunque las pequeñas empresas reconocen sus limitaciones y las grandes tienen que prepararse para los problemas en múltiples frentes, a menudo son las que están en medio las más expuestas. Comprenden el riesgo hasta cierto punto, pero asumen que las medidas mínimas que han tomado son adecuadas. A menudo, no lo es.

¿Cómo evoluciona la amenaza de la ciberdelincuencia para las Pymes? 

«La ciberdelincuencia está cada vez más organizada y profesionalizada y supone un gran negocio. Muchas Pymes forman parte de una cadena de proveedores que conduce a grandes empresas, por lo que pueden actuar como puerta de entrada a las mismas», asegura el experto de Beazley Cyber Services, Joël Duquenne.

Beazley Cyber Services es la unidad de Beazley especializada en la prevención y formación de temas relacionados con Ciber seguridad. También apoya en la gestión de incidentes.

Mantenerse alerta ante los nuevos riesgos, pero sin ignorar las amenazas existentes 

Mantenerse al corriente de los peligros reales a los que se enfrentan las empresas es una batalla constante, más aún cuando las constantes informaciones tienden a exagerar el impacto. Un ejemplo de ello son los Deepfakes. Aunque constituyen un riesgo para las empresas y la tecnología está evolucionando, su implicación, inflada en los medios de comunicación, no es proporcional a su riesgo. En este sentido podría decirse lo contrario del ransomware, donde se puede dar por hecho que, debido a que los medios de comunicación han dejado de centrarse en los constantes ataques de ransomware, ya no existe tanto riesgo. Cuando sucede todo lo contrario. 

¿Qué medidas deben tomar las empresas para contrarrestar los deepfakes? 

«Si existen controles adecuados en torno a la autorización de los pagos, como la verificación de la identidad y los procesos de aprobación, los intentos de fraude deepfake no deberían tener éxito. 

Existe una creciente madurez en torno a la necesidad de protocolos de pago adecuados para evitar que se realicen pagos a partir del famoso “fraude del CEO” pidiéndoles que realicen un pago a una cuenta bancaria aleatoria en su nombre, pero aun así, el problema persiste. Hablar directamente con la persona que supuestamente ha hecho la solicitud sigue siendo el mejor enfoque. 

La tecnología Deepfake está evolucionando para permitir la falsificación de estas conversaciones por teléfono, pero por el momento los casos son raros. A medida que esta tecnología incipiente evolucione, es probable que se convierta en un riesgo mayor. Así que el juego del gato y el ratón continuará», señala Alberto Trojsi, Suscriptor Cyber en Beazley.