Desde nuestra consultoría de protección de datos enumeramos las principales amenazas en ciberseguridad que existen para empresarios y autónomos. Reflexionamos sobre la relevancia adquirida de la protección de datos para empresas en plena era digital, constituyendo una prioridad para todo tipo de usuarios.
Durante las últimas tres décadas, el perfil del delincuente típico se ha ido transformando en lo que hoy en día conocemos como ciberdelincuente.
Los robos que comete este nuevo tipo de delincuente son de información. Las estafas y fraudes son cada vez más elaboradas y los secuestros ya no son de personas, sino de información. Sin embargo, con independencia de estas características, la finalidad de los delitos sigue siendo el mismo (económico), pero la forma de llevarlos a cabo es distinta.
Dada la globalización actual, la protección de datos para empresas mediante la denominada ciberseguridad, es un elemento clave que aporta confianza en la compañía, diferenciándola del resto.
1. EL CIBERDELINCUENTE
Cuando hablamos de protección de datos para empresas, no hemos de confundir las figuras de “Hacker” y “Ciberdelincuente”, no son lo mismo.
Un Hacker es un apasionado de la informática que, por sus conocimientos, entre otras cuestiones, encuentra problemas de seguridad en programas o aplicaciones informáticas para mejorar la seguridad de los mismos. Hoy en día, muchos consideran que el término Hacker conlleva una connotación negativa, por lo que para diferenciarlo suele utilizarse el término “Hacker ético”.
En cambio, cuando hablamos de ciberdelincuente, nos estamos refiriendo a aquella persona que comete delitos escudándose en un relativo anonimato y en un contexto global como es Internet. Únicamente necesita un ordenador, una conexión a Internet y los conocimientos o el software (aplicaciones informáticas) necesarios para cometer el delito.
El principal objetivo de los ciberdelincuentes es la obtención de ingresos, por ejemplo, dejando sin actividad a una empresa y extorsionándola, secuestrando información confidencial o sensible y solicitando dinero por el rescate de la misma.
2. LA VÍCTIMA
Es lógico pensar que el objetivo de todo ciberdelincuente son las grandes compañías, sin embargo, se ha de tener en cuenta que las mismas cuentan con grandes medidas de seguridad que las pequeñas y medianas empresas, incluidos los autónomos, no pueden permitirse.
El Ministerio de Empleo y Seguridad Social (MEySS) en su documento “Cifras Pyme – Datos enero 2018”, establece que en el tejido industrial español, las grandes empresas solo suponen un 0,2% del mismo.
Esta cifra nos puede dar una idea del interés de los ciberdelincuentes por el colectivo que supone un 99,8%.
3. EL MEDIO – AMENAZAS CIBERNÉTICAS EN LA PROTECCIÓN DE DATOS PARA EMPRESAS
En orden a una correcta protección de datos para empresas, será necesario conocer los peligros cibernéticos a los que las mismas podrían estar expuestas.
Podemos definir amenaza como, todo aquel elemento que puede provocar alteraciones, daños o fugas de información de la organización, ocasionando pérdidas materiales, económicas y de prestigio o la causa potencial de un incidente no deseado.
Cuando el escenario en el que se produce dicha amenaza es el computacional (sistema o red de ordenadores), denominamos la misma “amenaza cibernética”, cobrando gran importancia la protección de datos para empresas.
Por si quiere saber más, le dejamos nuestro post acerca de las medidas de seguridad del nuevo reglamento de protección de datos.
Entres las principales amenazas cibernéticas que debemos tener en cuenta para una correcta protección de datos para empresas, podemos encontrar las siguientes:
MALWARE
Programas o aplicaciones que provocan un daño, robo de información, captura de contraseñas, de vídeo y/o audio, etc., en un dispositivo o servicio.
Podemos diferenciar los siguientes tipos de malware:
| Virus | Código de software cuya principal función es propagarse a través de un programa, alterando sus archivos, con el objetivo entre otros de, perjudicar el funcionamiento del ordenador, enviar spam, averiar hardware, etc. |
| Gusanos | Parecido al virus y diseñado para propagarse a través de redes. A diferencia de un virus, un gusano no necesita alterar archivos de programas para propagarse, sino que se duplica a sí mismo. |
| Troyanos | Malware que obtiene acceso a un sistema que se suele “esconder” dentro de un programa o aplicación real. Al ejecutar el programa o aplicación donde se esconde, entre otras cuestiones le puede brindar acceso remoto al ciberdelincuente. |
| Ransomware | El ejemplo más conocido es “WannaCry”. Este tipo de malware, tras infectar el dispositivo puede llevar a cabo dos acciones:
· Bloquearlo y dejar sin acceso al usuario. · Cifrar los archivos que contiene el dispositivo.
En ambos casos nuestro ordenador ha sido secuestrado y para poder acceder al mismo o a los archivos siempre se solicitan criptomonedas (bitcoin) por el rescate, dificultando de este modo el rastreo del ciberdelincuente. |
| Spyware | Recopila información sobre el ordenador que se ejecuta y se la envía al ciberdelincuente. |
| RogueWare | Falsos antivirus que, tras una falsa detección, tratan de que la víctima adquiera algún producto con coste económico. |
| Keyloggers | Capturan las pulsaciones del teclado del ordenador y se las envían a los ciberdelincuentes. |
FRAUDE
Amenazas cuya motivación es la económica, utilizan técnicas para engañar al usuario, como es la denominada ingeniería social.
Entre las principales podemos encontrar las siguientes:
| Phishing | Consiste en suplantar la identidad de una organización, mediante algún medio tecnológico (web, correo electrónico, SMS o mensajería instantánea) haciéndose pasar por ella con el objetivo de recabar información personal, financiera, etc. Se suele realizar de manera masiva. |
| Spear phishing | Similar al phishing, pero los ciberdelincuentes se fijan objetivos o personas concretas. Podríamos considerar que se trata de un phishing “dirigido”. |
| Whaling o fraude del CEO | Equivalente al phishing, pero específicamente dirigido a altos directivos o personas de organizaciones que tienen capacidad de decisión dentro de la empresa. No son pocos los casos en que mediante esta técnica se han autorizado grandes transacciones a favor de los ciberdelincuentes. |
Le dejamos aquí un post anterior sobre Phishing por si quiere profundizar en la temática.
OTRAS AMENAZAS CIBERNÉTICAS
| Exploits | Código de software que ha sido diseñado para explotar una vulnerabilidad en el sistema o aplicación. Mediante el mismo el ciberdelincuente podrá acceder a aquellos sistemas o aplicaciones que no tengan el fallo corregido. |
| APTs | Advanced Persistent Threat o Amenaza Avanzada Persistente, son aplicaciones muy complejas y diseñadas para penetrar la seguridad informática de una entidad u organización específica durante un largo periodo de tiempo pudiendo de esta manera entre otras cuestiones, robar información. |
| Ataque DDoS | Ataque que es capaz de dejar disponible un servidor (por ejemplo, página web). Se usan decenas e incluso centenas de miles de ordenadores o dispositivos, normalmente infectados por un virus, que tratan de conectarse simultáneamente a nuestro recurso que no es capaz de gestionar todas las peticiones que se realizan. |
| Botnets | Es una red automatizada y distribuida de ordenadores previamente comprometidos (infectados), que, controlada remotamente, realiza acciones maliciosas de forma simultánea como el envío de spam o ataques de denegación de servicio distribuido (DDoS). |
4. CONCLUSIÓN
Los datos e información empresariales son un activo muy importante, por ello la protección de datos para empresas ha de ser una cuestión a tener en cuenta.
No son pocas las herramientas que utilizan los ciberdelincuentes y cada vez más sofisticadas, es necesario conocer el nuevo escenario (tecnológico) en que nos encontramos y adaptarse al mismo.
Citando a Charles Darwin, “No es el más fuerte de las especies el que sobrevive, tampoco es el más inteligente el que sobrevive. Es aquel que es más adaptable al cambio.”
Desde Grupo Adaptalia subrayamos la importancia de mantener las adecuadas medidas de seguridad y de cumplimiento normativo en todo lo que se refiere a la protección de datos para empresas y usuarios en general. No dude en consultarnos para resolver sus dudas o inquietudes sobre la protección de datos para autónomos o particulares.
