¿Qué importantes desafíos tiene la ciberseguridad por delante?

En el marco de la celebración del Antimalware Day, compartimos algunos de los principales desafíos actuales y a futuro que tiene la industria de la ciberseguridad.

Muchas organizaciones son conscientes de los riesgos que implica estar expuestos a las amenazas informáticas y esto provocó que con el paso del tiempo la ciberseguridad se convierta en una de las principales prioridades. Sin embargo, la gran mayoría de las organizaciones aún tiene dificultades para dar respuesta a un incidente de seguridad.

Estar protegidos supone un gran desafío que depende de muchos factores. A continuación, en el marco del Antimalware Day, una fecha que se celebra cada 3 de noviembre para destacar la labor que realiza la industria de la ciberseguridad, compartimos una selección con algunos de los principales desafíos que tiene la ciberseguridad en la actualidad y en los próximos años.

  1. Crecimiento del cibercrimen

Según un informe de Cybersecurity Ventures, se espera que desde 2021 a 2025 haya un incremento del 15% anual de los costos del cibercrimen y que para ese año podrían alcanzar los 10.5 billones de dólares anuales, lo que supone una cifra superior a las ganancias obtenidas por todo el comercio de drogas ilegales combinadas. Según el informe, esto se explica por un crecimiento muy importante de la actividad de grupos de cibercriminales organizados y grupos respaldados por gobiernos, así como por el aumento de la superficie de ataque como consecuencia de los procesos de transformación digital que demanda el avance de una economía cada vez más digitalizada.

  1. Escasez de talento

La falta de personas capacitados para satisfacer la creciente demanda de profesionales en esta industria continúa creciendo. Actualmente se necesitan a nivel global 3.4 millones de profesionales más trabajando en ciberseguridad y el 70% de las organizaciones aseguró que tiene posiciones en ciberseguridad sin cubrir, afirma ISC2.

En algunos países se está trabajando para reducir esta brecha y grandes compañías como Google, Microsoft o IBM están realizando distintas iniciativas para capacitar personas en el área. Por ejemplo, el Foro Económico Mundial lanzó junto a otras compañías una plataforma de educación online dirigida a personas y organizaciones llamada Cybersecurity Learning Hub. Lo que busca este proyecto es capacitar y mejorar las habilidades de profesionales en seguridad para que más personas puedan alcanzar puestos laborales de calidad en el área.

  1. Inclusión y diversidad

En un contexto donde la escasez de talento ya es un desafío, otro reto que tiene la industria es lograr que la fuerza laboral sea más diversa e inclusiva. Con una fuerza laboral como la actual, compuesta mayoritariamente por hombres blancos, es necesario desarrollar iniciativas y políticas para atraer una mayor participación de otras poblaciones. No solo por una cuestión de valores, sino porque apuntar a una mayor inclusión y diversidad tiene un impacto positivo en el crecimiento de las organizaciones y además, atraer a poblaciones que hoy tienen menos representación en el mundo de la ciberseguridad puede ser una gran estrategia para disminuir la falta de profesionales capacitados.

  1. Trabajo remoto

La transformación digital acelerada por la pandemia demostró a muchas empresas que la seguridad es en un tema prioritario. En el caso del trabajo remoto e híbrido, las organizaciones a lo largo del mundo ya no pueden confiar solamente en la seguridad que proporciona la infraestructura tecnológica de la oficina, sino que deben asegurarse que los colaboradores que acceden a distancia a los sistemas de la compañía tengan la capacitación y la tecnología adecuada para evitar riesgos que los cibercriminales ya han demostrado que intentan explotar.

  1. El crecimiento de la dark web

El gran crecimiento que ha tenido la actividad criminal en la dark web en los últimos años, sobre todo después del inicio de la pandemia, supone un gran desafío y refuerza la importancia que tiene realizar actividades como inteligencia de amenazas en estos rincones de Internet. El monitoreo de la dark web por parte de las empresas y organizaciones ayuda a prevenir ataques, permite comprender cómo piensan los estafadores y grupos cibercriminales, qué vulnerabilidades están siendo comercializadas, qué herramientas maliciosas utilizan para acceder a los sistemas de las organizaciones o para defraudar a las personas, o qué información de una organización está circulando en estos mercados clandestinos.

  1. La evolución de la ingeniería social:

Tendencias como el crecimiento de nuevas formas de ingeniería social sin dudas que obligan a las organizaciones a realizar taras de capacitación para estar al día de las modalidades de ataque que existen. Una de estas formas es la denominada callback phishing, una táctica que consiste en combinar en una misma campaña de formas de ataque como el phishing y el vishing. Por ejemplo, mediante correos en los que se informa a las potenciales víctimas sobre la renovación automática de la suscripción a un servicio y que en caso de querer cancelar puede contactarse telefónicamente a un número que proporciona el mensaje. Los cibercriminales han estado utilizando estas formas de ataque cada vez con más frecuencia para intentar acceder a los sistemas de las organizaciones y desplegar malware; entre ellos, los grupos de ransomware.

Además de eso, la capacidad de utilizar Inteligencia Artificial para la creación de voces sintéticas ha tenido avances exponenciales, mientras que hay quienes afirman que aumentó la cantidad de ataques de deep voice en los cuales estafadores utilizan herramientas basadas en IA para imitar en tiempo real la voz de altos cargos de compañías y convencerlos, por ejemplo, de que hagan una transferencia de urgencia.

  1. Seguridad el ecosistema cripto

Más allá analizar los desafíos que nos muestran los distintos reportes y estudios, algunos desafíos, como la seguridad en el mundo cripto, son fáciles de identificar. Para darse cuenta el interés que despierta el mundo de las criptomonedas, NFT, juegos play-to-earn y demás, tanto en los usuarias como en los actores maliciosos, solo basta con revisar plataformas como Phishtank y ver la cantidad de sitios de phishing que se reportan a diario diseñados para robar las credenciales de billeteras de criptomonedas.

Lo mismo si vemos la cantidad de noticias de ataques a diferentes Exchange de criptomonedas que derivan en el robo de sumas millonarias en criptomonedas, o casos que involucran a grupos de APT, como Lazarus, como fue el ataque al sidechain Ronin del videojuego Axie Infinity que derivó en un robo millonario en RTH y USDC.

Por todo esto, no cabe duda que los riesgos y amenazas informáticas alrededor de todo el ecosistema cripto supone un reto importante para la industria y para la seguridad en general.

  1. El ransomware

Si nos basamos en la actualidad y en la evolución que ha tenido en los últimos años, está claro que el ransomware sigue siendo un gran desafío que exige que se siga trabajando en capacitación y concientización y también que se invierta en las herramientas necesarias para hacerle frente.

De 2020 a 2021 se duplicó la cantidad de ataques de ransomware y en 2022 la actividad no parece disminuir. Si observamos cómo ha sido la evolución de este tipo de amenaza durante los últimos cinco años, podemos dar cuenta no solo que es una amenaza vigente, sino que aún queda un largo camino por recorrer para que el negocio del ransomware deje de inyectar dinero a la industria del cibercrimen.

  1. El metaverso

Las proyecciones sobre la adopción del metaverso muestran que para 2026 el 25% de las personas en el mundo dedicarán al menos una hora al día a este mundo virtual. Por lo tanto, la seguridad en el metaverso se plantea como un desafío a futuro. Tal como explicaron investigadores de ESET, estos mundos virtuales compartidos para socializar, jugar y en el que habrá circulación de activos, sin duda alguna darán lugar a una gran cantidad de ataques y fraudes. Además, las innovaciones tecnológicas no siempre son desarrolladas teniendo en cuenta la seguridad y las tecnologías suelen salir al mercado lo antes posible porque las presiones del negocio.

  1. Más educación y concientización

Un desafío fundamental que nunca dejará de tener la industria es mejorar la educación y concientización sobre los riesgos de ciberseguridad que existen. Con la alta penetración de Internet y de la tecnología a nivel global, la superficie de ataque se expandió considerablemente si tomamos como referencia lo que pasaba hace una o dos décadas atrás; sin embargo, este cambio no hemos visto que haya sido acompañado por acciones que busquen concientizar de forma masiva sobre los riesgos y medidas de protección. 

Estos son algunos de los desafíos que debe atender la ciberseguridad. Algunos forman parte del presente y otros ponen el foco en escenarios futuros. La lista es más larga, pero en cualquier caso, poder lidiar con cualquiera de estos desafíos requiere de trabajo y esfuerzo de muchos actores, no solo de la industria de la ciberseguridad.

Fuente noticia: https://www.welivesecurity.com/
Fuente foto: freepik.es

La UE decide reforzar la ciberseguridad y la resiliencia en toda la Unión: el Consejo adopta nueva legislación

● Consejo de la UE
28/11/2022 11:38 | Comunicado de prensa |

La UE decide reforzar la ciberseguridad y la resiliencia en toda la Unión: el Consejo adopta nueva legislación

El Consejo ha adoptado legislación para un alto nivel común de ciberseguridad en toda la Unión , para mejorar aún más la resiliencia y las capacidades de respuesta a incidentes tanto del sector público como del privado y de la UE en su conjunto.

La nueva directiva, denominada ‘ NIS2′ , sustituirá a la actual directiva sobre seguridad de redes y sistemas de información (la directiva NIS).

«No hay duda de que la seguridad cibernética seguirá siendo un desafío clave en los próximos años. Lo que está en juego para nuestras economías y nuestros ciudadanos es enorme. Hoy, dimos otro paso para mejorar nuestra capacidad para contrarrestar esta amenaza».
Ivan Bartoš, Viceprimer Ministro checo de Digitalización y Ministro de Desarrollo Regional

Mayor gestión y cooperación de riesgos e incidentes

NIS2 establecerá la línea de base para las medidas de gestión de riesgos de ciberseguridad y las obligaciones de información en todos los sectores cubiertos por la directiva, como la energía, el transporte, la salud y la infraestructura digital.

La directiva revisada tiene como objetivo armonizar los requisitos de ciberseguridad y la implementación de medidas de ciberseguridad en diferentes estados miembros. Para lograrlo, establece reglas mínimas para un marco regulatorio y establece mecanismos para una cooperación efectiva entre las autoridades relevantes en cada estado miembro. Actualiza la lista de sectores y actividades sujetos a obligaciones en materia de ciberseguridad y prevé remedios y sanciones para garantizar su cumplimiento.

La directiva establecerá formalmente la Red Europea de Organización de Enlace de Crisis Cibernéticas, EU-CYCLONe , que apoyará la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala .

Ampliación del ámbito de aplicación de las normas

Mientras que bajo la antigua directiva NIS, los estados miembros eran responsables de determinar qué entidades cumplirían los criterios para calificar como operadores de servicios esenciales, la nueva directiva NIS2 introduce una regla de límite de tamaño como regla general para la identificación de entidades reguladas. Esto significa que todas las entidades medianas y grandes que operen dentro de los sectores o presten servicios cubiertos por la directiva entrarán dentro de su ámbito de aplicación.

Si bien la directiva revisada mantiene esta regla general, su texto incluye disposiciones adicionales para garantizar la proporcionalidad , un mayor nivel de gestión de riesgos y criterios claros de criticidad para permitir que las autoridades nacionales determinen otras entidades cubiertas.

El texto también aclara que la directiva no se aplicará a las entidades que realicen actividades en áreas como la defensa o la seguridad nacional, la seguridad pública y la aplicación de la ley . El poder judicial, los parlamentos y los bancos centrales también están excluidos del alcance.

NIS2 también se aplicará a las administraciones públicas a nivel central y regional. Además, los estados miembros pueden decidir que se aplique también a tales entidades a nivel local.

Otros cambios introducidos por la nueva ley

Además, la nueva directiva se ha alineado con la legislación específica del sector , en particular, el reglamento sobre resiliencia operativa digital para el sector financiero (DORA) y la directiva sobre resiliencia de entidades críticas (CER), para proporcionar claridad jurídica y garantizar la coherencia entre NIS2 y estos actos.

Un mecanismo voluntario de aprendizaje entre pares aumentará la confianza mutua y el aprendizaje de buenas prácticas y experiencias en la Unión, contribuyendo así a lograr un alto nivel común de ciberseguridad.

La nueva legislación también agiliza las obligaciones de información para evitar que se produzca un exceso de información y se cree una carga excesiva para las entidades cubiertas.

Próximos pasos

La directiva se publicará en el Diario Oficial de la Unión Europea en los próximos días y entrará en vigor a los veinte días de esta publicación.

Los estados miembros tendrán 21 meses a partir de la entrada en vigor de la directiva para incorporar las disposiciones a su legislación nacional.

Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión (PE-CONS 32/22)

Proyecto de directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión – Orientación general del Consejo

Ciberseguridad: cómo aborda la UE las ciberamenazas (información de referencia)

Un futuro digital para Europa (información de referencia)

Visita el sitio web

Ciberseguridad en las instituciones, órganos y organismos de la UE: el Consejo adopta su posición sobre normas comunes

● Consejo de la UE
18/11/2022 10:30 | Comunicado de prensa |

Ciberseguridad en las instituciones, órganos y organismos de la UE: el Consejo adopta su posición sobre normas comunes

El Consejo ha adoptado hoy su posición sobre un proyecto de reglamento destinado a garantizar un alto nivel común de ciberseguridad en todas las instituciones, órganos y organismos de la UE.

Las medidas fueron propuestas por la Comisión en marzo de 2022 en el contexto de un aumento significativo en el número de ciberataques sofisticados que afectaron a la administración pública de la UE en los últimos años. Se propusieron mejorar la resiliencia y las capacidades de respuesta a incidentes de todas las entidades de la UE y abordar las disparidades en su enfoque mediante la creación de un marco común.

Lee mas

El Consejo acuerda reforzar la seguridad de las cadenas de suministro de las TIC

● Consejo de la UE
17/10/2022 10:22 | Comunicado de prensa |

El Consejo acuerda reforzar la seguridad de las cadenas de suministro de las TIC

En respuesta a algunos de los ataques informáticos más importantes hasta la fecha, así como a las diversas amenazas a las que están expuestas las cadenas de suministro de las tecnologías de la información y la comunicación (TIC), los Estados miembros han adoptado unas Conclusiones que contribuyen a reforzar la seguridad de los activos informáticos de la UE. Este llamamiento urgente a la acción viene propiciado por las actuales circunstancias geopolíticas, el carácter pernicioso de los ataques a las cadenas de suministro y la creciente dependencia que tiene nuestra sociedad de las tecnologías digitales. El objetivo es reforzar la seguridad de las cadenas de suministro de las TIC y constituye un primer paso para hacer frente a la amenaza que las dependencias estratégicas no deseadas ejercen en las cadenas de suministro de las TIC.

«Nuestra experiencia reciente nos ha enseñado que en muy poco tiempo una dependencia estratégica del exterior puede convertirse en una vulnerabilidad muy real. Por eso tenemos que proteger las cadenas de suministro de las TIC críticas, que son esenciales para la seguridad de la infraestructura digital de la UE, la piedra angular de nuestra sociedad y nuestra economía modernas.»
Ivan Bartoš, vicepresidente del Gobierno de Digitalización y ministro de Desarrollo Regional de la República Checa

SEMANA EUROPEA DE LA ENERGIA SOSTENIBLE. 26-30 Septiembre 2022.

REHVA – Sesión de política de alto nivel de la UE de EPEE sobre edificios de cero emisiones en EUSEW

28 de septiembre, de 14:30 a 16:00 (se podrá seguir el evento online previa inscripción)

La sesión demostrará los diversos elementos necesarios para implementar con éxito el concepto de edificio de cero emisiones en las distintas zonas climáticas de Europa, reuniendo las perspectivas de las instituciones de la UE con los diseñadores, fabricantes e instaladores de calefacción, ventilación y aire acondicionado (HVAC). y profesionales de la construcción que representan toda la cadena de valor de las tecnologías HVAC eficientes y renovables, desde el diseño hasta la operación y el mantenimiento. REHVA estará representada por el vicepresidente Johann Zirngibl.

Objetivos de Desarrollo Sostenible y la CEC

El 25 de septiembre de 2015, los líderes mundiales adoptaron un conjunto de objetivos globales para erradicar la pobreza, proteger el planeta y asegurar la prosperidad para todos como parte de una nueva agenda de desarrollo sostenible. Cada objetivo tiene metas específicas que deben alcanzarse en los próximos 15 años.

Para alcanzar estas metas, todo el mundo tiene que hacer su parte: los gobiernos, el sector privado, la sociedad civil y personas como usted.

En el año 2022 la CEC lanza una campaña de comunicación para difundir informacion sobre los distintos objetivos, y la relación que guardan con las actividades que desarrollamos desde la Confederación.

El mes de julio, lo dedicamos al ODS9. Industria, Innovación e Infraestructuras

A la hora de hablar de seguridad de la información, siempre suele hablarse de tecnologías y procesos. Son una pieza importante pero, en realidad, los auténticos protagonistas de la seguridad en las empresas son las personas, que son los que gestionan y utilizan los dispositivos tecnológicos de nuestra organización para gestionar nuestro principal activo: la información.

Igual que realizamos controles médicos de empresa y concienciamos en materia de prevención de riesgos laborales a nuestro personal, también es importante concienciarles y formarles en materia de ciberseguridad.

Esta formación en ciberseguridad creará una cultura de seguridad en la empresa que servirá para establecer las bases de la protección, tanto de nuestra información confidencial, como la de nuestros clientes y proveedores.

Fomentaremos el desarrollo de esta cultura de seguridad formando a nuestros empleados en ciberseguridad, teniendo siempre presente las políticas, normativas y procedimientos de seguridad establecidas en la empresa; supervisando que se cumplen las buenas prácticas en seguridad establecidas; y realizando acciones de sensibilización y concienciación en seguridad para empleados de manera continua.

Más información

El 58% de las víctimas de ransomware pagó un rescate a los cibercriminales

Según datos de un estudio reciente, aumentó en 5% la cantidad de empresas víctimas de un ciberataque entre 2020 y 2021.

Un informe publicado recientemente reveló que el 58% de las víctimas de ransomware en 2021 pagó un rescate a los cibercriminales, ya sea para recuperar los datos del cifrado o para evitar que se publicara información sensible. Los correos de phishing fueron la principal puerta de entrada en los ataques de ransomware, seguidos por el uso de credenciales robadas, a través de un tercero, servidores sin parchear o mediante ataques de fuerza bruta. Además, 1 de cada 6 empresas que reportaron haber sufrido un ciberataque fueron extorsionadas

Los datos surgen de un informe de la compañía de seguros Hiscox, que opera en Europa y Estados Unidos, en el cual evaluó la capacidad de gestión de amenazas informáticas de empresas de Alemania, Bélgica, España, Estados Unidos, Francia, Irlanda, Reino Unido y Países bajos. De más de 6000 empresas que fueron consultadas para este informe, más de 2600 enfrentó al menos un ciberataque, cifra que representa el 43% de las organizaciones y un aumento de 5% en la cantidad de empresas víctimas de un ciberataque entre 2020 y 2021.

En el caso de las empresas españolas, solo el 9% fue considerada experta en ciberseguridad y el 53% es propensa a sufrir un ciberataque. Por otra parte, el 64% de las empresas de España que fueron víctimas de ransomware decidió pagar a los criminales y el 47% de volvió a sufrir otro ciberataque.

En comparación con el resto de los países, las empresas de Bélgica son las más propensas a sufrir un ataque de ransomware y son también las que menos invierten en ciberseguridad con un promedio de 1.7 millones de euros, mientras que las de Países bajos son las que menos probabilidades tienen de ser víctimas de ransomware. Por su parte, las empresas de Estados Unidos son las más capacitadas para gestionar las amenazas informáticas y también es donde se registró el menor costo promedio los ataques. En el caso de Alemania, las empresas fueron las que más invirtieron en ciberseguridad con una media de 5 millones de euros. Sin embargo, el costo promedio de un ataque informático tuvo los números más altos con una media de cercana a los 21.800 euros por empresa.

En el caso de Francia, el 49% de las empresas aseguró haber sido víctima de un ciberataque, mientras que las de Reino Unido son las que menos probabilidades tienen de sufrir un ciberataque con el 36%.

Cómo lograron entrar los atacantes a las empresas

Como hemos mencionado en otras ocasiones, la superficie de atauque aumentó en los últimos años obligando a las organizaciones a tener que dedicar más esfuerzos e inversión para asegurar cada posible puerta de entrada de los atacantes. En este sentido, según el reporte los seis vectores de ataque para lograr acceso inicial más frecuentes fueron:

  • A través de servidores de las empresas (37%), ya sea explotando una vulnerabilidad o mediante credenciales,
  • A través de servidores corporativos alojados en la nube (31%)
  • Mediante un sitio web de la empresa (29%). Por ejemplo, ataques de DDoS
  • Como consecuencia de errores humanos (28%). Por ejemplo, el phishing
  • A través del dispositivo móvil de la empresa (26%)
  • A través del dispositivo móvil del empleado (23%)
  • Por intermedio de un tercero que ha sufrido el compromiso de un servidor, dispositivo o sitio web 

En el caso del ransomware, los correos de phishing fueron el principal vector de acceso inicial (65%), seguido por el uso de credenciales de acceso robadas y reutilizadas (43%), a través de terceros (34%) que han sido comprometidos (por ejemplo, un proveedor), a través de la explotación de una vulnerabilidad (30%) en un servidor o tecnología desactualizada, y mediante ataques de fuerza bruta (23%).

En el caso de las vulnerabilidades más comúnmente explotadas por grupos de ransomware para lograr acceso inicial, en 2021 investigadores crearon una lista con las vulnerabilidades que más aprovecharon estas bandas. Para reforzar la importancia de evaluar toda esta información a la hora de analizar y evaluar procesos en la gestión de la seguridad de una organización, recientemente agencias de ciberseguridad de varios países divulgaron cuáles son los 10 vectores de acceso inicial más utilizados por actores maliciosos para lograr acceso a las redes de una organización.

Formas de ataque más frecuentes

Muchas empresas víctimas tuvieron que lidiar con más de un ataque. De hecho, el 28% de las empresas encuestadas fueron atacadas más de cinco veces durante 2021 y el 33% tuvo que lidiar con atacantes más de 25 veces en un año. En estos casos, los tipos de ataques que más sufrieron fueron los de un malware distinto al ransomware (31%), seguidos por las estafas del tipo BEC (28%), ataques de DDoS (27%), uso indebido de los recursos de TI (25%) y ransomware (16%).

El costo de los ciberataques

En cuanto a los costos como consecuencia de los ciberataques, para las pequeñas empresas con un máximo de 10 empleados, el costo promedio fue de poco más de 8.200 euros, mientras que en aquellas más grandes con más de 1000 empleados las pérdidas fueron de 280.000 euros y en algunos casos las cifras superaron los 430.000 dólares. En el caso de las medianas empresas, esta cifra fue aproximadamente de 21.800 euros.

Con respecto al pago de un rescate de ransomware, el monto promedio que se pagó a los atacantes fue de 10.800 euros.

Más allá de los costos financieros, siempre mencionamos el daño a la reputación que provoca un ataque. En este sentido, el 23% de las empresas víctimas de un ataque señaló que sufrieron el impacto a la reputación por el incidente de seguridad.

El informe destaca que una de las principales virtudes que han tenido las empresas más expertas a la hora de gestionar su resiliencia es mejorar las probabilidades de recuperar sus datos en caso de sufrir un incidente. Todo esto se logra con más inversión, un factor clave a la hora de analizar la capacidad de resiliencia de una empresa.  Para tener una idea de cuál es el presupuesto que están invirtiendo en ciberseguridad las empresas de Europa y Estados Unidos, las que están mejor preparadas invierten en promedio el 24% del presupuesto de TI en ciberseguridad, mientras que las más nuevas y con menos recursos la cifra llega al 17%.

Para los próximos 12 meses, el 63% de las organizaciones planea aumentar su gasto en ciberseguridad y los principales focos de atención son las tecnologías, las auditorías, la prevención y la formación.

El experimentado Security Evangelist de ESET, Tony Anscombe, compartió una sugerencia de lo que debería estar en su lista de prioridades a la hora de verificar los procesos y operaciones de su organización con el objetivo de mejorar la resiliencia cibernética.

Fuente noticia: https://www.blog.segu-info.com.ar/
Fuente foto: freepik.es

Programas de capacitación en ciberseguridad: por qué son tan importantes y qué funciona mejor

Es importante proporcionar a los empleados el conocimiento necesario que les permita detectar a tiempo las señales de un posible ciberataque y que puedan comprender cuándo se ponen en riesgo datos confidenciales.

Como siempre se dice en ciberseguridad, el factor humano es el eslabón más débil de la cadena y es el principal responsable de que un ataque se lleve a cabo de forma efectiva. Es por eso que los cibercriminales, que saben esto, constantemente intentan aprovechar la incredulidad o los descuidos de los empleados cuando lanzan sus campañas maliciosas. Pero también podemos ver esta realidad como una oportunidad, ya que con el conocimiento y la capacitación necesaria puede convertir a esos empleados en la primera línea de defensa de una empresa. La clave está en implementar un programa efectivo de capacitación para incrementar la concientización sobre los riesgos de seguridad a los que están expuestas las personas, como empleados y como usuarios.

De hecho, datos recientes revelan que el 82% de las filtraciones de datos analizadas en 2021 involucraron un “elemento humano”. Estas cifras demuestran que en la actualidad los empleados representan uno de los principales objetivos para los cibercriminales a la hora de llevar adelante sus ataques. Por eso, es es fundamental en la estrategia que lleve adelante una organización en su esfuerzo por mitigar los riesgos poder brindarles los conocimientos necesarios para que sean cada vez más capaces de detectar las señales que advierten de un posible ataque y que puedan comprender cuándo pueden estar poniendo en riesgo datos confidenciales.

¿Qué es la formación en concientización en ciberseguridad?

La capacitación en temas de concientización tiene como objetivo cambiar los comportamientos a través de una mejor educación para permitir a las personas aprender a identificar dónde radican los principales riesgos de seguridad y cuáles son las prácticas recomendadas para mitigarlos. Es un proceso formalizado que idealmente debería cubrir una variedad de áreas temáticas y técnicas para capacitar a los empleados para que tomen las decisiones correctas. El mismo es fundamental para aquellas organizaciones que intentan crear una cultura corporativa de seguridad por diseño.

¿Por qué es necesaria la formación en concientización sobre seguridad?

Como cualquier tipo de programa de capacitación, la idea es mejorar las habilidades de la persona. En este caso, mejorar el conocimiento que tiene sobre la seguridad informática no solo posiciona mejor al individuo a la hora de desempeñar su rol, sino que también reducirá el riesgo de una potencial brecha de seguridad con todas las consecuencias que conlleva.

La verdad es que los usuarios corporativos representan el corazón palpitante de cualquier organización. Si pueden ser atacados, también lo puede ser la organización. De manera similar, el acceso que tienen a datos sensibles y sistemas de TI aumenta el riesgo de que ocurran accidentes que también podrían afectar negativamente a la empresa.

Varias tendencias resaltan la urgente necesidad de que las organizaciones pongan en marcha programas de capacitación para generar mayor concientización en aspectos claves de la seguridad, como son:

Contraseñas: las credenciales estáticas existen desde que existen los sistemas informáticos. Y a pesar de las súplicas de los expertos en seguridad a lo largo de los años, siguen siendo el método más popular que utilizan los usuarios a la hora llevar adelante procesos de autenticación. La razón es simple: las personas saben instintivamente cómo usarlas. El desafío está en que las contraseñas también son un blanco de ataque de los actores maliciosos. Si un atacante logra engañar a un empleado para que comparta sus credenciales o incluso si logra adivinarlas, probablemente no hay nada más que se interponga en su camino para lograr tener acceso total a la red.

Según una estimación, más de la mitad de los empleados en países como Estados Unidos han apuntado sus contraseñas en un papel. Las malas prácticas a la hora de gestionar contraseñas abre la puerta a los actores maliciosos. Y a medida que aumenta la cantidad de credenciales de acceso que los empleados necesitan recordar, también aumenta la probabilidad de que ocurra un uso indebido de esas credenciales.

Ingeniería social: Los humanos somos seres sociables. Eso nos hace susceptibles a la persuasión. Queremos creer las historias que nos cuentan y en la persona que las cuenta. Esta es la razón por la que funciona la ingeniería social: el uso por parte de los actores maliciosos de técnicas persuasivas como la presión y la suplantación de identidad para engañar a la víctima y convencerla de que cumpla sus órdenes. El mejor ejemplo de ingeniería social puede ser un correo electrónico de phishing, un mensaje de texto (también conocido como smishing) o una llamada telefónica (también conocido como vishing), pero también se usa en ataques del tipo BEC y en otras modalidades de estafa.

La economía del cibercrimen: en la actualidad los cibercriminales cuentan con una red compleja y sofisticada conformada por sitios en la dark web. A través de estos sitios los actores maliciosos compran y venden datos y servicios que van desde alojamientos blindados, ransomware as a service, etc. Se estima que se mueven miles de millones en estos mercados. Esta “profesionalización” de la industria del cibercrimen naturalmente ha llevado a los actores de amenazas a concentrar sus esfuerzos donde el retorno de la inversión es más alto. En muchos casos, eso significa dirigirse a los propios usuarios: empleados corporativos y consumidores.

Trabajo híbrido: se cree que quienes trabajan desde su casa tienen más probabilidades de hacer clic en enlaces de phishing y tener un comportamientos más riesgoso, como usar dispositivos de trabajo para uso personal. Teniendo esto en cuenta, el surgimiento de una nueva era de trabajo híbrido abrió las puertas para que los atacantes se dirijan a los usuarios corporativos cuando se encuentran en su punto más vulnerable. Eso sin mencionar el hecho de que las redes domésticas y las computadoras pueden estar menos protegidas que sus equivalentes en la oficina.

¿Por qué importa la formación?

En última instancia, una brecha de seguridad grave, ya sea como resultado de un ataque de terceros o de la divulgación de datos de forma accidental, podría provocar un daño financiero y a la reputación importante. Un estudio reciente reveló que el 20% de las empresas que sufrieron una brecha de seguridad este tipo estuvieron a punto de quebrar como consecuencia de este incidente. Una investigación independiente afirma que el costo promedio de una filtración de datos a nivel mundial ahora es más alta que nunca: más de US$ 4,2 millones.

No es solo un cálculo de los costos que significa un incidente para los empleadores. Muchas regulaciones como HIPAA, PCI DSS y Sarbanes-Oxley (SOX) exigen que las organizaciones que las cumplen lleven a cabo programas de capacitación de concientización sobre la seguridad de los empleados.

Cómo hacer que la capacitación en ciberseguridad funcione

Hemos explicado el “por qué”, pero ¿qué pasa con el “cómo”? Los CISO deben comenzar consultando con los equipos de recursos humanos, que normalmente son quienes lideran los programas de capacitación de una compañía. Es posible que puedan brindar asesoramiento ad hoc o un apoyo más coordinado.

Entre las áreas a cubrir como parte de un programa de capacitación se podrían incluir:

  • Ingeniería social y phishing/vishing/smishing
  • Divulgación accidental por correo electrónico
  • Protección web (búsqueda segura y uso de Wi-Fi público)
  • Mejores prácticas de contraseña y autenticación multifactor
  • Trabajo seguro a distancia y desde casa
  • Cómo detectar amenazas internas

Sobre todo, tenga en cuenta que la formación deben ser:

  • Divertida y a través de dinámicas (piense en reforzar de forma positiva en lugar de mensajes basados en el miedo)
  • Basada en ejercicios que simulen situaciones de la vida cotidiana
  • Continua durante todo el año, con lecciones cortas (10-15 minutos)
  • Incluyendo a todos los miembros de la organización, incluidos ejecutivos, trabajadores a tiempo parcial y servicios contratados
  • Capaz de generar resultados que se pueden utilizar para ajustar los programas para satisfacer las necesidades individuales
  • Diseñada para adaptarse a diferentes roles

Una vez que se decide todo esto, es importante encontrar el proveedor adecuado para implementar estos programas de capacitación. La buena noticia es que existen muchas opciones en línea y a diferentes precios, además de herramientas gratuitas. Dado el panorama de amenazas actual, la inacción no es una opción.

Fuente noticia: https://www.welivesecurity.com/
Fuente foto: freepik.es

CEC Jornada presencial sobre CIBERSEGURIDAD | 20 de junio

La Asociación de Traballadores por Conta Propia de Galicia (ATA Galicia) y la   Confederación de Empresarios de La Coruña (CEC) y con la participación del Departamento de Seguridad Ciudadana de la Policía organizamos una Jornada sobre CIBERSEGURIDAD para el próximo 20 de junio, lunes, en la sede social de la CEC (Plaza de Luis Seoane, torre 1, entreplanta) A Coruña, 15008.

Ambas entidades están desarrollando desde hace años diversas acciones de información y difusión sobre los riesgos en materia de seguridad informática y telemática. Conscientes de que, con la expansión del trabajo en remoto, cada vez son más las amenazas a las que nuestras  empresas están expuestas, la jornada nos facilitará las claves para evitar las amenazas a las que se enfrentan nuestras empresas.

 DESARROLLO DE LA JORNADA

19:00 Inauguración

Antonio Fontenla

Presidente de la Confederación de Empresarios de La Coruña (CEC)

19:10

Alberto Arias

Delegado de Participación Ciudadana

19:30 Coloquio

19:45 Clausura

Rafael Granados

Presidente de la Asociación de Trabajadores Autónomos de Galicia ATA-Galicia

¿Cuáles son los tres tipos de malware más peligrosos para Android?

Los tipos de malware más peligrosos para Android son el ransomware, los troyanos bancarios, y los RAT, aunque no son los únicos.

Nuestros teléfonos móviles almacenan casi todos los aspectos de nuestras vidas, desde recuerdos capturados como fotos hasta notas y horarios personales, detalles de inicio de sesión y varios otros tipos de datos confidenciales.

Los dispositivos con Android controlan más del 70 por ciento del mercado de sistemas operativos móviles. Si consideramos también la naturaleza abierta del ecosistema Android resulta más fácil comprender por qué estos dispositivos son los más afectados por los ataques dirigidos a dispositivos móviles y por qué siguen siendo un objetivo redituable para los atacantes.

Google, por supuesto, ha introducido una serie de funciones para mejorar la privacidad y la seguridad de los dispositivos Android. Hace solo unos días, la compañía anunció que el año pasado evitó que 1,2 millones de aplicaciones que violaban sus políticas llegaran a Google Play, y que realizó otras acciones con el objetivo de interrumpir las aplicaciones maliciosas.

Sin embargo, esto no quiere decir que deba bajar la guardia, y mucho menos en las tiendas de aplicaciones de terceros, donde el riesgo de descargar aplicaciones maliciosas es mayor.

El malware viene en varias formas y funciona de varias maneras. Algunos de los tipos de malware más comunes dirigidos a dispositivos Android son:

Ransomware para Android

El ransomware para dispositivos móviles es un tipo de código malicioso que bloquea el dispositivo y en muchos casos también cifra los archivos en el dispositivo. Los atacantes demandan a la víctima que page para poder recuperar el dispositivo y los archivos. En los últimos años hemos analizado algunos de estos ransomware para Android, como el que se ocultaba detrás de una falsa app de rastreo de contactos de COVID-19 dirigida a usuarios de Canadá, o una campaña que distribuía un ransomware que se propagaba utilizando la lista de contactos de sus víctimas, a las cuales enviaba un SMS con enlaces maliciosos.

Troyanos bancarios

Este tipo de malware está enfocado en el robo de credenciales de plataformas bancarias online y muchas veces incluso son capaces de evadir los sistemas de autenticación en dos pasos. Una vez que instalamos la aplicación y aceptamos, el malware realiza una serie de acciones en el dispositivo y se activa su funcionalidad que le permite robar las credenciales bancarias y también la frase semilla o clave de recuperación de billeteras de criptomonedas. Toda esta información es enviada al servidor del atacante.

Uno que ha generado gran impacto en el último tiempo es FluBot, que afectó principalmente a España y otros países de Europa.

RAT (troyanos de acceso remoto)

Los troyanos móviles más peligrosos son los RAT, o troyanos de acceso remoto, cuyo objetivo es espiar en el dispositivo de la víctima siguiendo los comandos enviados por el atacante de manera remota. Este tipo de malware es capaz de realizar muchas acciones en el equipo infectado, como registrar las pulsaciones del teclado o keylogging para buscar credenciales y otros datos sensibles, interceptar comunicaciones en cualquier app de redes sociales, grabar llamadas, tomar fotografías, y además, robar credenciales de aplicaciones bancarias.

Si te preocupa que tu propio teléfono haya sido comprometido por alguno de estos códigos maliciosos o por algún otro tipo de malware, nuestro artículo sobre las señales más comunes de que tu teléfono ha sido infectado con malware lo podrá orientar mejor.

Fuente noticia: https://www.welivesecurity.com/
Fuente foto: freepik.es