Production Perig - stock.adobe.c

Lo que nos depara el 2021 en ciberseguridad empresarial

La seguridad informática será un tema fundamental durante 2021. En este artículo, varios expertos chilenos ofrecen su perspectiva sobre las tendencias que observar y consejos para mejorar la ciberseguridad empresarial.

El 2021 se vislumbra con mucha actividad en el sector de la ciberseguridad. Aparecerán nuevas técnicas de ataque y se consolidarán tendencias vistas en años anteriores. Conversamos con un grupo de expertos de la industria para conocer sus proyecciones en las principales áreas de la seguridad informática, quienes además nos entregaron consejos para un nuevo año con empresas y trabajadores más protegidos.

Teletrabajo

Los expertos señalan que la principal tendencia para el 2021 será el aumento de los ataques cibernéticos contra las empresas, siendo los propios colaboradores el vector de ataque más utilizado.

Claudio Ordoñez, Accenture Chile.

«Ya en 2020 vimos cómo, en el inicio de la pandemia, aumentaron en 600 % los ataques de phishing. Los ciberatacantes se aprovechan de la susceptibilidad de los nuevos trabajadores remotos ofreciendo señuelos y trampas que imitan fuentes creíbles. Los Centros de Operaciones de Seguridad (SOC) deben aprovechar más las diversas fuentes de inteligencia de las amenazas (Threat Intelligence), tácticas, operativas y estratégicas para identificar las tendencias y tecnologías que amenazan la continuidad del negocio. En estos tiempos difíciles, los líderes de seguridad tienen la oportunidad de replantear su estrategia y las tecnologías desde cero», sostiene Claudio Ordóñez, líder de ciberseguridad de Accenture Chile.

«No existe una solución rápida para los problemas que presenta la pandemia», dice el ejecutivo. Él señala que, incluso a medida que la sociedad y las empresas gestionen los aspectos humanitarios y de salud, «las organizaciones deben lidiar con las consecuencias económicas y operativas que están creando desafíos financieros y presupuestarios para las operaciones de seguridad informática de las empresas a mediano y largo plazo. La pandemia ha abierto la puerta a amenazas oportunistas, creando oportunidades para la ingeniería social como, por ejemplo, nuevas campañas de phishing».

En la misma línea, Dmitry Bestuzhev, director del equipo de investigación y análisis para América Latina en Kaspersky, señala que, para este 2021, los actores de amenazas aprovecharán la tendencia del teletrabajo para centrar sus ataques en obtener información privada. Por ejemplo, robar datos personales de pacientes (personally identifiable information o PII) y, junto con ello, comprometer objetivos de empresas y otras entidades.

Dmitry Bestuzhev, Kaspersky.

«Asimismo, los ataques basados en la web, phishing relacionados con engaños sobre la pandemia y avances de la vacuna serán más frecuentes y dañinos. Más riesgoso se vuelve este escenario si los colaboradores no pueden reconocer estas amenazas pues, según nuestros estudios, el 38 % de los latinoamericanos no saben distinguir un e-mail verdadero de uno falso. También vemos un aumento en los ataques de dispositivos en red, en particular, a las puertas de acceso remoto utilizadas por las personas en teletrabajo, y un incremento en el robo de credenciales para acceder a las redes privadas virtuales (VPN)», dice Bestuzhev.

Dispositivos móviles

De acuerdo con el Informe de Amenazas de ESET que se publica cada trimestre, Android es afectado principalmente por troyanos SMS (malware que suscribe a los usuarios a servicios de mensajería SMS Premium), adware (programas inofensivos, pero que muestran publicidad), stalker ware (software utilizado para el espionaje casi de forma legal), clickers (software utilizado para acceder a los recursos de internet, por lo general a páginas web), banking malware (software malicioso que busca obtener datos bancarios), criptomineros (programas maliciosos para minar criptomonedas), ransomware (malware para el secuestro de información) y spyware (software malicioso espía).

Miguel Ángel Mendoza, ESET.

A juicio de Miguel Ángel Mendoza, investigador de seguridad informática de ESET Latinoamérica, las amenazas que apuntan a los dispositivos móviles son diversas, de forma muy parecida a lo que ocurre con los computadores tradicionales. Indica que, en promedio, cada mes los laboratorios de ESET a nivel mundial identifican 300 nuevas muestras de malware diseñado para Android.

«En los últimos meses, han proliferado las detecciones de malware bancario que apunta a dispositivos Android, lo que muestra el interés de cibercriminales por obtener información bancaria y financiera de los usuarios que acceden a estos recursos de internet desde sus dispositivos móviles. Si bien la proporción de malware que se genera para Mac y iOS es menor comparada con Android, esto no significa que no haya malware para las plataformas de Apple. Por esta razón, también deberían ser protegidas», explica el especialista.

Nube

Las empresas se han visto atraídas por la eficiencia, la elasticidad y la innovación de la nube, y la pandemia solo ha acelerado su adopción. En una encuesta que realizó Accenture entre 200 ejecutivos senior de TI a nivel mundial, solo el 35 % de las organizaciones dijo que ha alcanzado plenamente los resultados esperados de la nube, y el 65 % identificó el «riesgo de seguridad y cumplimiento» como la barrera más frecuente.

«Combinadas con la complejidad de los entornos híbridos y multi-cloud, y la escasez de conocimientos de seguridad en estos nuevos ambientes, estas preocupaciones pueden ser obstáculos importantes para el primer viaje a la nube. En este contexto, los líderes de ciberseguridad tienen un rol clave que cumplir. Las brechas de seguridad de alto perfil han planteado cuestiones en torno al papel de la seguridad en cualquier viaje a la nube, y el 2021 estará marcado por la necesidad de las empresas de avanzar en la seguridad de sus migraciones a la nube», advierte Ordóñez de Accenture Chile.

David Alfaro, Arkavia Networks.

David Alfaro, gerente general de Arkavia Networks, destaca que el teletrabajo ha ampliado, una vez más, el ya difuso perímetro de la red. «De igual forma, muchas organizaciones implementaron soluciones en las nubes para facilitar accesos, disponibilidad, capacidad, etc. Las empresas deben considerar que las nubes por sí solas no son seguras. Téngase en cuenta que más de 40 % de los portales web vulnerados ocurren en nubes públicas. Para ello, es indispensable extender la vigilancia a estaciones de trabajo en domicilios y aplicaciones en nubes, esto para prevenir, detectar y contrarrestar la ocurrencia de incidentes de ciberseguridad. La convivencia domiciliaria de estaciones de trabajo y computadores de estudiantes, consolas de juego y otros, eleva el riesgo de intromisiones. Las redes domésticas deben ser segmentadas y protegidas», enfatiza.

Redes empresariales

El 2021 será un año desafiante desde el punto de vista de la diversidad y complejidad de los ataques, pues por la emergencia sanitaria la tendencia de realizar la mayoría de nuestras actividades en línea se mantendrá por muchos meses, lo que significa tierra fértil para que los ciberdelincuentes continúen sus campañas de fraude, robo y extorsión. Los ataques con mayor potencial de ganancias, aquellos que apuntan a empresas y entidades públicas, ahora serán más coordinados y, por ende, más dañinos.

Bestuzhev, de Kaspersky, explica que, este año: «Nuestro equipo de investigación y análisis pronosticó la aparición de ransomware dirigido desarrollado en la región. Las familias del ransomware dirigido, utilizado en ataques realizados en Latinoamérica, provienen de otras zonas del mundo. Hemos visto que, por lo general, los cibercriminales latinoamericanos copian las técnicas de sus contrapartes de Europa Oriental. Sin embargo, es razonable anticipar el desarrollo local de este tipo de amenaza que maneje esquemas parecidos a los grupos infames como Egregor, Ragnar Locker, Netwalker, Sodinokibi y otros. Prevemos que, durante el 2021, habrá un aumento y diversificación de ataques dirigidos a sistemas financieros por grupos cibercriminales locales. Lo que más nos preocupa es que en el mercado habrá más ofertas de contratistas para diseñar y lanzar ataques. Es decir, una especie de tercerización de servicios cibercriminales al estilo ‹hacker for hire› para atacar los bancos y otras instituciones financieras».

El experto agrega que se presentará un alza en los ataques coordinados a negocios y entidades públicas con el fin de exfiltrar información y su posterior publicación en las redes sociales. «En la región se ha creado un marco de circunstancias que ha permitido que estos ataques existan. No obstante, su alcance será todavía mayor. La información exfiltrada no necesariamente se publicará de inmediato, sino que se guardará hasta su momento oportuno según las agitaciones sociales en cada país dado. También será comercializada para el mejor postor con diferentes fines», sostiene.

Fraudes electrónicos

Más que en otros años, para este se espera que el objetivo de los ataques sean directamente las personas y, a través de ellas, escalar dentro de una organización y obtener un mayor botín.

«Considerados algunos de los eslabones más débiles, las personas y sus aplicaciones de identidad digital, como redes sociales, bancos, AFPs, portales de compra y otras en las que las empresas no tienen control, pueden ser un punto de entrada de delincuentes que buscan apoderarse de datos, bienes transables o dinero directamente. El phishing y sus variantes seguirán al alza, tratando de lograr sus objetivos de engaño y con ello obtener alguna recompensa. Se debe reforzar la capacidad de identificación de mensajes fraudulentos en las personas, capacitar, entrenar y evaluar periódicamente», detalla Alfaro, de Arkavia Networks.

Pablo Dubois, Lumen.

Para Pablo Dubois, gerente de Productos de seguridad de Lumen para América Latina, el correo electrónico sigue y seguirá siendo uno de los principales puntos de entrada para los cibercriminales, para generar estafas, fraudes y hasta extorsiones. «Las soluciones tecnológicas pueden ayudar a mitigar estos riesgos, pero gran parte de la responsabilidad seguirá siendo del usuario. Muchas veces, las empresas ponen su foco exclusivamente en nuevas tecnologías de seguridad, pero minimizan el gran impacto de tener usuarios no capacitados en temas de ciberseguridad, por lo que tener planes de capacitación en ciberseguridad, y pruebas de phishing controladas y regulares a los empleados pasa a ser una actividad tanto o más crítica que tener una solución de antimalware y phishing para la red. Y no debemos tampoco olvidarnos de que lo más importante de todo esto es tener un Plan de Riesgo de Ciberseguridad implementado y testeado, que será el único medio que ayudará realmente a una empresa a salir de un evento de estas características», recalca.

Inversiones en ciberseguridad

Mientras que, en líneas generales, se están esperando reducciones de ganancias para el 2021 debido a todo el contexto de pandemia global, más de la mitad de las empresas (55 %) espera aumentar su presupuesto en ciberseguridad, según un estudio realizado por PWC. Siguiendo esta línea de crecimiento, IDC espera que, para el 2024, el gasto en ciberseguridad llegue a los 174,7 mil millones de dólares con un 8,1 % CAGR en el período de 2021 a 2024.

«Este nuevo contexto de aislación social ha replanteado a las empresas una aceleración en sus modelos de digitalización, por lo que esto trae asociado nuevos y mayores desafíos en lo que a ciberseguridad respecta», complementa Dubois de Lumen.

En tanto, a juicio de Ordóñez, de Accenture Chile, las inversiones en ciberseguridad están creciendo y lo seguirán haciendo, sobre todo al considerar el aumento de ataques cibernéticos que se ha producido en el contexto de la pandemia. En ese sentido, de acuerdo con un estudio reciente de Accenture, el 82 % de las empresas a nivel mundial están invirtiendo más del 20 % de sus presupuestos de TI en tecnologías avanzadas para reforzar la seguridad de sus organizaciones, un importante aumento al considerar que en los últimos tres años ese resultado alcanzaba un 41 %.

«Sin embargo, a pesar de que las empresas están invirtiendo en ciberseguridad, su estrategia aún no es la adecuada y solo un 5 % de las empresas globalmente sabe sacar partido a sus inversiones, mientras el 29 % del presupuesto se destina a mantener medidas básicas. Es importante hacer un cambio cultural al interior de las compañías para que la ciberseguridad sea un tema prioritario desde el directorio hacia el resto de las áreas de las organizaciones», concluye.

Consejos de protección para empleados y directivos de las empresas

Miguel Ángel Mendoza, investigador de seguridad informática de ESET Latinoamérica, ofrece algunas recomendaciones para mejorar la protección de empresas y empleados.

  1. La ciberseguridad es un proceso de mejora permanente, no un estado finito, debido a dinamismo de los riesgos. Las amenazas informáticas crecen en cantidad, complejidad y diversidad, por lo que los riesgos tienen cada vez mayor impacto y son más frecuentes, y esto deriva en incidentes con implicaciones tanto para las instituciones como para los usuarios.
  2. Los controles de seguridad deben ser clasificados técnicos, físicos y administrativos, y aplicarse considerando los posibles escenarios de riesgos que puedan afectar la información, la infraestructura y los procesos, incluso los más graves como la interrupción de las operaciones.
  3. Los controles administrativos deben incluir las políticas que, además de establecer los objetivos que la organización pretende lograr en torno al personal, también definen el comportamiento deseable de los miembros de las organizaciones, con las respectivas sanciones en caso de incumplimiento.
  4. Los controles se deben aplicar durante distintas fases, desde el momento previo a la contratación, durante el tiempo en el que el trabajador forma parte de la empresa, e incluso cuando termina la relación laboral. Los controles de confianza suelen ser un mecanismo de mucha utilidad cuando se requieren perfiles específicos para puestos clave en los procesos críticos de negocio.
  5. Se debe aplicar controles técnicos que permitan identificar anomalías como otra práctica necesaria para guardar evidencias y rastrear actividades fraudulentas. Esto complementa las medidas de seguridad física para ofrecer las medidas de seguridad deseables. Mientras más importantes sean los activos para proteger, seguramente serán necesarios más recursos (personal, financieros, incluso de tiempo).
  6. La concientización y educación en temas de ciberseguridad resulta fundamental para evitar o minimizar los riesgos. Las iniciativas orientadas a informar y capacitar al personal de las organizaciones es una tarea necesaria en la actualidad para utilizar la tecnología de una forma cada vez más consciente, responsable y, por supuesto, segura.

Investigue más sobre Gestión de la seguridad