MaksymFilipchuk - stock.adobe.co

Pentesting, un asistente para evitar pesadillas navideñas

Comprobar la seguridad de sus sistemas con pruebas de penetración puede ayudarle a prevenir ataques exitosos en épocas de alta demanda, como Navidad y Fin de Año, dice Strike, que también hace un recuento de la situación del cibercrimen en 2022.

La misión de entregar regalos a lo largo y ancho de toda la región de Latinoamérica no será fácil en 2022 para Santa Claus. Este año, además de los altos volúmenes de ventas en línea para los comercios electrónicos, los duendes se enfrentarán a un adversario muy peculiar: el cibercrimen.

Eso se debe a que, durante esta época, el número de compradores en canales digitales se incrementa, lo que hace del retail  un objetivo mucho más atractivo que otras verticales para los ciberdelincuentes.

De acuerdo con la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), las principales prácticas maliciosas que afectan al comercio electrónico y a los minoristas en línea son la suplantación de identidad para el robo de datos bancarios; el smishing, una práctica que implica el envío de SMS para atraer a sitios apócrifos; y el phishing, que consiste en el envío de correos electrónicos falsos infectados.

Una forma efectiva de prevenir al cibercrimen en esta época navideña y ayudar a Santa en el proceso de adquisición y entrega de regalos es el pentesting, dicen los especialistas de la plataforma de ciberseguridad Strike.

Esta práctica consiste en permitir que un hacker ético entre al sistema de una compañía, tal y como lo haría un ente malicioso, pero con la finalidad de encontrar las principales vulnerabilidades internas, reportarlas al equipo de TI de la compañía, y ayudar a solucionarlas antes de que un criminal las encuentre y aproveche.

Estos hackers éticos utilizan sus habilidades de hacking y conocimientos técnicos de distintas industrias como cripto, comercio electrónico, healthtech y fintech. Durante el proceso, están en constante comunicación con la empresa mediante un chat y un dashboard, en el que se carga la información de forma transparente y a detalle. De ese modo, todas las partes pueden dar seguimiento puntual de las vulnerabilidades a la empresa.

Como resultado, realizan un reporte de incidencias y vulnerabilidades que se va actualizando continuamente con todos los hallazgos, los cuales son categorizados por criticidad para que la empresa que contrató el pentest pueda arreglarlas.

“Diciembre, y en general el fin de año, es una época muy atractiva para los ciberdelincuentes del comercio en línea. En toda la región, el número de compradores se incrementa de forma notable, sobre todo luego de la pandemia, cuando millones de personas decidieron dejar las experiencias de compra físicas para adoptar las modalidades digitales. Proteger y anticiparse a los delincuentes que estarán acechando a los consumidores navideños es necesario para todos los comercios si quieren evitar pagar el alto costo que implica el ataque”, comenta Santiago Rosenblatt, CEO y fundador de Strike.

El cibercrimen tuvo un alto costo en 2022

Este año, según diferentes reportes, se vio marcado por una alta incidencia de eventos de ciberseguridad, principalmente de ransomware, que atacó a un alto número de compañías a nivel global. Un estudio de Veeam indica que 76 % de las organizaciones latinoamericanas experimentaron al menos un ataque durante el año; de esa cifra, el 24% no pudieron recuperar los datos cifrados ni siquiera mediante el pago de un rescate.

En términos de dinero, según el Informe Anual de Amenazas de Unit 42, los costos de rescate de la información comprometida se incrementan 144 % al año, y el cibercrimen de forma global le costó a las empresas hasta USD $4.35 millones anuales, de acuerdo con datos del reporte “Cost of a Data Breach 2021” de IBM.

Strike señala que el ransomware, o secuestro de datos, fue el principal problema de ciberseguridad para las compañías en 2022. Este tipo de amenaza se vio potenciada por el surgimiento de nuevos métodos como la doble extorsión, que consiste en expandir el ataque más allá del cifrado de datos y pasar a la filtración de información sensible, como forma de exigir un rescate.

También destacan los modelos de afiliados, en los que los hackers, tras obtener acceso al sistema de una compañía, optan por no robar los datos directamente sino que ofrecen esos accesos a otros grupos para que estos obtengan los dato que deseen. Es el llamado “ransomware on demand”, para lo que se utilizó crypters como HCrypt y Snip3, con los que los criminales entregaban troyanos de acceso remoto, así como el software Qbot, explica Strike.

“Este año también se vio marcado por los ataques simultáneos”, dice Rosenblatt, quien señala que durante 2022 se presentaron casos como el de los grupos cibercriminales Hive, LockBit y BlackCat atacanado a un mismo sistema de forma simultánea. Además, nacieron grupos nuevos como BlackByte, Grief, Hive, Yanluowang, Vice Society y CryptoLocker/Phoenix Locker, que mostraron similitudes con otros grupos lo que podría señalar que se trate de los mismos adversarios operando bajo nuevos nombres.

“La ciberdelincuencia no deja de evolucionar y es un problema latente que las empresas deben atender de forma periódica. La ciberseguridad no es algo de una única vez: no tiene un final. Por el contrario, debe realizarse continuamente, ya que no se sabe en qué momento las organizaciones pueden, sin darse cuenta, abrir la puerta a entes maliciosos que podrían causar mucho daño”, concluye el CEO y fundador de Strike.

Investigue más sobre Gestión de la seguridad