Cuatro principales formas en que ocurren las brechas de ciberseguridad hoy en día

Los ciber-delincuentes están constantemente descubriendo nuevas formas de robar sus datos y dinero. Nuestra serie de ciberseguridad en tres artículos ha explorado las diferentes maneras en que las ciberamenazas han evolucionado en la era de COVID-19. En este artículo se describen algunas de las formas más recientes en que un actor malicioso puede acceder a su hogar, redes y datos privados.

Mientras que aprovechar los temores pandémicos de las personas parece ser oportunista, es una prueba más de que los ciberataques están evolucionando más allá de la simple estafa de phishing. En los últimos años, los actores de amenazas han desarrollado formas más sofisticadas de robar información. Desde mensajes de texto falsos y amenazas a instituciones gubernamentales a un incremento de las amenazas internas por medio de la filtración de dispositivos IoT, ahora hay numerosas maneras para que un atacante robe información altamente personal de sus objetivos.

Con tanta gente trabajando desde casa, los actores de amenazas se han adaptado. Irrumpir en dispositivos IoT (termostato, heladeras, cámaras, televisores) de una persona para entrar en su red no habría sido foco de ataque hace un año. En la actualidad, si la información confidencial de la empresa está en una red doméstica, vulnerar un dispositivo IoT podría proporcionar a un atacante una mina de oro de datos listos para ser vendidos en el mercado negro.

Entender cómo los atacantes están robando su información es el primer paso para que las organizaciones y sus empleados puedan protegerse. Especialmente a medida que el trabajo desde casa se convierte en un estado más permanente para algunas personas, y los ciberdelincuentes continúan innovando. Estas son cuatro de las principales maneras en que se producen las brechas hoy en día.

1. El phishing sigue siendo el número uno

Las estafas de phishing, donde un atacante envía un correo electrónico a un objetivo para conseguir que utilicen datos privados al iniciar sesión en un sitio web o instalar malware en su computadora, siguen siendo la amenaza más frecuente. Según CSO.com, el 94% de los malware se entrega a través de correo electrónico, mientras que el 80% de los incidentes de seguridad reportados, provienen de un ataque de phishing. Con los años, se ha vuelto más difícil identificar estas amenazas. Los correos electrónicos falsos que antes eran fáciles de distinguir ahora parecen ser enviados directamente del banco o la empresa de una persona. En muchos casos, los atacantes utilizan datos personales que han robado o encontrado en línea (información de salud, familia o lugar de trabajo) para crear correos electrónicos adaptados a las circunstancias de cada persona. Todo esto hace que sea más difícil distinguir lo que es real y lo que no. El phishing puede ser la amenaza más familiar, pero está siendo cada vez más difícil detenerla.

2. Amenazas internas desde casa

Los empleados suelen ser una vulnerabilidad para una organización cuando se trata de seguridad de datos. Pueden revelar inadvertidamente información confidencial de la empresa a amigos, conocidos, competidores y otros sin siquiera darse cuenta. La amenaza interna más reciente, sin embargo, son los dispositivos personales segurizados, utilizados para uso corporativo. Mientras se trabaja de forma remota, los empleados de una organización utilizan regularmente computadoras personales para acceder a información confidencial. Si esta información fuese expuesta, podría poner en riesgo un negocio. También se están infiltrando en llamadas virtuales, incluso llegando a irrumpir físicamente en los hogares. Las personas también están tirando papeles sin destruirlos, lo que lleva a la búsqueda en contenedores de basura, otra táctica de robo de información. La mayoría de los empleados no son plenamente conscientes de este riesgo ni de las políticas o sistemas corporativos diseñados para protegerlos.

3. Continúan las estafas telefónicas

A menudo dirigido a personas de la tercera edad, cualquier persona puede ser engañada por estafadores que se hacen pasar por trabajadores de un banco, servicio de salud u otro profesional, para entregar información confidencial de la empresa. También otra de las técnicas que se ha visto en alza en este último tiempo ha sido la que se conoce como vishing. Un tipo de estafa en la cual el atacante se comunica con la víctima, por teléfono o mensaje de voz, haciéndose pasar usualmente por una empresa, con el objetivo de convencer al usuario de que le brinde sus datos personales o credenciales de acceso a una cuenta corporativa. Las organizaciones deben educar a su personal para identificar estas estafas y actuar en consecuencia.

4. Aumentan brechas en IoT

Nuestros hogares están cada vez más conectados a través de dispositivos IoT, como termostatos inteligentes, cámaras de video de puerta principal, asistentes activados por voz, persianas conectadas a Internet y más. Si bien estas tecnologías pueden hacer nuestras vidas más fáciles, muchas también son vulnerables a los ataques. Según El laboratorio de inteligencia de amenazas de Nokia , casi el 33% de todas las infecciones de la red móvil y wi-fi provienen de brechas a través de dispositivos IoT. La mayoría de estos dispositivos no tienen la seguridad adecuada, por lo que los atacantes han encontrado maneras de irrumpir en estos aparatos para luego infiltrarse en una red doméstica. Los actores de amenazas también pueden usar los datos de estos dispositivos para obtener información acerca de sus víctimas. Por ejemplo, una refrigeración por termostato todos los días al mismo tiempo podría ser una indicación que una persona no está en casa. También es posible entrar en una cámara de seguridad y ver quién está llegando a una puerta principal o está dentro de una casa.

Protegiendo a su organización de las crecientes amenazas

Proteger a su organización, empleados, clientes y muchas otras personas potencialmente afectadas por las brechas de seguridad de su negocio requiere. Pero hay que hacerlo, o corres el riesgo de sufrir daños reputacionales, financieros y legales. Comience por identificar qué tipo de datos debe proteger su empresa. Podría ser información financiera, de clientes, de recursos humanos o de todo lo anterior. Un buen punto de partida es pensar en la información que no querría que cayera en las manos equivocadas.

A continuación, mire qué regulaciones de privacidad de datos debe cumplir su empresa: podría haber muchas. Los proyectos de ley que están en vías de promulgarse en Chile como la Ley de Protección de datos personales y la ley de delitos informáticos pueden ser una revisión a los procesos y un buen punto de partida para informarse de las implicancias y obligaciones que estas tendrán para su organización. Ciertas industrias también pueden tener estándares de privacidad específicos con respecto a la ciberseguridad.

Una vez que entienda sus datos, lo que necesita proteger y las regulaciones que debe seguir, comenzará a implementar políticas y controles. Estos podrían implicar un control más estricto sobre quién obtiene acceso a qué datos. Tal vez su organización decida entregar computadoras portátiles al personal en lugar de hacer que usen sus propios dispositivos. Una evaluación de extremo a extremo de las medidas de seguridad puede ser invaluable, ayudándolo a identificar qué más puede hacer para proteger a su organización y empleados. Una hoja de ruta de ciberseguridad y un plan estratégico también pueden garantizar que sus datos estén protegidos por las leyes de privacidad adecuadas. No es cuestión de si va a ocurrir un ataque. Es cuestión de cuándo. Los ciber-delincuentes buscan constantemente nuevas formas de explotar la información. Cuanto antes establezca un plan ante una posible brecha, mejor preparada estará su organización y sus clientes.

Contactos

Nicolás Corrado
Partner Leader, Cyber and Strategic Risk

Carolina Pizarro
Director, Cyber Risk

Juan Pablo Gonzalez
Senior Manager, Risk Advisory

Agradecimientos

Adrian Cheek
Manager, Threat Intelligence & Threat Hunting, Deloitte Cyber Intelligence Centre

Hélène Deschamps Marquis
Partner and National Leader, Data Privacy and Cyber Security Law Practice

Beth Dewitt
Partner and National Leader, Data Protection and Privacy and Board Director