Un 77,6% de los ciberataques que se producen en el mundo se dirigen a empresas.
Por Revista Summa
El auge de la digitalización de procesos, transacciones online, el aumento en el uso de computadoras y dispositivos móviles en el ámbito laboral como educativo, han multiplicado significativamente la exposición de los usuarios y las empresas a los ciberataques.
En Costa Rica, se registraron más de 201 millones de intentos de ciberataques durante 2020, de un total de 41 mil millones en América Latina y el Caribe según cifras de Fortinet. Además, un 77,6% de los ciberataques que se producen en el mundo se dirigen a empresas, el 22, 4% restante a particulares.
“El 2020 marcó un panorama mundial sobre el riesgo cibernético que obliga a las organizaciones y particulares a estar preparados de una forma resiliente ante amenazas de ransomware, malware dirigido, phishing sofisticado, ataques en servicios en la nube y troyanos en plataformas bancarias y móviles. Esto no cambiará para este 2021, donde veremos ataques de denegación de servicios a compañías grandes, afectando así servicios alojados en la nube y en sistemas de IoT”, comentó Mauricio Rojas, director de ventas Knogin LATAM.
Para este 2021, el costo acumulado a nivel global de los daños causados por el cibercrimen se estima que llegará a los 6 billones de dólares, siendo mucho más redituable que el tráfico de drogas, de acuerdo con un estudio realizado por Ponemon Institute.
Además, el “Informe de riesgos globales 2020” del Foro Económico Mundial indica que las posibilidades de atrapar y procesar a un ciberdelincuente son casi nulas (0,05%), por eso este tipo de delitos cada día toma un mayor auge y sofisticación.
“El mundo digital abre una enorme cantidad de posibilidades para los ciberdelincuentes, que buscan cualquier debilidad o vulnerabilidad para introducir software malicioso en equipos ajenos, suplantar identidades, atacar servidores de empresas, robar información valiosa y realizar estafas. Los criminales cada vez son más creativos y en nuestro país, combinan diversas técnicas para lograr su cometido”, agregó Rojas.
Principales ciberataques en Costa Rica
El phishing y sus ramificaciones por medio de la Ingeniería Social, así como el Ransomware (software malicioso) se han catalogado como los tipos de ataques más nocivos para las organizaciones y personas individuales. Durante el 2020, ambos crímenes fueron muy utilizados e impactaron a muchas empresas y personas alrededor del mundo.
Los intentos de phishing se dispararon en un 67% en marzo del 2020, y fueron aumentando durante todo el año según datos de Cisco. Los criminales recurren a la ingeniería social por vía telefónica, mensajes de texto o correo electrónico para engañar a la persona, utilizando una identidad falsa, con el objetivo de que proporcione información confidencial, descargue un malware o visite un sitio fraudulento.
“Uno de los ataques más comunes e innovadores en nuestro país es la utilización de la ingeniería social en combinación con correos o sitios web falsos para manipular y engañar a las víctimas. El Vishing fue una técnica muy utilizada durante la pandemia en la que los criminales se valieron del apoyo brindado por el sistema bancario, la situación del sistema de salud por COVID-19 y páginas falsas en donde se solicitaba ingresar la firma digital”, afirmó el director de ventas Knogin LATAM.
El año pasado, se registraron 300 sitios web fraudulentos, 247 tenían relación con la firma digital certificada; 45 con entidades financieras y otros con el Ministerio de Hacienda, así como entidades de salud, según un informe de la Dirección de Gobernanza Digital del Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt) y del Centro de Respuesta de Incidentes de Seguridad Informática (Csirt).
El Vishing es una práctica criminal fraudulenta realizada por teléfono, donde se tima a la víctima y la dirigen a realizar acciones o bien divulgar información sensible. El término vishing es una combinación de las palabras voice (voz) y phishing (método de suplantación de identidad).
Además, el SMiShing es otra una variante del phishing, usando técnicas de engaño, donde se realizan envíos selectivos de mensajes SMS dirigidos a usuarios de telefonía móvil normalmente con un enlace a una página web con el fin de que visiten este sitio fraudulento para robarles datos sensibles.
Otro ataque que se ha identificado es el Whaling, que está dirigido a altos ejecutivos, enfocándose en datos más sensibles de las organizaciones por medio de correos maliciosos que utilizan temas críticos para las compañías, inestabilidad política u otros asuntos dirigidos a engañar y robar información.
Finalmente, el Ransomware es uno de los ataques más frecuentes, el año pasado la suma total de las demandas de rescate por secuestro de información alcanzaron un aproximado de 1.400 millones de dólares alrededor del mundo, con una suma promedio para rectificar el daño de hasta 1.45 millones de dólares, según datos de Cisco. El ransomware es el tercer tipo de malware más popular utilizado en violaciones de datos y se emplea en el 22% de los casos.
Recomendaciones para evitar ser blanco de los criminales:
“La mejor práctica es tener sesiones de capacitación periódicas para los colaboradores y que esto sea parte del proceso de incorporación para cada nueva contratación. De igual manera, las personas deben mantenerse atentas y actualizadas sobre los riesgos que conlleva usar herramientas digitales. Lo recomendable es que los usuarios puedan identificar intentos de ingeniería social, correos electrónicos de phishing y otras formas de extracción de datos”, comentó Rojas.
Dentro de las organizaciones, se recomienda crear políticas corporativas que los colaboradores puedan comprender en las que, por medio de ejemplos y referencias de la vida real, los usuarios finales puedan aplicar herramientas o recomendaciones en la práctica.
“El cambio de cultura organizacional puede tener un efecto dramático. Se ha demostrado que dejar de avergonzar a las personas que cayeron ante un phishing y adoptar un modelo que fomenta la divulgación fortalece a todo el equipo y la organización. Para las personas, la principal recomendación es ser siempre escéptico, ninguna organización le solicitará ingresar a un sitio web o que comparta su información confidencial. Incluso si el número de teléfono corresponde a esa entidad no confíe, existen técnicas que permiten enmascarar números telefónicos”, concluyó Rojas.
Finalmente, es importante que todos los dispositivos cuenten con herramientas EDR (EndPoint, Detección & Response) que sirven para el monitoreo, control y defensa en los casos de intentos de intrusión y ataques en los equipos de los usuarios finales. El uso de estas herramientas y de equipos de respuesta a incidentes en seguridad como antivirus y firewalls, les permiten a las empresas detectar y lidiar con sitios inseguros, malwares o intrusos.
En caso de tener dudas respecto a un sitio web, puede verificar la dirección en la página que el MICITT creo para este fin https://sitiosoficiales.gob.go.cr/