El 7 de febrero se celebra el #DíaInternacionaldeInternetSegura por eso, desde PRNoticias.com nos acercamos a este tema, tan vigente como necesario, entrevistando a un experto en ciberseguridad: Félix Muñoz, CEO de Entelgy Innotec Security y Miembro del Comité de Expertos independientes de la Estrategia de Ciberseguridad Nacional 2019 España.
Su empresa acaba de publicar el informe ‘Ciberseguridad: riesgos y tendencias 2023’ que recoge las principales amenazas a las que nos tendremos que enfrentar en los próximos meses, algunas de ellas, heredadas de 2022. Destacan el fortalecimiento del cibercrimen a sueldo, la triple extorsión en ransomware, el cambio en el uso de frameworks, los ataques automatizados con inteligencia artificial y el Qrishing.
Pero, ¿Qué deben hacer las grandes empresas? ¿Qué pueden hacer las pymes? ¿Qué nos queda hacer a los usuarios?… Félix Muñoz nos lo explica:
– De los 5 riesgos de ciberseguridad a los que se exponen las empresas en este 2023, expuestos por Entelgy, ¿cuál sería el mayor de todos?
-Empresas y usuarios se exponen a múltiples ciberamenazas durante este 2023, por lo que no sería prudente elegir una y restarle importancia a las demás. La prevención pasa por adelantarse a los ciberdelincuentes, así como por tener una seguridad robusta que sirva de escudo ante nuevas amenazas. Son numerosos los riesgos que nos van a acompañar este 2023 y que, posiblemente, lo hagan durante más tiempo, como explicamos en nuestro informe ‘Ciberseguridad: riesgos y tendencias 2023’.
– Hablemos de uno de ellos, contenido en el informe: el cibercrimen ‘as a service’. ¿De qué se trata?
-Nos enfrentamos al fortalecimiento del cibercrimen ‘as a service’. Se trata de campañas de cibercrimen a sueldo que comenzaron a tomar consistencia hace un par de años y que ya funcionan a pleno rendimiento. Ahora, el malware, el phishing y los ataques DDoS se alquilan y se compran. Lanzar una campaña de este tipo de amenazas está al alcance de cualquiera sin necesidad de tener conocimientos.
– Y la triple extorsión, ¿qué es?
-La triple extorsión representa una vuelta de tuerca más a los ataques son ransomware. Este tipo de amenaza tiene lugar cuando el ciberdelincuente despliega un malware con el que bloquea los equipos de la víctima, cifrándolos, para luego exigir un rescate para facilitar la clave de descifrado. Posteriormente, si no se hace efectivo el rescate, amenazan con publicar la información sustraída (lo que provoca la consiguiente crisis de reputación en la organización). Después, añaden chantaje a los clientes o contactos de la compañía cuyos datos han sido exfiltrados. Por último, amenazan con un ataque de denegación de servicio (DDoS). También estamos viendo la utilización de nuevos frameworks de intrusión por parte de ciberatacantes. Se trata de herramientas con las que pueden realizar intrusiones sin ser detectados, de forma sencilla, visual y a bajo coste. Aunque el número uno sigue siendo Cobalt Strike, los equipos de Blue Team de las organizaciones ya están habituados a detectarlo, por eso surgen alternativas menos conocidas y que pasan desapercibidas (por el momento). No nos podemos olvidar de que el ransomware, los ataques de denegación de servicio distribuido (DDoS) y el phishing son amenazas continuas. Además, la sofisticación de los ataques (son cada vez más precisos, complejos y avanzados) y algunas familias de cibercriminales (como Lockbit, la más activa del pasado año) nos mantendrán en alerta durante todo este año.
– Después de la triple extorsión, ¿qué será lo siguiente?
-‘Lo siguiente’ ya está aquí. El escenario más inmediato está en los ciberataques con inteligencia artificial. La inteligencia artificial forma ya parte de nuestro día a día en forma de chatbots, en las aplicaciones que más utilizamos y hasta en el sector financiero, en el sanitario, en videojuegos y en la propia industria. En el ámbito de la ciberseguridad puede utilizarse para ser más defensivos, pero también para potenciar la fuerza de un ciberataque. En un futuro a medio y largo plazo será necesario hacer frente a la automatización de ataques dirigidos con objetivos a gran escala y consecuencias aún mayores. Habrá que hacer frente a un malware que actúe por su cuenta, de manera automatizada y operando casi sin control humano. Esto hará que las amenazas sean mucho más finas y sofisticadas.
– ¿Qué puede hacer una pyme o un autónomo ante estas ciberamenazas?
-En nuestro informe ‘Ciberseguridad: riesgos y tendencias 2023’, aportamos diversas recomendaciones de ciberseguridad para empresas que, aunque básicas, son imprescindibles para evitar ser víctima de las ciberamenazas mencionadas anteriormente. Entre estas recomendaciones: asegurarse de cumplir con los estándares de seguridad que marca la normativa vigente (RGPD, ISO y ENS especialmente) y cifrar la información sensible. También, mantener equipos, dispositivos y software actualizados e instalar herramientas antispam para detectar correos fraudulentos. También se recomienda contar con mecanismos de detección de malware y phishing, tener una política de Zero Trust para que solo quien sea necesario acceda a determinados sistemas o información; aplicar técnicas de borrado seguro de información para garantizar que no pueda ser recuperada; asegurar el acceso a los dispositivos y equipos informáticos de los empleados desplegando una red privada virtual (VPN); utilizar proveedores de seguridad certificados y que dispongan, entre otros, de doble factor de autenticación para sus dispositivos.
-¿Están totalmente indefensos o hay herramientas a su alcance para evitar ser víctimas de los ciberdelincuentes?
-Los expertos de Entelgy Innotec Security aseguran que ser digital no significa contar con la mejor tecnología, sino ser consciente de que en el universo digital el negocio se sitúa en un proceso de transformación continua. Esto hace que tenga que asumir riesgos que no están presentes en el mundo analógico. En un mundo conectado y digital no ser víctima de los ciberdelincuentes implica concienciación y anticiparse a los acontecimientos mediante prevención. La mejor prevención es invertir en ciberseguridad antes de que los costes, económicos, reputacionales, de negocio, etc. de ‘resolver’ un ciberataque sean inasumibles. Por otro lado, es necesario confiar en el trabajo de los expertos, contar con departamentos propios de ciberseguridad o de servicios de seguridad gestionados que garantizarán la salud de nuestras compañías. Con este tipo de servicios una organización puede beneficiarse de la gestión, detección y respuesta ante ciberataques durante 24 horas al día los siete días de la semana.
– ¿Y qué podemos hacer los usuarios para evitar ser ciberatacados?
-En nuestro informe, los profesionales aportan una serie de recomendaciones para usuarios empleados de empresas, ya que el factor humano sigue siendo el principal vector de entrada de un ciberataque. Entre las recomendaciones que pueden servirle al usuario en su día a día, algunas: desconfiar de los emails que soliciten información personal como contraseñas o usuarios; sospechar de mensajes con erratas, genéricos, que soliciten hacer una acción urgente o que alerten de peligros; evitar utilizar redes compartidas y públicas, especialmente si no están protegidas por claves de acceso o no abrir documentación adjunta ni pinchar en links en correos electrónicos de remitentes desconocidos o que susciten dudas sobre su legitimidad. Además de las mencionadas, se pueden agregar varias más específicas para los entornos laborales, como las siguientes: no almacenar información en medios o servicios personales o de terceros no autorizados; cifrar la información en caso de necesitar utilizar medios de almacenamiento extraíble; conectar una conexión VPN durante el trabajo en remoto; solo acceder a la información de la compañía mediante dispositivos corporativos o utilizar carpetas de red y los medios aprobados por la compañía como método para compartir Información.
– ¿Qué es el Qrishing y cómo podemos evitar ser víctimas?
-Solo durante 2022 nuestros expertos detectaron más de 16.000 casos de phishing. Se trata de una de las técnicas de ciberataque más conocidas con la que los criminales diseñan campañas, cada vez más elaboradas, haciéndose pasar por comunicaciones oficiales y suplantando a entidades bancarias, administraciones públicas y otros organismos sensibles, con la intención de engañar a sus víctimas y obtener de manera rápida datos de interés del afectado. Conocemos algunas variantes y una de las más novedosas, y que proliferará este año, es el Qrishing o phishing oculto en códigos QR. Los ciberdelincuente están aprovechando el uso masivo de los códigos QR para insertar enlaces que dirigen a aplicaciones fraudulentas en las que solicitan información sensible con fines malintencionados. Para evitar ser víctimas de este tipo de phishing lo más recomendable es no escanear códigos QR de origen dudoso, así como no proporcionar datos en webs de origen sospechoso o que soliciten información sensible como datos personales o números de cuenta. Recordemos que, ante situación de duda respecto a sitios oficiales, lo mejor es consultar directamente a esos sitios por canales habituales de comunicación.
Seguiremos comunicando…