Mientras más digitalizamos nuestras vidas, a nivel personal y laboral, más atractivo se vuelve el botín para los ciberdelincuentes, quienes han profesionalizado su actividad en búsqueda de mayores ingresos.

Dos de las empresas más reputadas en ciberseguridad acaban de liberar nuevos informes respecto a esta materia. Hablamos de Symantec y ESET, con distintos matices nos revelan que, seamos usuarios o empresas, las vulnerabilidades están a la orden del día.

Mientras más digitalizamos nuestras vidas, operaciones laborales y de negocio, más atractivo se vuelve el botín para los ciberdelincuentes que a esta altura ya conforman sus prácticas como una actividad profesional y madura, especialista en robar datos, información, dinero y nuestra tranquilidad.

A continuación te presentamos las principales revelaciones de ambos informes, los cuales nos darán una perspectiva clara para dimensionar de qué estamos hablando. Aunque vale decir que, la cifra de cabecera a considerar es, sin dudas, que la ciberdelincuencia roba unos US$575.000 millones al año, según cifras de Symantec.

Symantec | Informe sobre Amenazas a la Seguridad en Internet. Volumen 21

1- Más de 500 millones de documentos de información personal han sido robados o se perdieron en 2015.

2- En 2015, se reveló que el número de vulnerabilidades de día cero creció más del doble, rompiendo un récord de 54 vulnerabilidades. Es decir, un aumento del 125% en comparación con el año anterior, reafirmando el papel fundamental que tienen en los ataques dirigidos lucrativos.

3- Las fugas de datos continúan impactando los negocios. De hecho, las grandes empresas que son objeto de ataques serán blanco, en promedio, tres veces más según lo indicado dentro de un año.

4- La mayor fuga de datos jamás informada públicamente el año pasado con 191 millones de registros comprometidos en un solo incidente. También, hubo un registro que informó sobre un récord de nueve mega fugas de datos.

5- Si bien se expusieron 429 millones de identidades, el número de empresas que optaron por no informar el número de registros perdidos aumentó a 85%.

6- El ransomware también siguió evolucionando en el año de 2015, con un crecimiento de 35% como el estilo más dañino de ataques crypto-ransomware. El ransomware ha atacado no sólo los computadores, sino también los smartphones y los sistemas Mac y Linux. El cifrado se utiliza ahora como un arma cibernética para mantener rehenes los datos críticos corporativos y personales.

ESET Security Report 2016 para América Latina

1- El 40% de las empresas encuestadas sufrieron un incidente relacionado con malware en el último año.

2- Los países más afectados por códigos maliciosos son Nicaragua, que ocupa el primer lugar con el 58,3%, seguido de Guatemala con el 55,8% y Ecuador con 51,9%. Asimismo, Argentina (29,7%), Chile (29,2%) y Venezuela (24,1%) resultaron los países menos afectados por casos de malware en las empresas.

3- En segundo lugar, tras el código malicioso, con el 16% aparece el phishing como uno de los incidentes de seguridad más frecuentes. A pesar de ser una técnica cada vez más conocida y relativamente fácil de detectar, logra su propósito a través de la aplicación efectiva de técnicas de Ingeniería Social.

4- La mayor preocupación en materia de seguridad que tienen las empresas son las vulnerabilidades de software y sistemas con el 58%, seguido por el malware con el 54% y en tercer puesto, el acceso indebido a la información con el 46%.

5- Las empresas en Latinoamérica destinan recursos para la implementación de soluciones de software antivirus en primer lugar con el 77% de las respuestas afirmativas, seguido de firewalls con 71% y respaldos de información con 63%.

6- Alrededor del 35% de las organizaciones llevan a cabo iniciativas de educación y concientización.

Tendencias destacadas

Profesionales. Uno de las principales aspectos a poner atención y que de alguna forma, explica en buena parte el enorme avance de las cifras del cibercrímen es el hecho que esta actividad está adoptando prácticas empresariales y estableciendo negocios con el fin de aumentar la eficiencia de sus ataques.  

"Los grupos de ataques criminales avanzados, hacen uso de un conjunto de habilidades de los cibercriminales de escala nacional. Tienen una gran cantidad de recursos y un equipo técnico altamente calificado que trabaja con tal eficiencia que logra tener horario normal de trabajo y de descanso, incluso los fines de semana y días festivos", dijo Kevin Haley, director de Symantec Security Response.

Esta nueva clase de profesional cibernético abarca todo el ecosistema de los cibercriminales, aumentando la gama de amenazas para las empresas y los consumidores, y alimentando el crecimiento del crimen en línea.

Camilo Gutiérrez, investigador para el laboratorio ESET Latinoamérica agrega: “Cuando hablamos de estos tipos de amenazas debemos entender que hay un interés económico detrás. Para un atacante, esto es un negocio. Entonces ellos van a tratar de robar información para venderla y obtener ganancias económicas. Y, obviamente, si el atacante está ganando dinero con ello es porque alguien está perdiendo y, en este caso, son las empresas”.

Protección. Con este amenazador panorama, hay muchos pasos que las empresas y los consumidores pueden tomar para protegerse a sí mismos. Entre los que Symantec recomienda se encuentran, por ejemplo: usar soluciones de seguridad avanzadas e inteligentes para ayudar a encontrar indicadores de riesgo y responder rápidamente ante cualquier incidente; brindar formación y entrenamiento continuo con directrices, políticas y procedimientos claros para los empleados de la compañía; e implemente un sistema de seguridad de endpoint con múltiples capas, seguridad de red, medidas fuertes de autenticación, entre otros.

“Muchas veces las empresas no son conscientes de que este tipo de ataques puede tener ese impacto y ahí el hecho de que no tengan a la seguridad de la información como algo estratégico dentro de su organización. Obviamente, no podemos pretender que el negocio se centre en seguridad, pero sí deben tener en cuenta que si no tienen seguridad, podrían no tener negocio”, advierte Gutiérrez.

Los usuarios, en tanto, pueden concentrarse en utilizar contraseñas sólidas, tener cuidados antes de hacer clic en links poco confiables, protegerse con soluciones de seguridad y evitar las descargas de software libres o sin licencias.

Finalmente, una reflexión importante que no se puede descuidar a la hora de considerar soluciones de seguridad es la manera de implementarlo en una empresa. Esto, porque la seguridad no es algo que simplemente se pueda comprar a través de algún producto o proveedor. El estudio de ESET evidencia que pese a que el presupuesto destinado a la adquisición de tecnologías de seguridad ha aumentado, los ataques e incidentes han aumentado.

Entonces, ¿qué pasa? El investigador de ESET aclara: “El tema de la seguridad no es solamente la tecnología. Estamos hablando de la gestión que se hace de esa tecnología. Algo que sí se tiene, -desafortunadamente- bastante descuidado es la educación del usuario. Menos de la mitad de las empresas en Latinoamérica realizan actividades de educación a sus empleados de forma continua. Se centran muchas veces en los temas de tecnología y no es lo único que deberían tener en cuenta: está también la gestión y educación”.