Ir directamente al contenido

Cinco cosas aprendidas sobre ciberseguridad en 2017

24/01/2018

Los incidentes geopolíticos, las amenazas de malware global y omnipresentes brechas de datos en las que se han visto involucrados grandes nombres han sido temas muy presentes en nuestro día a día en los últimos 12 meses. Desde las filtraciones de CIA Vault7 y NSA Shadow Brokers, hasta las campañas de ransomware WannaCry y NotPetya, o a las impactantes revelaciones recientes de Uber, los CISO (chiefinformation security officer) españoles han tenido mucho material sobre el que reflexionar. Ahora que estamos estrenando 2018, el equipo de Trend Micro considera que puede ser útil recapitular algunos de los acontecimientos más importantes que tuvieron lugar en 2017, con la vista puesta en fortalecer los sistemas para los próximos meses.
A continuación, se incluye el Top-5 de sucesos para Trend Micro, sin seguir ningún orden en particular.

El ransomware evoluciona
Desde hace varios años, el ransomware ha causado importantes dolores de cabeza a las organizaciones. Pero fue en 2017 cuando se vio la amenaza utilizada de una manera sin precedentes para causar el caos a una escala global. Los ataques WannaCry y Petya/NotPetya de mayo y junio pueden haber presentado objetivos, grupos de ataque y tácticas ligeramente diferentes, pero pusieron de relieve cómo el ransomware podría emplearse en combinación con los exploits desarrollados por los Estados para extenderse de forma sorprendente a través de las redes. Bad Rabbit mostró otra variante sobre este tema, diseñada para infectar a las víctimas a gran escala usando ataques watering hole.

Estos incidentes nos han enseñado la importancia de aplicar parches para reparar las vulnerabilidades conocidas tan pronto como se disponga de una solución, y advirtieron de lo que puede suceder cuando los gobiernos buscan socavar la seguridad de cientos de millones de usuarios investigando exploits en los programas de software más populares.

BEC está costando miles de millones a las empresas
De todos los riesgos relacionados con el mundo “ciber” a los que enfrentan las organizaciones en la actualidad, el Compromiso del Email Empresarial (BEC) parece ser uno de los más fáciles de reducir. Sin embargo, según el FBI, las pérdidas registradas en el período que va desde octubre de 2013 hasta diciembre de 2016 superaron los 5.300 millones de dólares. Trend Micro prevé que esta cantidad aumente hasta los 9.000 millones de dólares el próximo año a medida que las organizaciones continúen mostrando cuán expuestos están su personal y sus procesos a la ingeniería social.
Puede que no haya malware que detectar en la mayoría de las estafas BEC, pero con una plantilla mejor formada y concienciada, y algo tan simple como garantizar que dos miembros senior del departamento financiero autoricen y firmen las grandes transferencias de fondos, las organizaciones pueden aislarse mejor.

Empresas de gran renombre aún siguen cometiendo errores de novatos
¿Cuándo van a aprender? En 2017 se vio otro listado de organizaciones que “deberían haber conocido mejor” que sufren daños por brechas de datos e incidentes de privacidad. Yahoo (3.000 millones), Uber (57 millones) y Equifax (145,5 millones) son algunas de las que nos vienen a la mente como los ejemplos más clamorosos de empresas que tenían los recursos, pero no la cultura corporativa correcta o la estrategia para mantener a raya a los hackers. Muchas organizaciones más se vieron en aprietos después de encontrar información sensible de clientes o de su propiedad expuesta en Internet de forma pública a través de configuraciones erróneas de la base de datos cloud, a menudo en manos de un tercer partner. Las semejanzas de Verizon, Accenture, WWE e incluso del Departamento de Defensa de EEUU fueron insuficientes. En un caso, una firma de análisis de datos del Partido Republicano filtró la información de identificación personal (PII) de 198 millones de votantes estadounidenses que datan de hace una década.
Si no ocurre otra cosa, estos incidentes nos dicen una vez más que las empresas aún no tienen los conceptos básicos en materia de ciberseguridad y están fallando a la hora de extender las políticas a los partners y proveedores.

Para poder ver el contenido completo tienes que estar suscrito. El contenido completo para suscriptores incluye informes y artículos en profundidad

Inicia sesión Suscríbete

Revista

QUALITAS Abril Mayo 2019

Ver la revista

Lo más leído

La gestión de la innovación en ocho pasos

Gestión Tecnologías

Leer más sobre La gestión de la innovación en ocho pasos

Los nuevos sistemas de producción

Gestión Tecnologías

Leer más sobre Los nuevos sistemas de producción

Mercados tecnológicos

Gestión Tecnologías

Leer más sobre Mercados tecnológicos

Servicios públicos y medio ambiente

Gestión Mercados

Leer más sobre Servicios públicos y medio ambiente

ManpowerGroup, la primera multinacional del sector en recibir el certificado ISO 10667 de Aenor

Gestión Noticias

Leer más sobre ManpowerGroup, la primera multinacional del sector en recibir el certificado ISO 10667 de Aenor

Customización de cookies

Cookies Analytics

Este sitio web utiliza cookies de terceros para cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos por medio de la cookie Google Anlytics

Cookies para compartir en redes sociales

Usamos algunos complementos para compartir en redes sociales, para permitirle compartir ciertas páginas de nuestro sitio web en las redes sociales. Estos complementos colocan cookies para que pueda ver correctamente cuántas veces se ha compartido una página.