8 de mayo de 2019
No seas víctima de un príncipe nigeriano
No enviarías dinero a sabiendas a un príncipe nigeriano, pero los ataques de ransomware y phishing son cada vez más sofisticados. Las empresas más pequeñas son especialmente vulnerables.
A estas alturas, todos los que han oído hablar de los correos electrónicos del príncipe nigeriano saben que son una estafa. Le dicen que solo necesita pagarle al llamado príncipe una pequeña tarifa por adelantado por ayudarlo a hacer una transferencia de millones de su cuenta bancaria nigeriana a la suya y él lo recompensará generosamente. Por supuesto, después de pagar la tarifa por adelantado, habrá más tarifas pequeñas que pagar o nunca más volverá a saber de él. ¡O incluso puede robar todo lo que hay en tu cuenta!
Lo crea o no, las variaciones de esto, conocidas como la estafa de la "tarifa anticipada", todavía están vivas y coleando. Según Uzi Scheffer, director ejecutivo de la empresa de seguridad cibernética SOSA, hay dos razones por las que las pequeñas empresas son especialmente vulnerables a esta y otras estafas de "phishing" similares.
- Dado que las grandes empresas suelen protegerse mejor contra el ciberdelito, los estafadores ven a las pequeñas empresas como el camino de menor resistencia.
- Las pequeñas empresas generalmente no tienen una política formal de seguridad en Internet, lo que las convierte en objetivos aún más fáciles.
Los ataques son cada vez más sofisticados
Independientemente del tipo de expedición de phishing involucrada, alrededor de dos mil casos de ataques de malware bancario ocurren todos los días solo en los EE. UU., Robando datos financieros sin que el usuario lo sepa. Mediante el uso de software malicioso, llamado malware, incrustado en archivos adjuntos de correo electrónico como documentos, los piratas informáticos se anidan en los datos financieros de sus víctimas. Una vez que se han asentado, solo necesitan unos 10 minutos para robar o, como ocurre con el ransomware, provocar daños económicos.
El ransomware es el resultado de la descarga de archivos infectados que se adjuntaron a un correo electrónico o se obtuvieron de sitios web sospechosos. El ransomware luego bloquea el dispositivo en el que se descargó hasta que se pague un rescate.
Existen numerosos tipos de amenazas sofisticadas como estas. Scheffer recomienda que todas las empresas, grandes o pequeñas, tomen las siguientes medidas para reducir el riesgo de ser víctimas de un ciberataque. Las políticas generales deben implementarse primero, seguidas de una rutina de tomar ciertas acciones de precaución simples de manera regular.
Políticas generales:
- Adopte una estrategia de seguridad cibernética. Casi todas las empresas ahora realizan ventas en línea, incluso pequeñas operaciones de ladrillo y cemento. Para garantizar que incluso la plataforma más modesta esté debidamente protegida, debe haber un conjunto claro de directivas sobre lo que debe y no debe hacerse en línea, cómo hacer que los dispositivos sean seguros, etc.
- Identifique las vulnerabilidades de su sistema. Esto suele ser parte de la evaluación de la suscripción al comprar un seguro cibernético. También suele ser una buena idea contratar a un profesional para que le indique cuál es la mejor manera de reducir los riesgos cibernéticos. Desafortunadamente, solo un pequeño porcentaje de propietarios de pequeñas empresas se molesta en contratar a un consultor para tal evaluación, pero hacerlo probablemente dará grandes frutos a largo plazo.
- Diversificar las medidas de seguridad. Dado que existen muchos tipos y fuentes diferentes de amenazas, ninguna herramienta puede proporcionar una defensa completa. Necesita implementar una combinación de herramientas, incluidos firewalls, filtros de spam, cifrado automático de datos, copias de seguridad y más.
Elementos de acción programados regularmente:
- Asegúrese de que los empleados estén capacitados en medidas básicas de ciberseguridad. Los estudios muestran que el 90 por ciento de todas las infracciones de seguridad cibernética son el resultado de errores humanos, principalmente de miembros del personal que no son de TI. Para minimizar las amenazas, los miembros del personal deben saber cómo implementar la estrategia de seguridad cibernética de la empresa, cómo reconocer amenazas en línea, como correos electrónicos sospechosos, cómo identificar si un dispositivo ha sido pirateado, etc.
- Asegúrese de que las herramientas de ciberseguridad estén actualizadas en todos los dispositivos utilizados en la empresa. Esto también debería aplicarse a computadoras portátiles y dispositivos móviles que a menudo están conectados a través de redes Wi-Fi externas.
- Descargue actualizaciones de software para su sistema operativo y aplicaciones. Los proveedores de sistemas operativos y aplicaciones emiten regularmente parches para las amenazas de seguridad recién descubiertas que deben instalarse tan pronto como estén disponibles.
- Realice una copia de seguridad de los datos importantes en varias ubicaciones. Con el rápido crecimiento de la computación en la nube, esto se ha convertido en un paso relativamente fácil de tomar para garantizar que una brecha en un sitio no cause daños irreversibles al resto de su negocio.
- Haga cumplir los estrictos procedimientos de acceso de los empleados. Los empleados pueden encontrar algunas de estas reglas una molestia, pero debe enfatizar lo importantes que son para mantener la integridad de lo que, dadas todas sus vulnerabilidades, es un sistema muy frágil. Asegúrese de que cada miembro del personal tenga su propio nombre de usuario y contraseña. Las contraseñas deben cambiarse con regularidad y deben ser complejas. Los piratas informáticos tienen herramientas para descubrir las contraseñas de uso común (12345, abcde, etc.) en cuestión de minutos. El acceso físico y la autorización para descargar software también deben ser limitados.
“Incluso si sigue todos estos pasos, por supuesto, no hay garantía de que su empresa o tienda no sea víctima de un delito cibernético”, dice Scheffer. “Quizás el elemento más importante que necesita cambiar es la falsa sensación de seguridad. Muchos gerentes y propietarios de empresas son complacientes, que es exactamente con lo que cuentan los piratas informáticos ".
Por supuesto, incluso con un buen plan de seguridad cibernética, su empresa aún necesita un sistema de seguridad para protegerla contra el riesgo cibernético. Por lo tanto, asegúrese de leer nuestro artículo Pólizas de seguro de responsabilidad cibernética.