La ciberdelincuencia no descansa en vacaciones y sigue aumentando en verano. Los ciberataques se incrementan en esta época del año alrededor de un 30%, siendo el phishing, el fraude al CEO, el robo de identidad y el ransomware los más comunes. Lo cierto es que los ciberdelincuentes no se toman un descanso y aprovechan que las compañías y su personal están de vacaciones para explotar brechas de seguridad.
Los delincuentes aprovechan la relajación de las medidas de seguridad, la menor atención de los usuarios y una mayor actividad en línea durante las vacaciones. En concreto, se incrementan entre un 20% y un 30% más los ataques de phishing. Además de las utilizando otras técnicas,los ciberdelincuentes propagan estafas relacionadas con viajes, como, por ejemplo, billetes de avión, tours y grandes ofertas de hoteles. Esto supone un riesgo significativo para la seguridad de las empresas y sus empleados, ya que los ciberdelincuentes aprovechan la temporada vacacional para explotar las vulnerabilidades en los sistemas de seguridad corporativos.
“Durante el verano, muchas empresas operan con personal reducido y los empleados están más relajados, lo que crea un entorno perfecto para los ataques de phishing”, señala Víctor Ronco, CEO de Zerod, que añade que “los atacantes utilizan tácticas más sofisticadas y personalizadas, dirigidas a individuos específicos dentro de las organizaciones, aumentando la probabilidad de éxito de sus intentos maliciosos”.
El phishing es una técnica que implica el envío de correos electrónicos o mensajes falsos que parecen provenir de fuentes confiables, con el objetivo de engañar a las personas para que revelen información sensible, como contraseñas y datos financieros. Este tipo de ataques no solo afecta la integridad de la información, sino que también puede llevar a pérdidas económicas significativas y daños reputacionales para las empresas.
Para mitigar estos riesgos, Zerod recomienda a las empresas implementar medidas proactivas de ciberseguridad que abarquen tanto su infraestructura tecnológica como la concienciación de los equipos. “Es fundamental educar a los empleados sobre los riesgos del phishing y entrenarlos en la identificación de correos electrónicos sospechosos”, matiza Víctor Ronco.
Además, las empresas deben reforzar sus sistemas de autenticación y emplear tecnologías avanzadas de detección de amenazas para protegerse contra estos ataques de forma preventiva, y contar con la ayuda de los white hackers, personas especializadas en encontrar brechas de seguridad. “A medida que las empresas aumentan su exposición a internet y el número de activos digitales, se vuelve más importante auditar la seguridad informática de estos para reducir las vulnerabilidades que puedan contener para ser explotados por ciberdelincuentes.”
10 CONSEJOS PARA GARANTIZAR LA CIBERSEGURIDAD DE UNA EMPRESA EN PERÍODO DE VACACIONES
En un momento en que la ciberseguridad se ha convertido en una prioridad estratégica para las empresas, Zerod ofrece 10 consejos proteger a las organizaciones contra el creciente número de amenazas cibernéticas:
1. Implementar Autenticación Multifactor (MFA): La autenticación multifactor añade una capa adicional de seguridad al requerir más de una forma de verificación antes de conceder acceso a cuentas o sistemas. La empresa debe asegurarse de que todos los empleados utilicen MFA para acceder a recursos críticos, o incluso el correo electrónico.
2. Actualizar y parchear sistemas y software: Antes de las vacaciones, se deben revisar que todos los sistemas y aplicaciones estén actualizados con los últimos parches de seguridad. Las actualizaciones frecuentes corrigen vulnerabilidades que los ciberdelincuentes podrían explotar.
3. Realizar copias de seguridad: Antes de colgar el cartel de cerrado por vacaciones, es importante que se realicen copias de seguridad de todos los datos importantes y que éstas se almacenen en ubicaciones seguras y desconectadas para protegerse contra ataques de ransomware.
4. Sensibilizar a los empleados sobre el phishing: El phishing sigue siendo una de las amenazas más comunes y sólo es solucionable con una formación continua a los empleados sobre cómo identificar correos electrónicos o mensajes de texto sospechosos y evitar enlaces o archivos adjuntos desconocidos.
5. Realizar pruebas de penetración: Es necesario garantizar que los activos digitales, desde páginas web a aplicaciones móviles de la empresa, no cuentan con ninguna vulnerabilidad crítica que los atacantes puedan explotar. Para ello, el mejor acercamiento es recurrir al white hacking externo para detectar y mitigar a tiempo esos posibles riesgos.
6. Configurar alertas y monitoreo continuo: Las empresas deben emplear herramientas de monitoreo para detectar actividades inusuales y amenazas en tiempo real. Configurar alertas para que el personal de IT sea notificado inmediatamente de cualquier comportamiento sospechoso es un salvavidas.
7. Restringir accesos: Los especialistas deben limitar los accesos a datos sensibles y solo el personal autorizado puede acceder a información crítica. Además, se debe considerar el hecho de implementar políticas de ‘mínimo privilegio’ para restringir el acceso solo a lo necesario.
8. Planificar para el incidente: Tener un plan de respuesta ante incidentes bien definido es esencial. Las empresas deben asegurarse de que todos los empleados conozcan los pasos a seguir en caso de una brecha de seguridad. Una buena opción es simular escenarios de ciberataques para preparar al equipo.
9. Utilizar redes seguras: Se desaconseja el uso de redes Wi-Fi públicas para acceder a recursos empresariales. Si es necesario trabajar remotamente, la empresa debe asegurarse de que se utilicen redes privadas virtuales (VPN) para mantener las conexiones seguras.
10. Controlar dispositivos móviles: Los dispositivos móviles pueden ser una puerta de entrada para ataques. Cada empresa debe implementar políticas de seguridad para los dispositivos móviles, incluyendo cifrado, contraseñas seguras y la capacidad de borrar datos de forma remota en caso de pérdida o robo.
11. Reforzar las políticas de contraseñas: Los profesionales de IT deben insistir en el uso de contraseñas robustas y únicas para todas las cuentas. Además, es aconsejable el uso de gestores de contraseñas para ayudar a los empleados a mantener contraseñas seguras sin dificultad.