En la actualidad, los avances tecnológicos representan un beneficio para las empresas, ya que por medio de estas herramientas se han podido optimizar desde procesos administrativos hasta de producción y manufactura.
No obstante, estos avances también dieron paso a nuevos métodos digitales de riesgo para la información empresarial: los ataques cibernéticos. Para los cibercriminales, las empresas son un blanco perfecto ya que manejan una amplia cantidad de información al día.
El riesgo reside en los sistemas digitales debido a su interconexión, es decir, los datos que se guardan no son del todo privados, sino poseen diferentes accesos por medio de una red, permitiendo la intrusión a bases de datos empresariales.
Esto incluye desde reportes personales de los empleados hasta cifras financieras.
La mayoría de las veces los negocios desconocen que están en peligro. De acuerdo con el reporte GSISS 2018 de la consultora PwC, un 78.6% de las empresas del país han sido víctimas de ciberataques en los últimos 12 meses, y en este mismo lapso de tiempo, Kaspersky Lab señaló que en América Latina se registraron más de 746,000 ataques con un aproximado de 9 intrusiones cibernéticas por segundo.
Hoy en día existen varios métodos utilizados por los delincuentes cibernéticos, pero uno de los que ha ido en aumento es el phishing. A continuación, se proporcionan datos relevantes que ayuden a una mejor comprensión de este ataque para aumentar la ciberseguridad empresarial y prevenir posibles riesgos.
Este método se centra en que los mismos usuarios compartan sus datos personales al dar clic a ligas externas para llenar formularios.
Para eso, los delincuentes manipulan y engañan a los usuarios de manera psicológica y emocional para obtener, de su propia mano, lo que desean.
El phishing se apropia del nombre de compañías legítimas y de confianza, por ejemplo, bancos o telefonías, utilizando diferentes medios como correos electrónicos, juegos en línea, llamadas telefónicas, mensajes SMS, publicidad en sitios web y redes sociales, entre otros.
Con esto, procuran obtener una entrada fácil hacia la información esperando que los usuarios compartan la liga con sus contactos y se generen ataques masivos. Lo único que esperan es que "piquen el anzuelo".
Además, los phishers pueden robar la identidad de los usuarios y realizar operaciones en su nombre sin que se den cuenta. Por ejemplo, realizar una transacción bancaria o hasta tener disponible la cuenta de la víctima.
Para las empresas, el phishing es un medio para robar datos financieros y documentos confidenciales. Este crimen lo realizan a través de los empleados (principalmente los de alto nivel), quienes pueden dejar abierto el paso y permitir que los criminales cibernéticos se infiltren. Sin embargo, una vez que han accedido a la red, es complicado detener la infiltración sin salir perjudicado.
Se debe considerar que el email es el medio que más utilizan los phishers para realizar este ciberataque en un 91% de los casos según un análisis de PhishMe.
Para ejemplificar, pudiera suceder que un gerente reciba un correo para restablecer su contraseña de ingreso a la plataforma empresarial.
Esto parece un procedimiento normal ya que anteriormente ha recibido notificaciones similares. No obstante, cuando el gerente acceda a este link para realizar dicha acción, está proporcionando información actualizada que pone en peligro la integridad de la compañía.
Por ello, es necesario analizar debidamente para no caer en las trampas cibernéticas que pueden perjudicar gravemente al negocio y hasta obstaculizar el futuro de este.
Este tipo de ataque se puede prevenir al implementar las siguientes acciones de ciberseguridad empresarial.
Es esencial capacitar a los empleados, sobre todo aquellos que tengan dispongan de accesos a información confidencial, en temas de seguridad cibernética. Con esto se ayudará a que puedan identificar posibles amenazas informáticas y correos sospechosos.
Utilizar una red privada para la empresa es fundamental ya que disminuye la probabilidad de tener una infiltración externa. Para ello, se debe exigir a los empleados el uso de la VPN en todos los dispositivos del trabajo, desde laptops hasta celulares.
Para combatir de una manera óptima el phishing se debe considerar la implementación de un software de ciberseguridad empresarial. Estos sistemas están enfocados en analizar el nivel de protección de la red y alertar eventos críticos como el hacking.
Los puntos vulnerables o débiles son los que buscan los hackers. Por eso, es requerido instalar las actualizaciones necesarias de software ya que permite a los sistemas resolver estas "fallas" y mejorar la seguridad del equipo.
En el caso de ingreso a plataformas confidenciales como las del área contable, se deben emplear otros recursos de acceso a parte de contraseñas. Por ejemplo, huellas digitales, reconocimiento facial o, preguntas personales como cuál fue el primer celular que adquirió, entre otros.
En esta era digital, el acceso a la privacidad y el robo de información son factores que cada vez amenazan más los estados financieros de los negocios. De hecho, la Condusef ha reportado que las reclamaciones por ciberataques han tenido un crecimiento del 89%, lo cual asciende a más de 3.3 millones de pesos en pérdidas empresariales.
No importa si se es un start-up o una empresa trasnacional, todos están expuestos a estos peligros, en donde el objetivo es captar la atención del receptor para robar.