Es posible que haya visto en algunas noticias o reportes la mención de “grupos APT” (Grupo de Amenazas Persistentes Avanzadas); los cuales se dedican a realizar un ciberataque planificado, elaborado y prolongado en el que logran acceder a los sistemas de una organización eludiendo sus medidas de ciberseguridad y buscando obtener información valiosa o realizar movimientos de dinero si es que el objetivo lo permite.
Estos ciberataques normalmente toman muchos meses y se enfocan principalmente en organizaciones de alto valor como grandes corporaciones o entidades gubernamentales. También hemos visto este tipo de ataques a organizaciones consideradas dentro de las infraestructuras críticas del país que también caen en estas categorías.
Sin embargo, existen grupos que simplemente buscan oportunidades: compran bases de datos de usuarios con contraseñas esperando tener suerte y que alguien dentro de la organización siga usando la misma contraseña para que, de forma automatizada, logren entrar al correo electrónico y obtener algo que les sirva para realizar otro ataque, como el BEC (Compromiso de Correo Electrónico Corporativo). En este caso, un grupo obtiene acceso al correo electrónico, se da cuenta de que es de alguien de cuentas por pagar y después lo revende a un segundo grupo que, por medio de ingeniería social (engaños), cambia las cuentas de depósito de uno de los proveedores de esta organización de donde se pudo obtener el correo para recibir el dinero de pago en una cuenta tercera.
La mayoría de las empresas de ciberseguridad lanzan reportes con escenarios catastróficos donde un nuevo actor de amenaza (APT) está vulnerando ciertas organizaciones; pero la realidad es que es poco probable que su organización pueda ser víctima de este tipo de ciberataques.
¿Ya nos tienes en Facebook? Danos like y recibe la mejor información
¿Le preocupa recibir un ciberataque por estos grupos? No lo esté. No todas las organizaciones se verán afectadas por ellos. Es cierto que la amenaza es real pero los grupos de amenazas avanzadas no atacarán a cualquiera, son selectivos.
Pero muchas organizaciones, principalmente las PYMES no alcanzan a identificar que hay otras formas en que se pueden ver afectadas:
De forma indirecta: si un tercero es vulnerado y afecta a la empresa; por ejemplo, un proveedor crítico que se vea afectado y que la organización no pueda operar por ello. Un segundo proveedor o limitar el acceso permitiría, dependiendo del proceso, considerar los riesgos a los que se enfrentarían.
Por falta de controles: en muchos casos ya no es necesario ser alguien muy versado en cómo ejecutar un ciberataque, sino tener las herramientas para lograr crear una campaña de phishing creíble para que uno de los empleados caiga y obtengan sus credenciales de acceso. Si no se cuenta con una doble autenticación, es muy probable que alguien acceda al correo electrónico o sistema de la organización.
Por procesos tecnológicos no auditados: un empleado que lograba hace años hacerse del reparto de utilidades endosando cheques, ahora lo hace cambiando las cuentas destino de la dispersión de ese mismo reparto de utilidades por medio de un archivo de texto. No fue un hacker, no fue un ciberdelincuente; fue alguien que sabiendo que nadie revisaría eso, obtiene un beneficio económico inmediato. Las cuentas al final del día cuadraban. Un control técnico permitiría evitar este tipo de situaciones y sí, esto cae en ciberseguridad.
Por error humano: ¿Cuántas veces no hemos escuchado que el contador de la organización dio clic a una liga que llegó de correo electrónico o accedió a una página del banco desde un correo electrónico? Sabemos que puede ser un phishing, pero aun así el usuario puede caer. Ni hablar del caso del BEC que se comentaba, donde si se tiene un proceso definido para el cambio de cuentas con validaciones no permitirá que alguien logre este tipo de estafa.
No todos los ciberataques son como en las películas; tampoco quienes reaccionamos ante incidentes o hacemos investigaciones somos capaces de resolver una crisis en menos de 30 minutos que dura un capítulo, pero tampoco todos van a ser atacados de la forma en que vemos los ciberataques de APT.
No deje que el miedo a ciberataques publicados lo paralice, concéntrese en implementar controles sólidos y educar a sus colaboradores sobre las mejores prácticas.
Recuerde, la ciberseguridad es un asunto serio que requiere atención y acción. No deje que el miedo se apodere de usted, en su lugar, tome las medidas necesarias para proteger su negocio de la amenaza real. Ya hay muchas organizaciones que han elevado su madurez en ciberseguridad.
Por esto, es falso que todas las organizaciones recibirán un ciberataque tarde o temprano, ya que muchas ya están haciendo lo que se debe para evitarlo. ¿Está su organización en ese grupo?
Contacto:
Correo: [email protected]
Twitter: @cibercrimen
Faceboook: https://www.facebook.com/avelazquez.csi
Linkedin: https://www.linkedin.com/in/andresvelazquez/
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
