En la actualidad est existiendo una mayor acogida a securizar los sistemas informticos de las empresas e instituciones pblicas, sobre todo despus de la gran noticia del ransomware de Wannacry en mayo de 2017. Sin embargo, esta acogida no es total, y muchas empresas y gente de a pie sigue reticente a ello y se hace la misma pregunta: A m quin me va a atacar?.

Desde que Wannacry se hizo pblico, en mayo del 2017, las empresas empezaron a ser ms conscientes de la necesidad de la implantacin de un sistema seguro en sus equipos y servicios pero, sin embargo, todava hay muchas instituciones que no han implantado este tipo de sistemas y que, si lo han hecho, no han instaurado unas correctas polticas de seguridad.

Por qu no se toman medidas?


Hay varias razones por las que las empresas y las personas de a pie no toman las suficientes medidas al respecto, pero la mayora de ellas se resumen en una sola palabra: desinformacin.

Los medios de noticias, en su mayora, exponen ataques realizados contra grandes empresas o instituciones ya que estas noticias van a tener un gran impacto y, adems, una empresa pequea es ms complicado que se exponga pblicamente. Adems, la informacin mostrada en los medios de noticias va a estar sesgada por lo que le cuente la empresa.

Una gran empresa, por ejemplo, va a contar a un entrevistador que est lidiando con un nuevo ransomware, con un virus malicioso, o que han conseguido filtrar sus datos. Sin embargo, normalmente no va a contar el cmo ha ocurrido o cul ha sido el vector de entrada del atacante, excepto a una autoridad de ciberseguridad (NIST, CSIRT, Kaspersky, etc.).

Phishing y vishing


Adems es posible que, debido al tipo de noticias sobre ataques que aparecen en los medios de comunicacin, cuando pensemos en un ataque pensemos en malware, ransomware, virus Pero sin embargo, no solemos pensar en ataques de phishing o de vishing, propios de ingeniera social.

Un phishing es el delito de engaar a alguien para que nos compartan informacin confidencial como contraseas o tarjetas de crdito a travs de un enlace enviado a travs de un correo o un SMS, hacindose pasar por una entidad que no es.

El vishing tambin consiste en engaar al usuario para que comparta informacin pero a travs de una llamada de correo, no necesitando conocimientos informticos para realizar este ciberataque.

Este tipo de ataques son muy comunes actualmente, adems de que conforman un gran vector de entrada al sistema y con un poco de concienciacin es posible mitigarlo.

Qu problemas conlleva?


Esto provoca dos grandes problemas:

  • Si los ataques mostrados solamente son aquellos ocurridos a grandes empresas o instituciones, las personas piensan que, si no entran dentro de estos miembros, no les van a atacar. Por tanto, las PYMES y personas de a pie no se van a preocupar por securizar sus sistemas.
  • Si, adems, en estas noticias no incluyen los vectores de entrada de los atacantes, es muy probable que no se tengan en cuenta en aquellos sistemas que se quieran securizar. Por ejemplo, un elemento fundamental a la hora de dar seguridad un sistema es la concienciacin, ya que un malware puede entrar a travs de un phishing o los datos pueden haber sido sustrados a travs de un simple vishing.


Y por qu las pequeas empresas no informan de los ataques recibidos pblicamente?


Cuando se produce un ataque a una empresa pequea, pueden ocurrir dos cosas principalmente:

  • Si el ataque no es potente y sobreviven al mismo, ellos mismos no van a exponerse en los medios pblicos, porque estaran exponiendo que sus sistemas no son seguros. Una gran empresa tiene su pblico ya afianzado, pero una PYME no, por lo que perdera oportunidades de mercado y, por tanto, podra ir a la quiebra fcilmente.
  • Si el ataque es potente y la empresa no sobrevive al mismo, son los responsables de seguridad los que perderan dichas oportunidades de mercado y, posiblemente, las posibilidades de trabajar en el sector de nuevo.


Por todo esto, la desinformacin que existe sobre este tema es tan grande. Sin embargo, existen elementos, como los revisados en este artculo, que nos permiten comprobar que, efectivamente, PYMES y particulares somos tambin atacados.

Y entonces, qu nos muestran al respecto?


Fuera de los mtodos de noticias convencionales, existen pginas web y elementos que nos muestran este tipo de informacin de una forma ms detallada, como por ejemplo los anlisis de IBM o Kaspersky. Adems, tambin os podis mantener al tanto de la actualidad en dicho tema en el presente blog de Una al Da.

Estas pginas nos muestran las ltimas vulnerabilidades encontradas en los sistemas informticos, as como estadsticas de los ataques ms comunes y dnde se han realizado dichos ataques. Por ejemplo, aqu Kaspersky nos muestra estadsticas de las ciberamenazas financieras en 2021.

En dichas estadsticas podemos contemplar cmo se realizaron bastantes campaas de phishing (un 8.2%), siendo mayormente phishing destinado a comercio electrnico. Adems, estos ataques eran mayormente destinados a pasarelas de pago como Paypal o Mastercard, que son mtodos de pago muy utilizados por la poblacin en general.

Tambin nos muestra las plataformas por las que ms se hacen pasar los atacantes, como son Apple, Amazon, eBay o Alibaba, pginas web donde solemos comprar un gran nmero de artculos a todas horas y que, si nos atacan, debemos estar preparados para que no nos roben la cartera.

Conclusin


Hoy en da mucha gente no se preocupa en exceso de darle proteccin a sus datos en la red o de proporcionar un servicio totalmente seguro. Estos piensan, debido a los medios de comunicacin, que a ellos no les va a pasar nada y no tienen en mente que precisamente son los ms fcilmente atacables.

Si una persona es capaz de robarte en la vida real sin ser de una gran empresa, por qu no sera capaz de robarte en Internet? Y, si pones alarmas, perros guardianes y sistemas de vigilancia en la puerta de tu casa, por qu no las vas a poner en tus sistemas virtuales?

O ms simple an: si cierras la puerta de tu casa con llave cada vez que sales a pesar de no trabajar en una multinacional, por qu no hacerlo en la web?

Fuentes