Ciberriesgo creciente, mayor responsabilidad

Nota del editor: la pandemia global de COVID-19 ha instado a las empresas de todo el mundo a centrar su atención en brindar salud y seguridad a sus empleados y preparar a sus organizaciones para un período de interrupción. Además de nuestros artículos regulares que examinan los problemas a largo plazo y las tendencias que afectan a las organizaciones, The One Brief también brindará a nuestros lectores información sobre la situación actual.                   

VISIÓN GENERAL 

El cierre de escuelas y oficinas para hacer cumplir el distanciamiento social durante la pandemia de coronavirus (COVID-19) es un paso importante a la hora de abordar el riesgo para la salud pública. Pero, a medida que los estudiantes y los trabajadores se mudaron en línea, y aproximadamente la mitad de la fuerza laboral lo ha hecho, según una encuesta reciente del MIT, el movimiento ha aumentado otro riesgo: la seguridad cibernética.

Los ciberdelincuentes reconocieron rápidamente las oportunidades que la pandemia, y la respuesta a ella, les brindó. A medida que aumentó el volumen de correos electrónicos de empleadores, gobiernos y agencias de salud relacionados con el brote, también aumentó el número de correos electrónicos de “phishing” disfrazados de mensajes legítimos relacionados con COVID-19. Más de un tercio de los ejecutivos que respondieron a una reciente encuesta instantánea dijeron que sentían que su exposición al riesgo cibernético había aumentado a medida que más empleados trabajan desde casa.

Abordar los riesgos cibernéticos provocados por el nuevo auge del trabajo remoto significa atenerse estrechamente a los fundamentos de la seguridad cibernética: evaluar e identificar las exposiciones y tomar medidas para abordarlas, incluida la capacitación periódica en seguridad cibernética para la fuerza laboral remota.

“El cambio actual al trabajo remoto es un cambio de juego”, dice John Ansbach, vicepresidente de gestión de compromiso en Aon Cyber Solutions. “Los empleados de todas las funciones deben estar atentos. Y los equipos de TI tienen que estar extraordinariamente enfocados en apoyar a su nueva fuerza de trabajo remoto de una manera que impulse el negocio de manera segura.”

EN PROFUNDIDAD

A principios de marzo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA por sus siglas en inglés) emitió un aviso de alerta advirtiendo sobre estafas cibernéticas relacionadas con COVID-19 e incitó a las personas a estar atentas. Más adelante en el mes, cuando más trabajadores comenzaron a laborar de forma remota, CISA emitió otra alerta pidiendo a las organizaciones que adoptaran un mayor estado de seguridad cibernética.

Los riesgos pueden aumentar con el tiempo. Algunos ciberdelincuentes sofisticados pueden esperar para evaluar el entorno y planificar los ataques antes de hacerlos. Mientras tanto, los equipos de TI que tienen una sobrecarga de trabajo con la fuerza laboral recientemente remota, o que están agotados por los efectos del COVID-19, también pueden aumentar la vulnerabilidad de las organizaciones.

Para agravar el riesgo: aunque las redes privadas virtuales (VPN, por sus siglas en inglés) son la mejor práctica desde hace mucho tiempo para la seguridad cibernética, las VPN de muchas organizaciones pueden carecer de la capacidad necesaria con el aumento en el número de trabajadores remotos.

Los ciberdelincuentes capitalizan el miedo y la confusión

“El período actual de complejidad y volatilidad ofrece una oportunidad perfecta para los ciberdelincuentes”, menciona Sergio Torres, líder de la práctica de cyber para Aon América Latina.

Hay tres razones principales que permiten que los delincuentes cibernéticos se aprovechen de la situación actual, dice Daniel Spicer, director de análisis forense digital y respuesta a incidentes, Aon Cyber Solutions. “Primero, hay un sentido de urgencia incorporado que ayuda a generar una reacción que de otra manera alguien no podría tener. Segundo, la gente espera recibir correos electrónicos relacionados al tema. Y finalmente, existen materiales legítimos que los ciberdelincuentes pueden modificar y usar para ataques, con un menor riesgo de cometer errores gramaticales y ortográficos que de otra manera podrían alertar a los destinatarios “.

El creciente número de ataques cibernéticos está tomando diversas formas. Entre ellos:

• Phishing: los ciberdelincuentes envían correos electrónicos que se asemejan a avisos legítimos relacionados con el COVID-19 en ataques de phishing dirigidos a personas ansiosas que esperan esos mensajes. Los ataques tienen como objetivo hacer que los lectores hagan clic en enlaces falsos que prometen orientación sobre el coronavirus.
• Watering hole attacks (Ataque de abrevadores): Los delincuentes intentan atraer a las personas a sitios web infectados que parecen ser fuentes legítimas de información sobre COVID-19.

“Estamos viendo un gran aumento en la cantidad de dominios que están registrados con ‘COVID-19’ o ‘coronavirus’ en ellos, aunque algunos son legítimos”, dice Spicer. “El resto se está utilizando para suplantación de identidad (pishing) o para poner en marcha sitios de actualización rápida o mapas de seguimiento que pueden implementar malware “.

Así, algunos sitios infectados son en realidad sitios legítimos que se construyeron apresuradamente y desde entonces han sido pirateados por ciberdelincuentes para implementar malware.

Los delincuentes cibernéticos en Latinoamérica especialmente en Puerto Rico, Guatemala y México también han estado explotando los temores de las crisis de salud y económicas para perpetrar estafas de phishing destinadas a recopilar información confidencial que les permite cometer fraude de seguros y de identidad.

Los correos electrónicos atraen a las personas con promesas de dinero de estímulo del gobierno, o pruebas y vacunas COVID-19, pero al final, los enlaces llevan a páginas que solicitan información personal o introducen malware.

Incrementar la seguridad cibernética como parte de la respuesta a la crisis

Los expertos en seguridad cibernética dicen que las organizaciones deberían tomar una serie de pasos para reforzar sus defensas en línea en el entorno actual:

• Destacar las fuentes de información confiables Guíe a los empleados hacia fuentes legítimas internas y externas de información COVID-19.
• Advertir sobre las últimas técnicas de phishing emitir advertencias sobre la amenaza de las últimas estrategias de phishing y ciberdelincuentes de COVID-19.

“Los individuos son una primera línea de defensa crítica contra los ataques”, dice Andrew Mahony, jefe de Aon Cyber Solutions en Asia. “Una vez que ocurre la suplantación de identidad (phishing) y se han comprometido los sistemas, se convierte en un problema de toda la empresa. Debemos ser demasiado cuidadosos aquí: aliente a los empleados a tomar una captura de pantalla de cualquier correo electrónico sospechoso y enviárselo a TI.”

• Controles más estrictos Asegúrese de que la organización tenga los controles de seguridad adecuados y que los empleados no realicen nada extraoficial aprovechando las herramientas de acceso remoto no autorizadas. Valide y pruebe controles técnicos in situ. Evalúe y revise los planes de recuperación ante desastres existentes para considerar la nueva fuerza de trabajo remoto. Verifique la capacidad de las herramientas de acceso remoto que se han aprovisionado.

“En América Latina existe una brecha muy grande entre las empresas más grandes y las demás organizaciones, ya que usualmente las medianas y pequeñas compañías, independientemente de la industria a la que pertenezcan, suelen contar con un nivel de capacitación y sensibilización menor entre sus empleados, lo cual los hace más vulnerables.” menciona Torres.

Agregando que “Al final del día, en Latinoamérica un 90% de los ataques recae entre esas medianas y pequeñas empresas donde los presupuestos son muy acotados, y por lo tanto los entrenamientos relacionados con ciberseguridad”.

• Implementar protocolos temporales de transferencia bancaria Los controles diseñados para proteger a una organización de una pérdida financiera, probablemente robusta y bien probada, seguramente se implementaron durante tiempos más estables y contemplaron un modelo operativo diferente. Es posible que estos controles no sean tan efectivos en el clima actual. Las organizaciones deberían revisar estos controles para ayudar a garantizar que no solo estén diseñados de manera adecuada, sino que también funcionen de manera efectiva.
• Trate su VPN como un VIP Asegúrese que los empleados usen solo soluciones VPN autorizadas y emitidas por la compañía, que se actualizan regularmente; las VPN con autenticación multifactorial (MFA por sus siglas en inglés) provee mayor seguridad. La prueba de penetración de su solución VPN después del despliegue masivo también es una buena práctica.
• Prepárese para problemas con las contraseñas Asegúrese de que el personal de soporte de TI esté listo para manejar y examinar adecuadamente las consultas de contraseña. Es probable que aumenten los volúmenes de llamadas a la mesa de ayuda, tanto de los empleados como de los estafadores.
• Definir un buen BYOD Las organizaciones que usan el modelo de “Traer su propio dispositivo” (BYOD por sus siglas en inglés) deben asegurarse que los estándares BYOD sean apropiados, y comunicarlos a la fuerza laboral.

“Las organizaciones asegurarse que los empleados de BYOD sigan los mismos protocolos de seguridad y actualizaciones periódicas obligatorias para los dispositivos y sistemas controlados por la compañía ”, dice Mahony. “Y ya sea que estén usando sus propios dispositivos o los de la compañía, los empleados deberían trabajar desde redes privadas seguras, no desde redes públicas.”

• Respuestas prácticas ejecute simulaciones teóricas de amenazas cibernéticas durante este tiempo de confinamiento para prepararse para abordar cualquier ataque o interrupción.
• Asegure a los ejecutivos clave Los datos públicamente disponibles sobre su equipo de liderazgo aumentan la posibilidad de ataques dirigidos. Establezca controles adicionales y busque activamente amenazas en las redes de la empresa y del hogar.
• Vigile sus sistemas  Realice búsquedas de amenazas cibernéticas y pruebas de penetración de red para identificar indicios de peligros después de la implementación remota de la fuerza laboral, especialmente aquella que implica en el uso de  dispositivos finales personales.
• Revise su cartera de mitigación Considere cómo agentes externos a su organización podrían ayudarlo a reducir su vulnerabilidad.

Seguridad Cibernética: Una Parte Vital De La Respuesta Pandémica De Las Organizaciones

Aunque las organizaciones tienen que lidiar con los otros aspectos de COVID-19, es esencial atender el riesgo cibernético. Las organizaciones que buscan comprender el mayor riesgo y tomar medidas para abordarlo, tendrán más posibilidades de navegar con éxito el entorno desafiante.

“No tiene precedentes lo que estamos viendo en este momento”, dice Mahony. “Es un desarrollo mayormente positivo, ver que los negocios como de costumbre, o casi como siempre, pueden continuar en tiempos de crisis. Pero esto significa que ahora más que nunca, debemos mantenernos ágiles ante los nuevos riesgos de seguridad cibernética, establecer expectativas claras para la mitigación y comunicarnos y educar a los empleados en todos los niveles “.

Aviso legal

Este documento es un recurso informativo para clientes y socios comerciales de Aon. Su objetivo es proporcionar orientación general sobre posibles exposiciones, no debe ser tomado como asesoramiento médico o para abordar inquietudes médicas o circunstancias de riesgo específicas. Debido a la naturaleza dinámica de las enfermedades infecciosas, Aon no se hace responsable de la orientación proporcionada. Recomendamos especialmente a los visitantes que busquen información adicional de seguridad, médica y epidemiológica de fuentes confiables como los Centros para el Control y la Prevención de Enfermedades y la Organización Mundial de la Salud. Con respecto a las preguntas sobre la cobertura de seguro, si la cobertura se aplica o si una póliza responderá a cualquier riesgo o circunstancia, la respuesta está sujeta a los términos y condiciones específicos de las pólizas y contratos en cuestión y a las determinaciones del asegurador.