Lecciones que aprender de las crisis de seguridad de 2016

El descenso en la creación de muestras de nuevo malware y la profesionalización de los ataques en la red marcan las pautas en ciberseguridad el próximo año, según las Predicciones de Ciberseguridad de PandaLabs. El laboratorio anti- malware de Panda Security augura que el Ransomware abarcará la mayoría de nuevos ataques y las empresas recobirán un mayor número de intromisiones cada vez más avanzadas.

2016 fue un año complicado en términos de seguridad informática; desde gigantes del mundo de la tecnología hasta pequeñas empresas se vieron afectadas por ataques muy sofisticados en donde el robo de información corporativa o comercial para obtener beneficios económicos a través de la ciber-extorsión o su venta en la llamada “Internet Profunda” fue la constante, así lo afirma Roxana Hernández, gerente general de Panda Security Venezuela.

Sin duda, uno de los ataques más comentado fue el reconocimiento por parte de Yahoo de la mayor fuga de información de la historia. En septiembre, el gigante de internet admitió el robo de al menos 500 millones de correos electrónicos, contraseñas, nombres de usuario, fechas de nacimiento, números de teléfono y, en algunos casos, preguntas de seguridad con sus correspondientes respuestas. Poco después, ya en diciembre, la compañía anunció que hasta 1.000 millones de cuentas se podrían haber visto comprometidas en otra filtración.

Lamentablemente, no fue la única gran crisis de seguridad de 2016 en empresas de tecnología. Los datos personales de los empleados de Snapchat (nombres, números de la Seguridad Social, salarios…) cayeron en malas manos a causa del engaño conocido como ‘whaling’. Los ciberdelincuentes se hicieron pasar por Evan Spiegel, CEO de la compañía, para conseguir dichos datos por la vía de la suplantación de identidad.

Otros ataques registrados en empresas del sector fueron el robo de las credenciales de 117 millones de usuarios de LinkedIn, 68 millones de usuarios de Dropbox o 1,5 millones de clientes de Verizon que también terminaron en manos de ciberdelincuentes o a la venta en la internet oscura.

La principal recomendación de empresas de seguridad informática para resguardar la información corporativa y personal es la prevención, Roxana Hernández, sugiere trabajar en dos vías: la instalación de soluciones de ciberseguridad avanzada como Adaptive Defense diseñadas para identificar y neutralizar ciberataques silenciosos capaces de robar y manipular información desde dentro de las redes corporativas; y, adicionalmente educar e informar constantemente a sus empleados sobre las técnicas y métodos utilizados por los ciber-delincuentes para atacar a empresas y personas, apoyándose en las recomendaciones de expertos, en el caso de Panda Security, constantemente publicamos reseñas y consejos de seguridad en nuestras redes sociales: https://www.facebook.com/pages/PandaSecurityVE ; http://twitter.com/pandasecurityve

En el caso específico de los ataques de robo de información registrados en 2016, el equipo de soporte técnico de Panda Security, rescata una serie de lecciones aprendidas que compartimos:

1- Ninguna contraseña se libra

Tras tal cantidad de fugas de información, lo más probable es que cualquier contraseña que se lleve utilizando unos años esté comprometida. No hay servicios mucho más seguros que otros ni uno del que nos podamos confiar ciegamente. Así las cosas, lo más sensato es cambiar todas las contraseñas que lleven en uso cierto tiempo, y hacerlo por una diferente en cada servicio. El mayor peligro es la reutilización de claves.

2- Las preguntas de seguridad son parte del problema

Nada más conocerse su fuga de información, Yahoo deshabilitó las preguntas de seguridad del tipo “¿cuándo es el cumpleaños de tu madre?” o “¿de qué color era tu primer coche?”. Ya no se trata solo de que las respuestas se puedan averiguar investigando los perfiles en redes sociales de las potenciales víctimas, sino de que muchas, directamente, han sido robadas. A diferencia de las contraseñas, datos como estos no pueden cambiarse. De sustituirse por otros falsos, sería para el usuario como recordar dos claves diferentes, con el riesgo de olvido y recuperación que eso entraña, con lo que resulta peor el remedio que la enfermedad.

3- Elimina los correos de registro

Como demuestran las crisis de seguridad mencionadas, los ciberdelincuentes cada vez otorgan más valor a los emails y contraseñas de los internautas. No es de extrañar, pues pueden ser la puerta de entrada a otras muchas cosas. Si roban tu clave de un servicio y utilizas la misma para tu gestor de correo electrónico, los intrusos tendrán acceso a cualquier correo de recuperación que decidan enviar desde cualquier página. Además, para localizar en qué sitios te has dado de alta con las mismas credenciales, pueden buscar todos los mensajes de registro que hayas recibido en los últimos tiempos. Para evitar que esto pase, es fundamental borrar este tipo de correo, al momento de recibirlos.

4- Torres más altas han caído

Si gestionas una empresa, por pequeña que sea, no debes caer en el error de pensar que no eres una posible víctima del robo de información. No solo los ataques a pymes van en aumento, pues a menudo resultan más sencillos y “rentables” para los ciberdelincuentes, sino que además las consecuencias son mucho más graves. El riesgo de que una crisis de seguridad acabe con una compañía es mayor cuanto menores son sus dimensiones.

5- Sé franco, informa rápido

Si su empresa resulta ser víctima de un ciber-ataque que implique el robo de información o datos personales de sus clientes, notificar la situación a sus clientes o usuarios no es algo que se pueda tomar a la ligera. Lo más recomendable es avisar lo antes posible, con el mayor nivel de detalle que se pueda y sin minimizar el potencial riesgo. Ocultar o maquillar la verdad solo empeora las cosas. En primer lugar, los afectados no podrán cambiar sus contraseñas tan rápido como deberían (o pensarán que no es tan importante). En segundo, el daño a su credibilidad será mayor cuanto más tiempo transcurra entre la fuga y el anuncio.

Deja un comentario