El 2022 fue un año retador para todas las empresas, sin importar su tamaño, actividad económica e incluso nivel de presupuesto para ciberseguridad. Los ataques de Ingeniería Social, Ransomware y ZeroDays fueron los principales responsables del dolor de cabeza de muchos departamentos de IT e incluso la clausura de muchas compañías que no contaban con el músculo económico ni la estrategia correcta para hacer frente a esta crisis.
Eso solo pasa en las Grandes Empresas
Sin embargo, aún escuchamos a pequeñas y medianas empresas decir, «Eso solo les pasa a grandes empresas, acaso has escuchado alguna pyme decir que fue atacada».
Pensemos un minuto, una pequeña o mediana empresa, que cuenta con unos 200 clientes, que le permite recibir ganancias considerables para su tamaño, pagar facturas, y brindar empleos. Conociendo el impacto negativo a su imagen, en verdad creen que saldrán en la prensa diciendo «Fuimos Hackeados», eso NO va a suceder, en muchos casos cuando son víctimas de algún ciberdelincuente, prefieren mantener silencio y ver cómo pueden resolver por su propio medio, incluso pagando cuando son extorsionados por Ransomware. Lo que ayuda que la industria del Ransomware as a Service se mantenga en el juego.
Ransomware as a Service
Aún muchos se sorprenden cuando escuchan «RaaS» o «Ransomware as a Service», lo ven como una broma, sin embargo, los cibercriminales, se encuentran a la vanguardia con la tecnología y conocen perfectamente los distintos modelos de negocios tanto actuales como los emergentes.
RaaS es un modelo de negocio basado en subscripciones adquiridas por afiliados que se encargan de distribuir el malware previamente desarrollado por el Operador, y reciben una comisión por cada víctima que pague el rescate de su información, de esa forma llegan a más países, más víctimas, con menor esfuerzo y menor posibilidad de ser atrapados y utilizando múltiples técnicas.
Tal como se muestra en la imagen anterior, hay toda una infraestructura detrás de este servicio, muy bien financiado por el crimen organizado en muchos casos y en otros casos son solo un grupo de delincuentes emprendedores.
Ahora no perdamos el foco del Afiliado número 3, razón por la que redactamos este artículo, los «Script Kiddies», personas con escasos conocimientos en informática, los cuales se convierten en expertos ejecutando herramientas sin el mínimo conocimiento del funcionamiento de la misma. Estos son los actores más peligrosos, ya que no miden riesgos de ningún tipo, no tienen remordimiento alguno, ya que, para ellos, esto es un simple juego y al no tener ningún conocimiento relevante, buscan los llamados «Mangos bajitos» o «Low Hanging Fruit», y ¿quiénes son esos?.
Low Hanging Fruit El Objetivo Ideal de los Script Kiddies
Low Hanging Fruit, se les conoce como aquellos objetivos, fáciles de obtener, dentro de los cuales destacan, personas u organizaciones con poco o ninguna conciencia en ciberseguridad, y principalmente los famosos «¿Quién me va a atacar a mí?», y claramente en esta clasificación entran las PYMES.
¿Por qué las PYMES son el PlayGround del Cibercrimen?
Para qué complicarse la vida, si puede ser más fácil y con poco esfuerzo.
En lugar de atacar una gran compañía y pedir un rescate de 250,000 dólares o más (que probablemente no pague), los ciberdelincuentes prefieren atacar a 500 compañías fáciles y cobrarle 5000 dólares a cada una, a sabiendas que estas preferirán pagarlos antes que ir a la quiebra. De esta manera, el cibercriminal recibe 2.5 millones de dólares. Multipliquemos esto por cada afiliado y verán por qué es un negocio tan lucrativo y una guerra difícil de combatir para quienes no tienen conciencia de ciberseguridad y/o creen que necesitan recursos infinitos para protegerse.
¿Por qué es tan sencillo?
- Poca o ninguna conciencia en temas de ciberseguridad (No todos).
- Reducido personal de TI, con formación inadecuada (Todólogos).
- Reducido presupuesto para TI.
- Controles de seguridad inexistentes o inadecuados a su escenario. (Antivirus caseros, computadoras sin actualización, entre otros).
Soy Consciente de los Riesgos, pero las Soluciones son Demasiado costosas
Esto no es para nada cierto, muchas veces pequeños cambios en nuestra cultura pueden generar un gran impacto en la seguridad de la organización.
El problema radica en que, al buscar ayuda de empresas de seguridad se enfocan en grandes y reconocidas consultoras que, aunque cuentan con excelentes productos y servicios, estos tienen costos demasiado elevados para las empresas pequeñas, generando de inmediato un rechazo y asumen que no hay alternativas que se adapten a su realidad y necesidad.
Lógicamente la inversión en controles de ciberseguridad debe ser proporcional al valor de la información a proteger, y el costo que representa recuperarse en caso de pérdida de esta información. Recordándoles que el costo no es solo en dinero a pagarle a un consultor, sino en tiempo e impacto en la imagen corporativa.
¿Qué Puedo Hacer Entonces?
Les obsequiamos la frase «Pequeñas acciones, generan grandes cambios».
- Busque asesoría de consultores que puedan orientarlo y ayudarlo a identificar su necesidad real y encaminarlo por el camino correcto, (LinkedIn, es un buen lugar para buscarlos, o en comunidades de Seguridad como la Comunidad Dojo).
- Defina sus procesos de negocio.
- Defina políticas de seguridad para la protección de su información que vaya alineada a los objetivos del negocio y permitan la ejecución de los procesos y operación de la organización.
- Utilice software o programas originales, muchas veces los analistas de soporte, sin formación adecuada, les ofrecen instalarle programas piratas, según ellos «Gratuitos» o «Más Baratos», para ahorrarse unos dólares, generándole mayores gastos a futuro.
- Verifique que todos sus sistemas estén actualizados, (Todo lo que esté conectado a su red).
- Tenga un inventario actualizado y automatizado de software y hardware de todos sus dispositivos.
- Proteja su computadora con frases que sea fácil para usted y difícil para otros («Me encanta salir los domingos con mi esposa.»).
- Jamás deje su computadora desbloqueada, (Por más confianza que tenga en su equipo, la mayor amenaza puede estar dentro). Ni comparta su usuario y contraseña con NADIE.
- Use bóvedas para almacenar sus contraseñas, en lo personal me gusta KeePass.
- Clasifique su información por nivel de importancia y confidencialidad y protéjase de fugas de información.
- Haga respaldo de su información en unidades externas, y por lo menos en más de un sitio (Discos externos + Cloud), cifre su información antes de subirla o almacenarla en otro sitio.
- Haga uso de firewalls y solo abra los puertos que sean necesarios para operar.
- Use soluciones de seguridad empresariales, no caseras, existen muchas de bajo costo como «Kaspersky Cloud Security» para pequeñas y medianas empresas, con una consola centralizada de administración y reporte online.
- Tenga cuidado con correos sospechosos, que contengan Links o archivos adjuntos que no esperaba. Contacte al remitente para verificar la información.
Algunas Soluciones y Servicios para Pymes
- Wazuh
- PfSense Firewall
- Kaspersky Endpoint Security Cloud
- AssetExplorer (Para inventarios)
- Servicio Gestionado de Seguridad de Redes (Protegemos su red, usted se enfoca en su negocio)
- Safetica (Protección de fuga de datos)
- Infection Monkey (Simulador de ataques)
Conclusiones
- La ciberseguridad es un tema de todos, no importa si eres micro, pequeña, mediana o una gran empresa, todos pueden ser la próxima víctima.
- Pequeños cambios en nuestra mentalidad y algunos controles básicos pueden ayudarnos a reducir el riesgo.
- Usa software original y mantenlo actualizado siempre.
- Busca asesoría de profesionales, que su vecino o amigo instale programas, no significa que sea un técnico calificado.
- Siempre respalda tu información en entornos externos a tu empresa, eso hará la diferencia entre una empresa víctima de Ransomware que se fue a la quiebra y otra que no.