Pruebe sus conocimientos básicos de ciberseguridad
¿Cuánto sabe sobre ciberseguridad? Pruebe sus conocimientos con un breve cuestionario sobre fundamentos de seguridad en línea.
A la hora de proteger los datos empresariales, puede haber errores. ¡Nadie es perfecto! No obstante, el riesgo de error humano se multiplica cuando no se tiene una comprensión básica de la ciberseguridad. En el siguiente cuestionario de 10 preguntas, invitamos a los empleados a probar sus conocimientos básicos sobre ciberseguridad.
Los resultados y el artículo siguiente proporcionan un recurso de formación para que tanto el personal como los gerentes aprendan más sobre protección en línea. Le recomendamos que marque esta página como favorito y vaya revisando la información a su propio ritmo.
Realizar el cuestionario sobre ciberseguridad
Ciberseguridad en la empresa: lo que necesita saber
Cada miembro del personal, cada archivo compartido y cada dispositivo suponen un riesgo potencial para su empresa. Los responsables empresariales que no convierten la ciberprotección en una prioridad aumentan la probabilidad de sufrir un ataque malicioso o perder datos debido a una mala administración.
Entonces, ¿qué deben saber gerentes y empleados sobre ciberseguridad?
El cuestionario anterior plantea algunas preguntas básicas sobre ciberseguridad, pero hay mucho más que saber y aprender. A continuación explicamos algunos ataques comunes a los que se enfrentan las empresas, así como los retos que los responsables deben superar para proteger sus activos digitales.
Tipos comunes de ataque
A medida que evolucionan las soluciones de ciberseguridad, también lo hacen los tipos de ataque que amenazan a las empresas. Conocer cuáles son los ataques más comunes y cómo funcionan puede ayudarle a mantenerse vigilante e integrar la protección de datos en las políticas y la cultura de su empresa.
Estos son cuatro ataques comunes contra empresas:
Malware
El malware, o software malicioso, obtiene acceso a su dispositivo sin su conocimiento para sembrar el caos: proporciona a gente malintencionada acceso a sus archivos, utiliza su dispositivo como base para propagar virus en una red, genera ingresos para el desarrollador, roba credenciales de inicio de sesión, etcétera.
Existen muchos tipos de malware, pero esperamos que hasta las empresas con un conocimiento limitado sobre seguridad hayan oído hablar de uno de los más conocidos: el ransomware.
El ransomware es un tipo de malware que proporciona a un hacker acceso a sus archivos. A continuación, el ciberdelincuente los bloquea y exige el pago de un rescate a cambio de devolvérselos (por supuesto, el pago no garantiza que vaya a recuperar sus datos).
El malware puede entrar en su sistema de muchas maneras, por ejemplo, el correo electrónico o una conexión compartida con un dispositivo ya infectado. Un troyano es, como cabía esperar si conoce el relato de la estratagema del caballo de madera de la antigua Grecia, malware camuflado como software legítimo. Tal vez crea que está descargando una aplicación inofensiva en su ordenador o teléfono cuando, en realidad, está dando a un virus acceso a su dispositivo.
La mayoría de las veces, no sabrá que el malware está atacando su red hasta que el asalto haya terminado. Tal vez se pregunte por qué el dispositivo parece más lento de lo habitual, o por qué la memoria se llena de repente. Por esto un programa antimalware es una parte importante de la seguridad empresarial, ya que detiene el software malicioso antes de que alcance su dispositivo.
Obtenga más información sobre los distintos tipos de malware, desde el spyware hasta las botnets, en nuestra guía.
Ataques por correo electrónico
Antes, los ataques por correo electrónico eran bastante fáciles de detectar: se trataba de mensajes mal escritos y que imploraban con urgencia exagerada que pulsáramos un enlace sospechoso o enviáramos dinero. Ahora son mucho más sofisticados y pueden utilizarse para robar información, como los números de la tarjeta de crédito, mediante distintas técnicas, por ejemplo, el phishing.
A los correos electrónicos de phishing a veces se los denomina spam, pero se trata de cosas diferentes. El spam no es más que correo electrónico no deseado, o correo basura, y la mayoría de los proveedores conocidos de correo sabe detectar lo que no nos interesa. El phishing, por otra parte, es correo electrónico que parece legítimo y procedente de una fuente de confianza, como un banco o una organización benéfica.
El denominado spearphishing es aún más insidioso. El asaltante dedica un tiempo a investigar una empresa o a una persona con el fin de identificar a quién debe imitar y a quién atacar para obtener la máxima probabilidad de éxito. Por ejemplo, podría crear una cuenta que se haga pasar por la del director general y dirigirse con ella a un asistente para obtener datos de inicio de sesión bancarios. Mientras que los mensajes de phishing se envían de forma masiva, los de spearphishing tienen destinatarios muy concretos.
Lea nuestra guía en profundidad sobre tipos de ataque de phishing y cómo detectarlos.
Inyección de código
Cualquier empleado promedio habrá oído los términos «malware» y «phishing», aunque no sepa a qué se refieren. Pero seguro que no tantos han oído hablar de la inyección SQL.
El término SQL, o «lenguaje de consultas estructuradas», se refiere, básicamente, al lenguaje que se emplea en la administración de bases de datos. Por ejemplo, si quiere saber cuál es la sucursal local de un distribuidor, puede visitar su página web y escribir la ubicación en una barra de búsqueda. SQL lee esa búsqueda, o consulta, y devuelve resultados relevantes extraídos de una base de datos alojada en el servidor web.
En un ataque de inyección SQL, se aprovechan las debilidades en el desarrollo de un sitio web para cargar, o inyectar, código malicioso en la base de datos. El código proporciona al hacker acceso y control de la base de datos del servidor, de modo que puede realizar cambios o robar información a su gusto.
Si guarda credenciales de inicio de sesión, direcciones de correo electrónico o cualquier clase de información de identificación personal a la que se pueda acceder desde su sitio web, sus clientes y su empresa podrían estar en peligro. Si además habilita cualquier clase de transacción en el sitio web, las consecuencias podrían ser extremadamente dañinas.
Un ataque similar es el denominado scripting de sitios cruzados (XSS, por sus siglas en inglés). También aprovecha las debilidades en la programación de un sitio web (o una aplicación), pero inyecta código capaz de alterar o añadir scripts (secuencias de comandos). Este ataque utiliza HTML o JavaScript, no SQL, y puede emplearse para convertir un sitio web legítimo en malicioso. Por ejemplo, puede utilizarse XSS para añadir un script que descargue malware en el dispositivo de un cliente cada vez que se descargue un archivo PDF de la página.
Aprenda cómo su empresa debe proteger sus servidores web, y por qué.
DoS
Cualquier acción que realice en su dispositivo es una solicitud que debe cumplirse, por ejemplo, «envía este correo electrónico», «cierra esta aplicación» o «abre este enlace». Si alguna vez ha tenido demasiadas pestañas abiertas en el navegador, ya sabrá que un exceso de solicitudes puede ralentizar un dispositivo, y sabrá también lo frustrante que resulta cuando se intenta cumplir un plazo o completar un informe. Este estado de falta de respuesta es lo que intentan lograr los ataques de denegación de servicio (DoS, por sus siglas en inglés), aunque a una escala mayor.
Los ataques DoS comienzan con malware. Una vez infectado un dispositivo, el software DoS realiza una solicitud tras otra, hasta que el sistema, y potencialmente toda la red de la empresa, se sobrecargan. La empresa debe bloquear el acceso del dispositivo al servidor web hasta que se pueda eliminar el malware responsable.
La denegación de servicio distribuida (DDoS, por sus siglas en inglés) es una versión avanzada del ataque DoS que utiliza varios dispositivos comprometidos, no solo uno, para lanzar el asalto.
Una vez que el malware entra en un dispositivo, puede propagarse a otros ordenadores y crear una red. Esta red de dispositivos infectados es lo que se denomina una botnet, y da al atacante la capacidad de sobrecargar sistemas con solicitudes realizadas desde múltiples puntos. Por tanto, al contrario que en DoS, bloquear el acceso al servidor de un origen no sirve de nada: el ataque continuará desde otro dispositivo comprometido.
Los ataques DDoS suelen reservarse para grandes empresas, organismos oficiales e instituciones financieras.
Puede obtener más información sobre la amenaza actual de los ataques DDoS aquí.
¿A qué retos comunes se enfrentan las empresas?
Hay muchos asuntos que las empresas deben afrontar para asegurar una protección avanzada de sus activos digitales. Aunque los responsables deben comprenderlos para poder trazar sus políticas e implementar medidas de seguridad, todo el personal debe tener un conocimiento básico de por qué esta es una cuestión tan importante.
A continuación se indican algunas de las principales consideraciones para las empresas y qué debe saber al respecto el personal.
Computación en la nube
No cabe duda de que la nube ha revolucionado las prácticas en el lugar de trabajo y ha hecho posible la transformación digital de muchos negocios. Entre sus ventajas están el acceso a archivos en línea en cualquier momento y desde cualquier sitio, la capacidad de colaboración remota y la posibilidad de escalar de forma sencilla cuando una empresa está creciendo.
La computación en la nube puede suponer un mayor riesgo que la tradicional, ya que hay múltiples usuarios y más dispositivos con acceso a la red. Se abren, por tanto, puntos de acceso potenciales para que los ciberdelincuentes roben datos. Además, es más complicado alcanzar el cumplimiento normativo del uso de datos.
En la nube es más fácil implementar medidas robustas de ciberseguridad, motivo por el cual las pymes podrían beneficiarse de dejar atrás los servidores tradicionales. Sin embargo, para asegurar la vigilancia, los empleados deben conocer el riesgo que suponen acciones aparentemente sencillas como compartir un archivo con nuevos usuarios o trasladar datos entre carpetas.
Lea nuestro artículo sobre problemas de seguridad de los datos en la computación en la nube.
Software antivirus
Al hablar de ciberseguridad, no basta con ser precavidos y demostrar sentido común. Por muy cuidadosos que seamos, aunque evitemos los sitios web no seguros y bloqueemos los correos electrónicos de contactos no reconocidos, los ciberdelincuentes son astutos y utilizarán toda clase de métodos para atacar su negocio. Además, los errores humanos son inevitables. Por eso, las empresas deben instalar un software antivirus de un proveedor de confianza, como Avast Business.
Una solución antivirus reputada y eficaz incluirá funciones como:
- una puerta de enlace segura de correo electrónico para bloquear el tráfico sospechoso
- un cortafuegos avanzado que filtre las conexiones de red poco fiables
- un destructor de datos que elimine de forma segura y permanente los archivos confidenciales
- un programa de actualización de software que solvente las vulnerabilidades de las aplicaciones.
Esta lista no es exhaustiva, pero da una idea de lo que debería espera de la solución de ciberseguridad de su empresa. Y otro asunto importante: en un entorno de empresa no debería utilizarse software antivirus gratuito ni diseñado para uso personal.
Obtenga más información sobre por qué un antivirus es esencial para las empresas.
Cifrado de datos
Los datos de una empresa son uno de sus activos más valiosos. Hoy en día, la gestión de archivos se realiza casi completamente en línea, e igual que un negocio no dejaría abierta la puerta de su sala de ficheros, los datos digitales también deben protegerse.
Cifrar los datos es como cerrar con llave un armario con documentos: se utiliza una llave (clave) para cerrar (cifrar) el armario y solo alguien con la misma llave puede abrirlo. Sin una clave, los datos son inutilizables. Esto es especialmente importante para los datos en tránsito, es decir, los que se envían o comparten por correo electrónico, o los que se trasladan dentro de un almacenamiento basado en la nube, ya que es entonces cuando son más vulnerables a un ataque.
Seguridad para terminales
En ciberseguridad, el término «superficie de ataque» se refiere a todos los puntos potenciales de ataque y fuga de datos. Cuando mayor es la superficie de ataque de una empresa, más difícil es de gestionar. Por ejemplo, si una empresa cuenta con dos empleados, cada uno con un portátil, un móvil del trabajo y acceso a una única carpeta compartida en un único servidor, la superficie de ataque es bastante pequeña. Los gerentes saben quién tiene acceso a cada dispositivo y a cada dato. Por otra parte, en una empresa con cientos o miles de empleados y múltiples servidores, la superficie de ataque es inmensa.
La protección de terminales se logra protegiendo cada uno de los dispositivos y evitando que los ataques se propaguen de un punto concreto al resto de la red. Para aumentar su eficacia, las modernas soluciones para protección de terminales suelen combinar un antivirus con otras herramientas (por ejemplo, de administración de parches) que ofrecen capas adicionales de seguridad alrededor de archivos y programas confidenciales.
Política de ciberseguridad
Como empleado, debería tener acceso a una política de empresa sobre ciberseguridad que explique qué medidas existen, quién es el responsable de la protección de datos y qué debe hacer en caso de un ataque. Este documento ayuda a asegurar un enfoque multicapa, desde la administración de contraseñas hasta el software antivirus, y establece las expectativas de los empleados.
Dentro de la política debería tratarse la protección de los datos y el cumplimiento normativo. Existen distintas normativas respecto al manejo y almacenamiento de datos que suelen ser específicas de una región o sector. Todos los empleados tienen el deber de cumplir dichas regulaciones.
Consulte nuestra plantilla de política de ciberprotección.
Retos específicos de un sector
Pedimos a 2000 empleados en distintos sectores de EE. UU. y Reino Unido que respondieran unas preguntas sobre ciberseguridad. Los resultados destacan la importancia de poner en contexto los conocimientos sobre ciberseguridad. Por ejemplo, ¿cuáles son los retos específicos que afronta su sector?
Aquí tenemos tres ejemplos:
1. Organizaciones sin ánimo de lucro y de servicios sociales
Los participantes, todos ellos trabajadores en oficina, votaron los tres aspectos más importantes de la ciberseguridad: instalación de antivirus/antimalware, instalación de cortafuegos y uso de contraseñas seguras. Sin embargo, al desglosar por sector, vemos que las organizaciones sin ánimo de lucro y de servicios sociales optaron de forma diferente: instalación de antivirus/antimalware, formación del personal y uso de contraseñas seguras.
Ninguna de estas opciones es más o menos importante, todas deberían ser parte de una estrategia unificada, pero resulta interesante comprobar la diferencia de percepción. En este caso, las organizaciones sin ánimo de lucro hicieron énfasis en la formación debido al menor tamaño de sus equipos y a sus restricciones presupuestarias, que conllevan que cada uno de sus trabajadores tenga más responsabilidades que en otros sectores.
2. Administración y sector público
Comprobamos que quienes trabajan en la Administración y el sector público dependen más de sus departamentos de TI que los empleados en otros sectores. Las Administraciones cuentan con equipos enormes dedicados a TI y protección en línea, debido a la confidencialidad de los datos que manejan.
Además, el 45 % de los trabajadores en la Administración y el sector público a los que preguntamos cree que se los consideraría responsables de una filtración de datos, un porcentaje superior al de otros sectores. Juntos, estos resultados sugieren que estos trabajadores se sienten más inquietos respecto a la responsabilidad personal, por lo que prefieren delegar la ciberseguridad en los profesionales de TI.
Si bien es cierto que los profesionales de TI tendrán un conocimiento más profundo al respecto, es importante que todo el personal comprenda la importancia de la ciberseguridad: cada uno de los empleados es parte de la defensa de una organización contra ataques y filtraciones de datos.
3. Fabricación, transporte y distribución
El número de trabajadores que creen poder detectar un ciberataque es tres veces mayor en los sectores de la fabricación, el transporte y la distribución que en el de las organizaciones sin ánimo de lucro y de servicios sociales. También son menos conscientes que en otros sectores de que los ataques pueden permanecer mucho tiempo sin ser detectados.
Estos resultados muestran una necesidad particular en estos sectores de mejorar la formación de los empleados en cuanto al modo en que operan los ciberataques. Si los empleados se creen capaces de detectar una filtración, existe un riesgo de complacencia que supone un enorme reto para la ciberseguridad. Aunque existen modos de detectar un ataque, como un ordenador que se ralentiza o una capacidad de almacenamiento inexplicablemente baja, el ciberdelito evoluciona sin cesar y encuentra nuevos modos de colarse entre las defensas sin ser detectado.
Si los trabajadores en los sectores de la fabricación, el transporte y la distribución conocieran este hecho, serían más conscientes de las ventajas de la protección multicapa, desde el uso de contraseñas seguras hasta la actualización del software.
Protección empresarial avanzada
Si es propietario de una pyme o un profesional de TI que trabaja para una gran empresa, Avast Business puede hacerle la vida más fácil en lo que respecta a la protección de los activos digitales de su organización. Nuestro software, que ofrece protección de terminales por capas totalmente basada en la nube, es fácil de implementar y administrar, y supone la solución idónea para el puesto de trabajo moderno.