El riesgo cibernético es una cuestión crítica que no se puede pasar por alto si se quiere garantizar la resiliencia operativa y que los datos confidenciales estén protegidos de quienes quieren usarlos de forma ilícita. Sin embargo, la triste realidad sobre el riesgo cibernético es que no es una cuestión de si se producirá un ciberataque, sino de cuándo ocurrirá. Además, un ataque de estas características puede tener consecuencias devastadoras. 
 
Lamentablemente, de la misma manera que existe una cantidad casi infinita de vectores de ataque que los ciberdelincuentes pueden usar para acceder a sistemas o datos confidenciales, el número de riesgos cibernéticos que deben conocer las organizaciones tampoco deja de crecer. Esos riesgos pueden adoptar muchas formas, y algunas de las más habituales son las siguientes:

Phishing 

El phishing es un tipo de ataque de ingeniería social mediante el cual un atacante envía un mensaje a una persona de una organización con el fin de intentar engañarla para que revele sus credenciales o instale malware en el sistema. Los ataques de phishing son cada vez más frecuentes, y están tendiendo a abandonar los ataques de malware en favor de intentar averiguar las credenciales personales. 

Malware

El malware es un tipo de software malicioso que suele instalarse en un ordenador a través de un correo electrónico de phishing o al hacer clic en un enlace malicioso. Puede adoptar varias formas, como virus, registradores de pulsaciones de teclas, spyware, gusanos o ransomware. Se puede utilizar para robar información confidencial, asumir el control de los sistemas con fines malintencionados o secuestrar datos para pedir un rescate.

Ransomware

El ransomware es un tipo de malware que cifra los archivos de un ordenador o una red para, luego, exigir un pago a cambio de la clave de descifrado. Si no se paga el rescate, el atacante puede eliminar los datos o publicarlos en Internet para dañar la reputación de la organización.

Ataques de denegación de servicio distribuidos (DDoS) 

Un DDoS es un tipo de ciberataque que envía una cantidad ingente de solicitudes de datos simultáneas al servidor central de una organización para que se bloquee o deje de funcionar. Este tipo de ataque se puede utilizar para secuestrar a una empresa hasta que se cumplan las exigencias del atacante, o como distracción para perpetrar otros ataques.

Ataques por fuerza bruta 

Este tipo de riesgo cibernético implica el uso de un software automatizado que intenta averiguar repetidamente una contraseña hasta que la descubre. Una vez que tiene esta información, el atacante puede acceder a sistemas y datos confidenciales.

Inyección de código SQL

En una inyección de código SQL, un ciberatacante inserta un código malicioso en un formulario web u otro campo de entrada de una base de datos para que esta revele información confidencial o ejecute acciones no deseadas. 

Ataques de ingeniería social 

La ingeniería social consiste en manipular a las personas para que revelen información confidencial o realicen acciones que beneficiarán al atacante. Algunas de las tácticas más habituales son el phishing (suplantación de la identidad), el pretexting (elaboración de escenarios ficticios) y el baiting (envío de cebos). Formar y concienciar al personal, la autenticación multifactor y la segmentación de la red son algunas estrategias que pueden ayudar a mitigar estos ataques. 

Amenazas persistentes avanzadas (APT) 

Las APT son ataques dirigidos a largo plazo que están diseñados para pasar inadvertidos durante el mayor tiempo posible. Suelen constar de varias fases y técnicas, y los atacantes que las utilizan suelen ser muy hábiles y contar con una buena financiación. 

Exploits de día cero

Un exploit de día cero es una vulnerabilidad en el software que el proveedor desconoce, por lo que es difícil que la corrija. 

Cada uno de los riesgos anteriores constituye una amenaza externa y puede proceder de varios lugares, como la competencia, territorios enemigos, grupos “hacktivistas”, pequeños delincuentes o incluso personas aburridas cuyo único propósito es conseguir colarse en el sistema. Sin embargo, no todas las amenazas se originan fuera de la organización; algunas están mucho más cerca de lo que imaginamos. Este tipo de riesgos cibernéticos suele adoptar la forma de amenazas internas.

Amenazas internas 

Una amenaza interna consiste en un empleado, contratista u otra parte de confianza que pone en riesgo la seguridad de un sistema, ya sea de forma intencionada o no. Puede tener un origen tan inocente como compartir por error un documento interno de la empresa con una dirección de correo electrónico equivocada o tan doloso como un empleado vengativo que utiliza a propósito sus permisos en el sistema para acceder a datos confidenciales y robarlos. Incluso algo tan simple como hacer clic en el hipervínculo incorrecto y dejar los sistemas internos expuestos a malware sin querer puede constituir un riesgo cibernético para la empresa.

Merece la pena reconocer que, si bien las amenazas internas malintencionadas nunca dejarán de ser un riesgo, parece que van a la baja. Lamentablemente, a medida que los sistemas se vuelven más complejos y los empleados y contratistas deben poder acceder más y más a los sistemas, cada vez es más habitual que los datos se pongan en riesgo de forma accidental. Cuando un único error puede suponer pérdidas de millones de dólares en daños para la empresa, está claro que las amenazas internas no son un aspecto del riesgo cibernético que se pueda obviar.

Si bien el riesgo cibernético es cada vez más habitual y todas las empresas —sean del tipo, sector o mercado que sean— son susceptibles de sufrir un ciberataque en algún momento, existen algunos factores que pueden hacer que una organización parezca más vulnerable y sea un objetivo más atractivo para los atacantes malintencionados. Los ciberdelincuentes tienen en cuenta muchos factores a la hora de elegir los objetivos, como, por ejemplo:

Empleados que ofrecen un eslabón débil 

Uno de los motivos más habituales por los cuales las empresas son víctimas de un ciberataque es la falta de formación y conocimientos del personal y los contratistas externos. Los empleados pueden convertirse fácilmente en el eslabón débil de la empresa, ya que tienen acceso a información confidencial y pueden convertirse sin querer en víctimas de una estafa de phishing o un ataque de malware. Al mismo tiempo, los socios y otras terceras partes también pueden quedar expuestos si los empleados revelan por error un punto débil en la seguridad o un área donde las prácticas de cumplimiento no se respetan con rigor. Los ciberdelincuentes pueden aprovechar estas vulnerabilidades para acceder a la red empresarial y robar información valiosa.

Falta de seguridad en el IoT 

El Internet de las cosas (IoT) puede hacer crecer de forma exponencial el número de puntos de acceso al sistema. Todos los dispositivos IoT están conectados a Internet, por lo que, si no están debidamente protegidos, puede ser muy fácil utilizarlos como una puerta trasera desprotegida para acceder a la red de la empresa. Esto los convierte en un objetivo muy atractivo para los ciberdelincuentes, que pueden aprovechar las vulnerabilidades conocidas de esos dispositivos con muy poco riesgo personal.

Migración a la nube

La mayoría de los proveedores de nube ofrecen una seguridad de máxima calidad para los datos y crean repositorios externos de datos que suelen ser más seguros que los servidores locales de la organización. No obstante, la nube no es infalible. Durante el proceso de migración que tiene lugar al cambiar los sistemas informáticos heredados por la computación con soporte en la nube, los datos pueden ser vulnerables. Además, las organizaciones deben llevar a cabo pruebas de control con regularidad para asegurarse de que se cumplan los estándares de riesgo y cumplimiento.

Para protegerse de todos los riesgos cibernéticos que existen, las empresas deben implantar medidas de ciberseguridad robustas, formar al personal para que sea capaz de identificar y prevenir los ataques, y mantenerse al día de las últimas tecnologías de seguridad. Sin embargo, puede que lo más importante sea la necesidad de una supervisión constante y de maximizar la transparencia de la red para poder identificar las posibles amenazas antes de que se conviertan en problemas reales. ServiceNow, líder en gestión de TI, ofrece una solución.  

Las competencias de Gestión de riesgos de ServiceNow proporcionan a las organizaciones las herramientas que necesitan para minimizar el riesgo cibernético y gestionar su postura de riesgo de una manera más eficaz. Aprovecha el poder de la supervisión continua en tiempo real con plantillas integradas y los datos que se comparten en la plataforma mediante Respuesta a incidentes de seguridad y Vulnerability Response en Security Operations de ServiceNow. Utiliza competencias automatizadas para mejorar los tiempos de respuesta y fundamentar la toma de decisiones basada en el riesgo. Comunícate con los equipos y departamentos, y colaborad sin problemas a través de una única ubicación centralizada. Además de todo esto, podrás disfrutar de los mayores niveles de accesibilidad y libertad que aporta el hecho de trabajar en una plataforma de confianza con soporte en la nube.  
 
Protege los datos esenciales y asegúrate de que el riesgo cibernético no se convierta en una realidad cibernética para tu empresa. Ponte en contacto con ServiceNow hoy mismo y descubre lo que la gestión de riesgos de la mejor calidad puede hacer por ti.