" />
ZOOM
GALERÍA
0 COMENTARIOS

Los empleados descargan malware en el servidor de la empresa cada 4 segundos

2017, el año en que el cibercrimen irá a por los trabajadores

Hablar de seguridad digital es casi como hablar de la muerte o de las enfermedades. Está ahí, pero nadie parece querer verlo y, ni mucho menos, pensar que es algo que le pueda pasar a él. Los datos, sin embargo, son lo suficientemente contundentes como para dejar de mirar a otro lado y entender que seguridad y tecnología no pueden seguir caminando de manera independiente.

Si tal y como pronostica el reciente informe de IDC, el futuro que viviremos en 2017 nos acercará mucho más al futuro de los hogares y las ciudades conectadas, a la explotación de los big data, la nube, el comercio electrónico y la financiación colaborativa, los riesgos se extenderán con más prodigalidad que las oportunidades. Como alguien lo definió no hace mucho, Internet es un inmenso campo abierto. Cuando consigues bloquear el acceso por un lado, no hay más que seguir caminando para encontrar otro hueco por donde colarse. ¿Resulta alarmista? Los riesgos lo son aún más. El reciente informe que ha presentado la empresa de seguridad Check Point Software Technologies Ltd. da una idea bastante clara de por dónde pueden ir los tiros el próximo año.

Tomar el control de un teléfono personal es relativamente fácil, y los métodos para hacerlo son tan ingeniosos que, básicamente, son los propios descuidos de los usuarios los que entregan a los cibercriminales las llaves para entrar, les sirven una copa, les ponen las zapatillas y les encienden un puro. Imagina que vas a un centro comercial y la publicidad de una conocida cadena de ropa te ofrece escanear un QR para acceder a descuentos y promociones. Los cibercriminales no tienen más que pegar encima del QR original el suyo, para instalar inmediatamente el pequeño programa que les de el control de todos tus datos, la cámara, los contactos, ver las contraseñas, el correo, etc. Y este es el punto donde muchas personas se dicen, ¿y para qué les van a servir a los criminales mis datos, si yo no tengo para ellos ningún interés?

¿Por qué yo?

Es una interesante cuestión que, en la mayoría de los casos, tiene una fácil respuesta: «No es nada personal, sólo negocios«. Los anzuelos están lanzados. Se aproximan a nosotros a través del phishing, de un enlace en email que nos manda nuestra madre, la cadena que nos envían los amigos para que difundamos algo, el escaneo del QR, una petición de amistas en Facebook… No se trata de ti necesariamente, sino de estrujar al que pique.

Durante los últimos años las empresas han ido tomando conciencia de la importancia de proteger sus servidores, datos y sistemas, y han ido incluyendo en sus inversiones medidas de protección que eviten la pérdida de datos sensibles o el acceso de indeseables a sus sistemas. Por eso el riesgo principal no estará tanto en las grandes y medianas corporaciones, sino en sus empleados. un eslabón de la cadena que, hasta ahora, no está debidamente protegido. Los datos de Check Point revelan que los trabajadores descargan malware en el servidor de la empresa cada 4 segundos.

No se trata de criminalizar el trabajador, pero sí de tener en cuenta que los avances en movilidad hacen que muchos empleados trabajen desde casa o mientras viajan, usen redes wifi abiertas o se conecten a los servidores desde el móvil. Son hábitos que hay que tener en cuenta para saber cómo proteger las redes sin repercutir negativamente en una libertad de movimientos que ha costado tanto conseguir. Según explica Mario García, director general de Check Point para España y Portugal «hemos vivido un año en el que las compañías se han enfrentado a un aumento sin precedentes en volumen y sofisticación de los ciberataques, 2017 mantiene esa tendencia, con el agravantes de que se utilizarán técnicas cada vez más ofensivas y donde el objetivo ya no será atacar a las empresas, sino a los empleados. Definitivamente, las soluciones de protección avanzada son cada día más imprescindibles para cerrar todas las puertas«.

La implementación de medidas de seguridad tiene que ir de al mano de la formación y la toma de conciencia de los trabajadores por eso desde Check Point se insta a las compañías a invertir recursos en la formación «como parte de la estrategia de seguridad«. Desde las redes sociales más empleadas, muchos cibercriminales logran tomar contacto con infinidad de personas. En muchos casos no se trata de ataques concretos contra alguien, sino de lanzar las redes y ver qué ha entrado. Teniendo en cuenta que aproximadamente el 80% (según Check Point) de los usuarios lo primero que hacen al levantarse es mirar el móvil y ponerse al día de lo que pasa en sus redes sociales, es este dispositivo (y las redes sociales) una de las mejores plataformas de ataque para los criminales.

Las amenazas «de moda»

Aunque parezca una frivolidad, hay que afirmar que las tendencias de moda de este próximo año no estarán en las T-Shirts, los blazers o los tops. Lo que más se llevará tendrá nombres igual de exóticos, pero será mucho más peligroso: phishing y ransomware. Durante el año 2016 el phishing ha sido el tipo de ataque que más ha crecido, hasta un 80%. Esto habla muy mal dela capacidad ed los medios para llegar a los usuarios o demasiado bien de la «inteligencia» de los malandrines informáticos.

Muchas veces basta con ofrecer aplicaciones conocidas, o no tan conocidas, pero cargadas con «sorpresa» malware desde tiendas de confianza, para alcanzar a ingentes cantidades de público. La linterna, los optimizadores de wifi o de memoria… hay una buena cantidad de aplicaciones que, en realidad, son malware. Antes al menos era fácil que al poco tiempo se supiera qué aplicaciones eran las peligrosas, pero ahora son los mismos criminales los que escriben las reviews y mantienen como gancho sus buenos comentarios sobre las bondades de su perversa creación.

Como método favorito de los hackers, el phishing permite enviar por email 3 de cada 4 campañas de malware. Ya en octubre de este año, la propia Check Point puso al descubierto un ataque de este tipo contra una de sus víctimas favoritas: las cuentas de PayPal.

El riesgo de phishing no está sólo en el mensaje fraudulento. Generalmente aprovechan el paseo para cargarlos con ransomware, otro de los malware que más dolores de cabeza han dado en 2016. En este caso se trata de secuestros en toda regla. Cuando el software accede a los equipos encripta todos los datos, de manera que el usuario tiene que pagar un «rescate» si quiere volver a recuperarlos, cosa que no siempre sucede. La mayor campaña activa de este año ha sido Cerber. Check Point ha desvelado cómo funciona, y ha hecho público el código de Jigsaw, una variante que tiene la «gracia» de que, por cada hora que pasa sin que el usuario pague, borra un archivo del dispositivo afectado. Otro de los descubrimientos de Check Point fue Locky, un ransomware que infectaba usuarios a través, precisamente, de imágenes en redes sociales nada chusqueras, como  Facebook y LinkedIn.

Dado lo rentable que les ha salido este año, se espera que el siguiente se mantenga la tónica, sumando al objetivo todo tipo de dispositivos móviles que es, además, donde estamos empezando a llevar buena parte de nuestra información personal y de trabajo. Las previsiones de Check Point son que en 2017 uno de cada cinco empleados será responsable involuntario de alguna brecha que permitirá acceder a datos corporativos, a través de malware móvil o por medio de redes wifi maliciosas. Algo a lo que las empresas deberán comenzar a prestar atención este próximo año.

Mundo conectado, mundo infectado

En las últimas ferias tecnológicas que se han celebrado en el mundo estamos viendo cómo nos aproximamos al mundo conectado, una globalidad donde los electrodomésticos, la ropa, los gadgets y puede que hasta las mismas personas, estén conectadas a Internet. El problema está en que muchas de esas inteligentes innovaciones ni siquiera piden un usuario y una contraseña. Se busca la conexión de todo a la gran red sin poner de origen los medios de seguridad que eviten graves disgustos a futuro. Como decía el propio Mario García, el IoT cambiará mucho la forma en la que vivimos, pero la verdadera inteligencia de una lavadora debería estar, por ejemplo, en que la ropa salga más limpia, se detecte automáticamente si es blanca o de color, si hay prendas delicadas y cómo tratarlas y la forma de eliminar todas y cada una de las manchas. Para muchas de esas cosas no hace falta conectarse a Internet. El mercado, explicaba García, no está maduro, por eso no termina de tenerse en cuenta la seguridad o se ofrece como un extra, aunque lo cierto es que cualquier brecha puede permitir el acceso de los malos al recinto que todos compartimos. La seguridad no es ya un problema sólo individual, sino que afecta al conjunto.

Es el caso de los dispositivos industriales y las grandes empresas de servicios. Estos son, quizá, los puntos más críticos en los que hay que poner el máximo de protección. No se puede correr el riesgo de que el suministro de agua o de electricidad caiga en manos de gente sin escrúpulos que no conocemos (a los que actualmente nos suben la factura cada año al menos les ponemos cara y nombre). La seguridad industrial es y será clave pero, siempre teniendo en cuenta, según Check Point, la responsabilidad del factor humano.

No comments yet.

Deja un comentario