Los ataques cibernéticos a las empresas son cada vez más sofisticados, ahora incluyen el uso de Inteligencia Artificial, mientras, la capacidad de respuesta es limitada, no solo por los costos, sino también por el déficit de expertos en esta materia.
A medida que las organizaciones buscan adoptar tecnologías emergentes para responder a las
nuevas demandas del mercado y modernizar sus métodos de producción e, incluso, adoptar nuevos
modelos de negocio, las vulnerabilidades ante los ataques cibernéticos crecen y la capacidad de respuesta es rebasada ante la vorágine de los ataques.
El World Economic Forum (WEF) calcula que, a nivel mundial, hay una escasez de alrededor de 4 millones de expertos en ciberseguridad, pero se prevé que ese déficit siga creciendo.
Aunque los ciberdelitos atañen a las empresas de todos los tamaños y todas las industrias, como observa el WEF, lo cierto es que los efectos acentúan las vulnerabilidades de las medianas y pequeñas empresas (Pymes), y en regiones como Centroamérica estas afectaciones pueden tener mayores impactos, dado que estas organizaciones representan más del 90% de la economía regional.
El Foro Económico Mundial refiere además que, en 2023, los ataques cibernéticos costaron a las organizaciones más de 1 millón de dólares (mdd) en ingresos perdidos, multas y otros gastos, de acuerdo con el Informe Fortinet 2024, sobre la brecha de habilidades en ciberseguridad.
Cisco observa que el principal costo que puede enfrentar una empresa ante un ataque cibernético es la pérdida de su reputación. “Construir y mantener una reputación sólida lleva tiempo y esfuerzo, pero un ataque puede destruirla en cuestión de minutos o segundos”, comparte con Forbes Pablo Herrera Vargas, especialista en Ciberseguridad de la firma.
“Si tus clientes pierden la confianza en tu organización porque eres vulnerable a ataques externos, tu credibilidad se verá seriamente comprometida, afectando negativamente tanto a tus productos como a tus servicios”, alerta.
LA AMENAZA PARA PYMES
Los ciberataques son cada vez más sofisticados y diversificados, lo que dificulta a las Pymes prever y defenderse de nuevas técnicas y herramientas utilizadas por los hackers, dada la falta de recursos y presupuesto para invertir en tecnologías avanzadas de ciberseguridad y personal capacitado, “lo que
las hace vulnerables a ataques”, observa Kaspersky.
A lo anterior también se suma “la falta de conciencia sobre los riesgos cibernéticos y la capacitación insuficiente del personal, lo que puede llevar a prácticas de seguridad débiles, en el ámbito de contraseñas, por ejemplo, o la falta de actualización de software”, menciona Fabio Assolini, director del Equipo de Investigación y Análisis (Great) para América Latina, en Kaspersky.
Le invitamos a seguirnos en TikTok
Sin pasar por alto que cumplir con las regulaciones de privacidad y seguridad puede ser costoso y complejo para las empresas, especialmente para aquellas que operan en múltiples jurisdicciones con diferentes requisitos legales, refiere.
Otro factor de vulnerabilidad que observa Assolini es que las empresas están cada vez más interconectadas a través de proveedores, socios y plataformas en la nube, “lo que amplía las superficies de ataque y aumenta la complejidad de proteger la información y los sistemas”.
Sin olvidar que muchas empresas carecen de planes de respuesta adecuados y de backups seguros para restaurar datos críticos y responder rápidamente a un ciberataque y recuperarse de él.
“Las Pymes enfrentan así, una creciente amenaza de ciberataques que van desde la violación de datos hasta los ataques de ransomware”, señala Assolini, y destaca que tan solo en 2023, Kaspersky bloqueó 288 millones de intentos de ataque contra pequeñas y medianas empresas en América Latina, y de ellos, más de 91 millones fueron intentos de ataque de phishing.
“Estas alarmantes cifras explican la urgencia de que pequeñas y medianas empresas adopten una postura proactiva en materia de ciberseguridad”, urge Assolini, pues las consecuencias de descuidar la ciberseguridad de una Pyme pueden ser “devastadoras”.
Además, Fabio reitera que “el hecho de que estos negocios no tengan medidas de seguridad robustas como las grandes corporaciones, las convierte en objetivos más fáciles y atractivos para los ciberdelincuentes”.
NUEVAS FORMAS DE ATAQUES
A medida que se incrementa la adopción de nuevas tecnologías se intensifica la sofisticación de los ataques cibernéticos. Pablo Herrera, de Cisco, precisa que entre los principales ataques a pequeñas y medianas empresas se encuentran el robo de identidad —a menudo debido a la falta de control y
la simplicidad de las contraseñas—, los ataques de phishing, la suplantación de identidad, y por supuesto, el malware y ransomware que buscan comprometer a la organización y forzar el pago de un rescate.
“Hemos observado nuevas formas de suplantación de identidad, como la creación de páginas falsas o promociones engañosas, diseñadas para robar información de los clientes o infiltrarse en la empresa mediante ingeniería social. Aunque estas técnicas no son completamente nuevas, los atacantes están innovando en sus métodos”, alerta Herrera.
Por ejemplo, si ya no logran acceder a través de correos electrónicos, colocan códigos QR cerca de la oficina para que algún colaborador los escanee, o identifican lugares frecuentados por el personal para lanzar sus ataques.
Herrera menciona que “la ingeniería social sigue siendo la principal amenaza debido a la falta de higiene
digital de los usuarios. Nos encontramos en una transición constante del mundo digital al físico y de un entorno digital personal a uno corporativo”.
A su vez, Kaspersky alerta que “la explotación de vulnerabilidades en software y dispositivos de uso común es otro punto en el que debemos estar atentos”, pues el descubrimiento de vulnerabilidades de alta y crítica severidad “suelen ser investigadas de forma limitada y, por ello, son corregidas de manera tardía, lo que potencialmente allana el camino para botnets nuevas, sigilosas y a gran escala, capaces de realizar ataques dirigidos”.
LOS RIESGOS DE LA INTELIGENCIA ARTIFICIAL (IA)
La fiebre por la adopción de la IA también ha abierto las puertas a los ciberdelincuentes, quienes han adoptado esta herramienta tecnológica para afinar sus tiros y atacar con mayor eficacia.
El experto de CISCO explica a Forbes que “el riesgo que enfrenta una organización ante los ataques más recurrentes está en la forma en que se utiliza la IA para modelar el comportamiento normal de una persona, permitiendo así perpetuar ataques de ingeniería social”.
Los atacantes, relata, aprovechan la IA para simular las acciones y el lenguaje de los usuarios, utilizando sus publicaciones en redes sociales para que la IA aprenda su forma de expresarse. A partir de esta información, pueden crear correos electrónicos falsos o lanzar ataques de phishing personalizados para engañar a los usuarios.
Por ello, destaca que “la capacidad de la IA para obtener y manipular información global para fines maliciosos”, es uno de los mayores riesgos.
En lo anterior, coincide Fabio Assolini; “Con las herramientas generativas de IA, los criminales están escribiendo mensajes de phishing más convincentes, mejorando el código malicioso, además de burlar sistemas biométricos y de reconocimiento facial”.
EL TALENTO NECESARIO, UN BLINDAJE HUMANO
Para CISCO, el desafío mayor en este momento “es la escasez significativa de talento en ciberseguridad a nivel mundial, especialmente en nuestra región. En Latinoamérica, esta brecha entre la demanda y la capacitación disponible es aún más pronunciada”.
Herrera Vargas menciona que “si bien los procesos y las tecnologías pueden adquirirse, la parte más difícil será la atracción y la retención del talento adecuado.
Por lo que, es fundamental no sólo capacitar a las personas, sino también crear estrategias efectivas para mantenerlas y fomentar una cultura de ciberseguridad, incluso entre aquellos que no son técnicos dentro de la organización, alerta.
Para el World Economic Forum, es preciso tener un enfoque colaborativo entre los sectores público y privado para responder a los ataques de manera más efectiva, pero también es necesario que las empresas trabajen en identificar y contratar nuevos talentos cibernéticos, ofrezcan oportunidades de aprendizaje continuo a los empleados actuales y desarrollen mano de obra con consciencia cibernética, ya que más del 80% de los ataques son “directamente a los usuarios”, a través de malware, phishing y ataques a contraseñas.
“Cuando los empleados conocen riesgos comunes como el phishing y la ingeniería social, pueden ser una sólida primera línea de defensa contra los ataques”, destaca el organismo global.
En ese mismo sentido, Pablo Herrera señala que la recomendación principal siempre será trabajar con las personas; crear conciencia “en el personal no técnico es nuestra principal defensa, ya que son la primera línea de protección al interactuar con el entorno externo”.
Por eso, “es fundamental mantener una constante sensibilización del personal para que la ciberseguridad se arraigue como una cultura dentro de la organización y, con el tiempo, podemos avanzar hacia la implementación de controles más rigurosos”.
Por ejemplo, frente a un aumento en los ataques de suplantación de identidad, podríamos empezar a implementar autenticación de múltiples factores, lo que proporciona una capa adicional de seguridad, más allá de las simples combinaciones de usuario y contraseña, comenta.
Otra recomendación especialmente para pymes que trae a colación el experto, “es buscar soluciones de seguridad DNS que protejan a los usuarios, tanto dentro como fuera de la red corporativa, especialmente cuando no están conectados a una VPN, momento en el cual los usuarios suelen estar más vulnerables”.
Además, la implementación de VPNs para mejorar la seguridad y la adopción de estrategias avanzadas,
como una cultura de ‘cero vulnerabilidad dentro de la organización’, también puede ofrecer una protección adicional frente a amenazas cibernéticas, agrega el especialista.
Para Paolo Assolini, director del Equipo de Investigación y Análisis de Kaspersky, es crucial despertar al hecho de que “la ciberseguridad es un campo en constante evolución. Por esa razón, las empresas deben estar preparadas para adaptarse y mejorar constantemente sus estrategias y medidas de protección”, una consideración que puede ahorrar los altos costos que ahora representa un ataque cibernético.
Diarioroatán