¿Cuáles son los 10 mayores ciberriesgos?

La Asociación Española de Gerencia de Riesgos y Seguros (AGERS) e ISMS Forum Spain han presentado esta semana la guía ‘Top 10 Cyber Risks’, que recoge los 10 ciberriesgos más frecuentes y con mayor impacto económico, debido a los daños patromoniales, reputacionales, reclamaciones de terceros o posibles sanciones que pueden acarrear.

1. Fuga de información. Puede dañar la reputación de la empresa y sus operaciones, además de ocasionar pérdida de oportunidades de negocio y sanciones penales, civiles y administrativas. Suele ocurrir por la pérdida o robo de un portátil o un móvil, el extravío de algún dispositivos de almacenamiento (USB, disco duro…) o si un atacante penetra en el sistema. Yahoo reconoció la filtración en la base de datos de sus cuentas de correo, afectando a más de 1.000 millones de usuarios. Y Equifax declaró que unos hackers accedieron a su base de datos, afectando a 145,5 millones de cuentas. 9 de cada 10 casos tiene un móvil económico o de espionaje. El método de ataque puede ser malware, una puerta trasera, un rootkit o ingeniería social.
2. Ransomware. El objetivo de este malware es infiltrarse en los sistemas para dañar o cifrar los archivos, solicitando un rescate -generalmente en bitcoins- para recuperar la información. Suele camuflarse dentro de otros programas o aplicaciones de uso habitual, como archivos adjuntos en correos electrónicos, links en anuncios, actualizaciones de programas fiables, etc. Además, está proliferando el Ransomware of Things (RoT), diseñado específicamente para atacar dispositivos conectados a internet. Incidentes como Wannacry o Petya afectaron a compañías tan relevantes como Telefónica, FedEx o la farmacéutica MSD. Se sirve tanto de tácticas de ingeniería social como de suplantación de identidad, además de emplear botnets.
3. Phising. Se basa en la suplantación de identidad de un sitio web, induciendo a la confusión para sacar algún beneficio mediante el engaño a las víctimas. Por ejemplo, puede ser un correo supuestamente remitido por nuestro banco, invitando a pinchar en un enlace para cambiar nuestra contraseña porque ha surgido un porblema. El móvil suele ser económico, pero también puede buscar el robo de información confidencial o causar daño reputacional. Y se vale de las diferentes variantes de phising (Pharming, Wi-Phising, Spear Phising, Smishing,Vishing), ingeniería social o suplantación de identidad.
4. Suplantación de identidad. Los ciberdelincuentes se pueden hacer pasar por otra persona, engañando al encargado de verificar la identidad en el proceso de registro. Se logra demostrando que se conoce información o se poseen determinadas características de la persona suplantada, como datos personales (fecha de nacimiento, DNI, nombre de los hijos…) o credenciales de acceso. También puede recurrirse a ingeniería social para engañar al encargado del registro. Además del interés económico, puede pretender dañar la reputación de la víctima o realizar espionaje comercial o industrial. Los atacantes obtienen los datos mediante ingeniería social, phising, suplantación de correo o de webs, explotando la información publicada en redes sociales, a través de hackeos o comprando registros en el mercado negro.
5. Amenaza Persistente Avanzada (APT). Es un ataque a una organización concreta mediante la combinación de diferentes métodos con el fin de infiltrase y expandirse en su infraestructura tecnológica, sirviendo de punto de entrada para sustraer información sensible o perjudicar los procesos críticos de la organización de forma continuada. La particularidad es que los ciberdelincuentes estudian minuciosamente su objetivo para personalizar el ataque. Son llevadas a cabo por grupos presuntamente vinculados a diferentes gobiernos, como FancyBear, CozyBear (Rusia), OceanLotus (Vietnam), Codoso Team (China) o Lazarus Group (Corea del Norte). Por ejemplo, la campaña ‘Carbabank’ se dirigió a una centena de entidades financieras en 30 países y tardó cerca de dos años en ser detectado.
6. Fraude al CEO. Se vale de la suplantación de identidad –especialmente a través del correo electrónico- e ingeniería social para incitar a un empleado a realizar algún tipo de transacción sensible –financiera o de información-, hacia un destino controlado por los atacantes. Antes de eso, los ciberdelincuentes estudian en profundidad a la víctima hasta tener la información precisa de su víctima. Leoni, el mayor fabricante de cabes eléctricos de Europa, reconoció haber sido víctima de este tipo de ataque, perdiendo casi 40 millones de euros.
7. Ataque DDoS. La forma más habitual es mediante la generación de un consumo de servicio de los sistemas de información de la empresa de manera artificial y maliciosa, impidiendo que otros usuarios puedan hacer uso del mismo. Se suelen saturar los servicios de forma momentánea y puntual para solicitar después una compensación por dejar de hacerlo. Acostumbra a hacerse por motivos económicos, pero también por hackactivismo o para poner en evidencia vulnerabilidades.
8. Suplantación o modificación de web. Se trata de alterar una página web modificando de forma no autorizada su código. Se puede hacer para cambiar el contenido de la web, como protesta o reivindicación; para hacerse pasar por el sitio legítimo, buscando obtener información confidencial; o confundir al usuario, con el fin de instalar código dañino en su dispositivo. Los ciberdelincuentes emplean programas automáticos que rastrean internet en busca de sitios vulnerables para realizar un ataque de inyección SQL, haciéndose con el control del servidor. Pueden buscar dañar la reputación de la víctima, difundir contenidos o noticias falsas, reivindicar mensajes, realizar acciones maliciosas empleando el sistema de la víctima, etc.
9. Internet de las Cosas. Los dispositivos conectados son vulnerables a ataques, poniendo en riesgo los datos personales que recopilan: gustos, consumos, movimientos, conversaciones, imágenes. Además, el ataque a estos elementos supone importantes amenazas a la seguridad si logran interferir en los sistemas de los coches autónomos o las cámaras de videovigilancia y los sistemas apertura de los hogares, por ejemplo. Además, se están empleando dispositivos del IoT con el fin de crear redes para llevar a cabo ataques DDoS o para minar bitcoins.
10. Ataques a infraestructuras críticas. Algunos estados han utilizado ciberataques contra intereses de países enemigos o competidores para desestabilizarlos. Por ejemplo, 80.000 personas que se quedaron sin electricidad durante seis horas en Ucrania en diciembre de 2015, debido a un apagón provocado por el troyano BlackEnergy, tras el que presuntamente se esconde el gobierno ruso. Un empleado de una central eléctrica recibió un email con un archivo adjunto que abrió, ejecutando un código malicioso que generó una puerta trasera por la que entró el troyano. Los objetivos de estos ataques suelen ser políticos o sociales.