A fondo. Mucho más que ‘ransomware’: otros 11 problemas que amenazarán a las empresas en 2018

El ransomware ha sido protagonista en 2017, con ataques sonados como el de WannaCry. Este ataque llegó a causar unas 300.000 infecciones que derivaron en pérdidas de más de 4.000 millones de dólares, según la empresa de seguridad Trend Micro, que recomienda a las compañías reforzar sus planes de seguridad para combatir este malware que secuestra equipos para pedir un rescate a cambio de su liberación, lo que incluye educar a los trabajadores en buenas prácticas. Y es que “el ransomware seguirá siendo una amenaza especialmente impactante durante el próximo año”, dice esta firma de seguridad. Pero no será la única amenaza tecnológica que pondrá en problemas a las organizaciones a lo largo de 2018. Trend Micro contabiliza hasta once problemas potenciales.

Además del ransomware, otro recurso útil para los ciberdelincuentes será el de los ataques BEC o Business Email Compromise, que una vez más ponen el componente humano en el centro de la polémica, como el eslabón más débil de la cadena de protección. Y es que “cualquier empleado puede recibir sofisticados mensajes de correo electrónico de aspecto legítimo”, reconocen los expertos, y caer en la trampa. Esto lleva a Trend Micro a apuntar como una amenaza más la “falta de concienciación y formación de los empleados”, que lo único que hace es crear “espacios abiertos a través de los cuales los hackers pueden explotar y vulnerar a la empresa”. Es difícil combatir el ransomware, los ataques BEC, las técnicas de phishing y la ingeniería social si los profesionales que trabajan para la empresa que se convierte en objetivo de los ciberdelincuentes no son conscientes de su responsabilidad en materia de seguridad.

Por otro lado, habría que prestar especial atención a las amenazas y brechas que afectan a la cadena de suministro, porque tienen capacidad para detener la actividad del negocio y poner en peligro a una compañía y a sus proveedores o socios. Este efecto dominó también se observa en los dispositivos conectados que forman parte del internet de las cosas o IoT, por ejemplo, dentro de las denominadas fábricas inteligentes en los entornos de carácter industrial. “El próximo año se estima que se utilizarán más de un millón de robots conectados en esta capacidad, y es imperativo que cualquier organización que utilice dispositivos conectados se asegure de que estén debidamente protegidos”, señala Trend Micro, que apostilla: “ya sea en entornos industriales o en cualquier otro”. El peligro de este tipo de amenazas es alto porque “tienen el potencial de afectar no solo a una, sino a múltiples empresas y sus clientes”.

En quinto lugar se encuentra el Crime-as-a-Service o, lo que es lo mismo, el crimen como servicio, que sirve a delincuentes aficionados para llevar a cabo ataques sin tener unos conocimientos demasiado extensos en esta área. Basta con que compren las herramientas y las utilicen. En este sentido, los exploit kits seguirán existiendo. “Los atacantes continuarán creando y vendiendo kits que permitirán que incluso el cibercriminal más novato, viole datos confidenciales”, asegura Trend Micro. Y, tal y como está sucediendo en la actualidad, las amenazas móviles darán bastantes quebraderos de cabeza como gran vector de ataque hacker. Esto tiene que ver con la popularidad de los smartphones en general, pero también con la permisividad de algunas empresas para que sus trabajadores usen terminales móviles personales para tareas corporativas.

Para el próximo curso se prevé una sofisticación de las nuevas amenazas, a medida que vayan surgiendo y vulnerándose fallos antes de que los desarrolladores y los especialistas en seguridad reaccionen y los resuelvan. Pero tampoco hay que descartar el aprovechamiento de viejas vulnerabilidades, que “continúan frustrando los esfuerzos de seguridad de las empresas”, según analiza Trend Micro. “Aunque sin duda surgirán nuevas amenazas, las debilidades y las estrategias de ataque de los hackers seguirán siendo las mismas que han estado utilizando durante meses, e incluso años”, porque no siempre se aplican los parches urgentes y las actualizaciones de software necesarias en las organizaciones. “Esto deja considerables agujeros de seguridad que los ciberatacantes aprovechan”, lamenta Trend Micro.

Asegurar la alineación con el reglamento existente es otro punto a tener en cuenta, porque normas nuevas como el Reglamento General de Protección de Datos de la Unión Europea que comenzará a aplicarse en 2018 “también tendrán un impacto en los esfuerzos de seguridad a medida que las empresas trabajen para garantizar que sus sistemas y estrategias ofrezcan protección y también cumplan con los estándares de la industria”, prevé Trend Micro. Las empresas que no se adapten a tiempo a este reglamento europeo se enfrentarán a problemas, como sanciones millonarias. Por último, habrá que “mantenerse al día con las expectativas de la junta directiva”, que a veces espera más de lo que su equipo de TI es capaz de ofrecer. “El desfase entre las expectativas de la junta directiva y las funciones del equipo de TI está llamado a convertirse en una de las principales amenazas en 2018”, concluye Trend Micro.