Hace unos días se hizo viral el ciberataque que sufrió la empresa Ferrari, pese a contar con protocolos de ciberseguridad.
De acuerdo con el fabricante italiano de automóviles deportivos de lujo, hackers accedieron “a una cantidad limitada” de sistemas en su entorno de TI (tecnología de la información); sin embargo, esto representó que tuvieron acceso a nombres, direcciones, direcciones de correo electrónico y números de teléfono de clientes.
El ciberataque a Ferrari, una empresa de primer nivel, es sólo la muestra de las capacidades que tienen los delincuentes que usan medios digitales para llevar a cabo fraudes, robos, secuestros de dispositivos o sitios de internet, o la suplantación de identidad, entre otras cosas.
Datos de la International Data Corporation (IDC) apuntan que las grandes compañías que han sido atacadas por hackers, han reportado gastos de hasta 10 millones de dólares, sólo por pérdidas de negocio, costos legales, compensación de víctimas y la desacreditación de su marca.
El impacto económico es muy relevante y éste va en aumento con el paso de los meses. De hecho, según una encuesta de One Identity, empresa de Quest Software, a nivel global, 9 de cada 10 organizaciones se vieron afectadas por un ataque basado en la identidad en el último año, con casi 70% de las empresas experimentando ataques phishing (fraude cibernético con el objetivo de conseguir información personal), aún y con programas antiphishing que les significa un gasto de 100 mil dólares anuales.
Al respecto de este tema, Víctor Ruiz, fundador de SILIKN, advirtió que en la actualidad hay tantos intentos de phishing, que es probable que, en cualquier momento, alguien de una empresa -grande o pequeña- sea víctima de este tipo de estafa.
En ese sentido, menciona que “pasar por alto las buenas prácticas de ciberseguridad aumenta en gran medida la susceptibilidad a un ataque”, aún y cuando están siguiendo un buen protocolo, ha ofrecido capacitación a los empleados, le recuerda repetidamente al personal que verifique las comunicaciones sospechosas y se mantiene al tanto de las últimas campañas para engañar a los incautos”.
Lo anterior, porque los ciberdelincuentes están desarrollando continuamente nuevas tácticas para engañar a las personas, es decir, los ataques de phishing se están volviendo más sofisticados.
Entonces, ¿Cómo minimizar los riesgos de ser víctima del phishing?
Aunque no es una garantía completa, Ruiz señala que la mejor forma en la que las empresas pueden minimizar el riesgo de ser víctimas del phishing, es poniendo en marcha una defensa “en capas”, es decir, una estrategia integral.
Ésta, debe incluir un buen sistema de detección y respuesta de punto final en cada estación de trabajo; un programa sólido de gestión de vulnerabilidades, que permita la autenticación de múltiples factores para cada usuario, y cuenta de administrador, así como la implementación de la segmentación en la LAN/WAN para limitar la propagación de un sistema infectado.
Te puede interesar: Detectan presencia del troyano HiatusRAT en México; afecta enrutadores de pymes
A esto se debe sumar que los empleadores eduquen a los trabajadores sobre cómo reconocer correos electrónicos fraudulentos, pero también, cómo denunciar.
“Una estrategia antiphishing exitosa debe comenzar por concientizar a los empleados sobre cómo identificar un correo electrónico de phishing y comprender cómo denunciarlo.
“Enseñar a los empleados cómo denunciar correos electrónicos sospechosos permite que los equipos de seguridad evalúen rápidamente la amenaza potencial y mitiguen los efectos. Y las organizaciones pueden integrar herramientas en sus plataformas de correo electrónico para facilitar a los trabajadores la denuncia de correos electrónicos sospechosos”.
Esta medida de ciberseguridad resulta urgente, considerando que, con la introducción de ChatGPT, habrá una proliferación de correos electrónicos de phishing que tienen una gramática perfecta, lo que dificulta aún más la identificación de un correo electrónico de phishing enviado por un ciberdelincuente.
“Con ChatGPT y versiones de código abierto disponibles para los perpetradores, la información robada de una empresa se convierte en un elemento de alto valor para los estafadores, ya que la Inteligencia Artificial puede aprender en tiempo real qué funciona y qué no, lo que aumenta las posibilidades de que un ataque sea exitoso.
“Actualmente, muchas organizaciones están tratando de resolver el problema del phishing únicamente con tecnología. No adoptan una estrategia integral de ciberseguridad en profundidad y el problema de no implementarla es que sólo se necesita un ataque exitoso para derribar todo el sistema”, advirtió el fundador de SILIKN.
er
