Ciberseguridad y tu empresa

Ciberseguridad
y tu empresa
La guía esencial
para proteger tu
información
99% de las compañías
españolas infectadas
con virus y bots
Contenido
2
Introducción
3
Mitos sobre la
ciberseguridad
desmontados
6
El impacto del
cibercrimen en los
pequeños negocios
9
Cómo proteger tu
pequeña empresa del
cibercrimen
15
El futuro de la
ciberseguridad en las
pequeñas empresas
17
Glosario y lecturas
complementarias
Grandes y pequeñas empresas están pagando más que nunca para
recuperarse de la pérdida de datos.
Los titulares de los medios hacen creer que los hackers solo tienen
como objetivos a las grandes corporaciones.
Los medios difundieron ampliamente el ciberataque sufrido por
el gigante de las telecomunicaciones Carphone Warehouse, que
comprometió información personal y financiera de unos 2,4 millones
de clientes, así como 90 000 tarjetas de crédito. El ciberataque a Sony
Pictures causó graves daños, como la filtración de películas inéditas,
datos confidenciales y correos electrónicos de estrellas de Hollywood.
En los Estados Unidos, un agujero de seguridad de los sistemas del
gobierno federal altamente publicitado llevaba siendo explotado
durante más de un año cuando fue descubierto. Hackers chinos
aprovecharon este tiempo para robar información.
La mala publicidad no es la única preocupación para estas
organizaciones. “Los ciberataques son cada vez más frecuentes y
graves, y que las organizaciones entiendan el impacto financiero que
pueden tener en su negocio les puede ayudar a determinar la inversión
apropiada y los recursos que necesitan para prevenir o mitigar las
consecuencias de un ataque”, ha declarado Larry Ponemon, presidente
del Instituto Ponemon.
Según fuentes gubernamentales, en España se registraron 45.000
amenazas en 2015, que causaron pérdidas por valor de 14.000
millones de euros, el 1,4% del PIB. La buena noticia es que gran parte
de ellos pueden prevenirse.
En las siguientes páginas abordaremos los errores más comunes
en ciberseguridad y examinaremos en detalle el impacto de los
ciberataques en la pequeña empresa y las medidas que se pueden
adoptar frente a ellos. Por último, miraremos al futuro y analizaremos
lo que está por llegar y cómo prepararse.
2
Mitos sobre la
ciberseguridad esmontados
Seis errores comunes que pueden exponer a las pequeñas
empresas al cibercrimen
Quizás las grandes empresas protagonicen los titulares por robos de información, pero las
PYMES suelen ser objetivos más fáciles. Aquí hay seis mitos que pueden dejar a las pequeñas
empresas vulnerables ante hackers.
Consejo: Formar a
tus empleados en
ciber seguridad es
un progreso para
evitar fallos
MITO
1
L as filtraciones de datos son más costosas para las grandes
organizaciones
Si bien en términos generales esta afirmación es cierta, las empresas más pequeñas pagan
más por empleado. Esto tiene una explicación lógica, y es que las PYMES, al tener menos
empleados que las grandes empresas, llevan asociado un coste medio mayor por empleado
en caso de un ciberataque que cause daños en ellos.
MITO
Los
fallos de seguridad no son usuales, no se
2 necesita mucha protección
De acuerdo con el estudio realizado por la consultora Quocirca y encargado por Trendmicro
para el que se usó una muestra de 600 empresas de la Unión Europea, el 61 % afirman haberse
visto afectadas por ciberataques en el último año. El caso de España es preocupante por la poca
preparación de las empresas para hacer frente a la ciberdelincuencia y, por si fuera poco, un
10 % de las compañías del país dentro de la muestra analizada se encuentran en el ranking
de los 40 peores ciberataques.
Figura 1. ¿Por qué las PYME españolas están en riesgo de cibercrimen?
Hacktivistas
Comportamiento de
los empleados
Ataques
aleatorios
Cibercrimen
organizado
52%
48%
48%
37%
de los encuestados
de ataques
de los encuestados
de los encuestados
Considera que los hackers que
atacan intencionadamente a
su empresa son la principal
fuente de riesgo
Considera que el
desconocimiento,
la falta de preocupación
de los empleados o el uso
personal que le dan a los
equipos es la segunda
fuente de riesgo
Solución
Adopta una estrategia de ciberseguridad integral que incluya formación de tus empleados en buenas
prácticas en ciberseguridad, programación de análisis periódicos y planes de respuesta a incidentes.
Fuente: U-TAD, Estado de la ciberseguridad 2015
3
Considera que los ataques
Considera que las redes
aleatorios de hackers o script dedicadas al cibercrimen son
kiddies son la tercera fuente
la cuarta fuente de riesgo
de riesgo
Symantec desveló que
en 2015 España ocupó
la octava posición en
número de ciberataques
a empresas dentro
de la UE
MITO
3
No corremos riesgos porque no hacemos pagos online
Sorprendentemente, solo el 45 % de las organizaciones de todo el mundo confían en su
seguridad, según el Informe Anual de Seguridad de Cisco 2016. Pero los hackers no solo están
interesados en las tarjetas de crédito, sino también en datos personales que pueden utilizar para
suplantar identidades o hackear un sitio y utilizarlo para enviar spam.
Poseer información clave como libros de citas y detalles de clientes permiten a los hackers
extorsionar a sus víctimas para que paguen un rescate, y llevar a cabo esta estafa en decenas de
webs de pequeños negocios les garantizaría una ganancia considerable.
MITO
Hemos contratado a un especialista TI en seguridad
4 así que podemos estar tranquilos
Aunque contratar a un experto es buena idea, especialmente para las empresas en crecimiento,
todos los empleados de una empresa deben recibir formación sobre buenas prácticas en
ciberseguridad. Piense en el compañero de trabajo que involuntariamente descarga un archivo
adjunto a un mail malicioso, o visita un sitio web no seguro e infecta la red de una empresa con
malware que ralentiza el sistema, o reenvía información confidencial a un ciberdelincuente.
Según la consultora Necsia la falta de formación y de concienciación es el tercer riesgo que existe
en el ámbito de la ciberseguridad en las empresas españolas. Así queda de manifiesto en las
conclusiones del estudio de Necsia [1]. Por lo tanto resulta de vital importancia la formación.
Solución
Elige un software de seguridad con protección de datos, como
HP SureStart, que restaura automáticamente la BIOS de un
ordenador cuando se detecta un ataque de malware –
ayudando a detener las fugas antes de que la información se vea comprometida.
MITO
Tenemos
antivirus potentes en nuestros sistemas así que
5 estamos protegidos
Consejo: Analizar
la salida de datos
para detectar tráfico
inusual puede ayudar
a detectar el robo de
datos habitualmente
vinculados a ataques
APT.
El software antivirus analiza el sistema en busca de malware. Sin embargo, los atacantes
disponen de otros medios para eludir esta protección. Los ciberataques que no pueden ser
bloqueados por el antivirus incluyen ataques de denegación de servicio (también llamados
DDoS), en los que una web es saturada por tráfico basura que la ralentiza o incluso hace
que deje de funcionar; ataques web, donde los hackers aprovechan las vulnerabilidades de
codificación web para apropiarse de información como datos de tarjetas de crédito; código
malicioso, inyectado en el código de un sitio para robar información o espiar de forma remota;
y el acceso a través de dispositivos robados.
MITO
Si
un intruso accede a nuestros sistemas nos daremos cuenta
6 enseguida
Detectar un ciberataque no es fácil, especialmente para las empresas más pequeñas que
no cuentan con los servicios de un experto en TI. Es posible que el malware interrumpa
inmediatamente las operaciones. Sin embargo, podría espiarlo y filtrar información a fin de
planear ataques más específicos para obtener acceso a través de la red.
Según el informe de FireEye España se encuentra entre los tres países de la zona EMEA que más
ataques APT sufren. Así mismo, según los directivos encuestados, un 67% de las corporaciones
europeas experimentó brechas de seguridad en 2014. Los ataques APT se caracterizan por
monitorizar y obtener información de manera continuada a lo largo del tiempo – normalmente
indetectada -.”
4
Infográfico: ¿Cuál es el impacto
económico de la ciberdelincuencia?
De acuerdo al estudio de UNICRI el coste del cibercrimen para las empresas
europeas es algo a tomarse con mucha seriedad, y es que alcanza los 750 billones
de euros anuales. Aquí tenéis diferentes ejemplos de ciberataques ante los que tu
pequeña empresa debería estar alerta.
750
billones de euros
25%
24%
16%
21.250M €
Código malicioso y
malware
20.400M €
Denegación de
servicio distribuido
13.600M €
Ataques basados
en la web
Los ataques DDOS son
peticiones masivas de
tráfico web para hacer
que la página y los
servidores de una
empresa se caigan
Ataques dirigidos
contra los visitantes de
un sitio, como la
inyección de código que
redirige el navegador a
direcciones web
maliciosas
Software que daña al
sistema creando
agujeros de seguridad,
modificando o robando
archivos (incluye scripts,
virus y gusanos)
13%
11.050M €
Dispositivos
robados
Dispositivos de
empleados con acceso
a registros corporativos
que pueden conducir al
robo de datos y
suplantación de
identidad
Fuente: UNICRI
5
9%
7.650M €
Phishing e
ingeniería social
Correos electrónicos o
ventanas emergentes
que se presentan
como peticiones de
inicio de sesión
legítimas
9%
7.650M €
Empleados
malintencionados
Empleados que
comparten información
confidencial
4%
3.400M €
Botnets
Redes de ordenadores
infectados que
ejecutan actividades
maliciosas como el
envío de correo no
deseado
El coste del cibercrimen
a las empresas de la UE
alcanzó 750 billones de
euros en 2014
El impacto del cibercrimen
en las pequeñas empresas
El verdadero coste del cibercrimen va más allá de
arreglar los daños causados por un hackeo
“Todavía son muchas las pymes que no se ven así mismas como objetivos de los
cibercriminales”, declara George Scott, director de ciberseguridad de KPMG en Escocia (Reino
Unido).
Porcentaje de empresas
europeas que sufrieron
un ciberataque en 2014
67
Esto significa que los sistemas de las pequeñas empresas pueden ser un blanco fácil para los
hackers. Muchas de estas empresas también tienen relaciones con empresas más grandes
que albergan información valiosa.
Al tener como objetivo las empresas más pequeñas, los atacantes pueden hackear archivos
que les permitan acceder a datos más lucrativos de sus socios y perjudicar la reputación de
las pequeñas empresas en el proceso.
Los fallos de seguridad pueden afectar a tu negocio más allá de los costes necesarios para
limpiar el daño causado.
¿Cómo?
•Bloqueando nuevas oportunidades de negocio
No invertir en ciberseguridad significa el bloqueo de nuevas oportunidades de negocio.
Resulta lógico pensar que una empresa pueda ser reticente a confiar en otra que no se tome
en serio las medidas de seguridad. Sin embargo muchas empresas permanecen pasivas ante
los riesgos. De hecho según el estudio de la consultora Necsia [1] el 57,1 % de las empresas
españolas encuestadas no estaban dispuestas a aumentar su inversión en ciberseguridad.
•Evitando que los empleados trabajen con normalidad
Los sistemas de la oficina de la MP de Newcastle Central Chi Onwurah, ministra del partido
opositor para la Innovación y la Ciencia, sufrieron continuos fallos de seguridad durante el
mes de mayo de 2015.
Solución
Cyber Essentials es un
programa de concienciación
que pretende promover
buenas prácticas de ciber
seguridad en la pequeña empresa.
Las empresas que completen el programa
formativo recibirán un certificado de
aprovechamiento que acredite su conocimiento y
seran elegibles para recibir descuentos en seguros
contra fraudes informáticos
6
Consejo: Muchas
formas de malware
llegan como archivos
adjuntos en mail.
Entrena a tu plantilla
para que reconozca
archivos adjuntos
maliciosos que parecen
archivos legítimos.
•Erosionando la confianza de los clientes
Las pequeñas empresas que pierden los datos de sus clientes a menudo sufren daños
de reputación difícilmente reparables, especialmete si se trata de información financiera.
El troyano Dridex, que infecta dispositivos conectados y envía información confidencial
(incluyendo datos bancarios) a los atacantes, sigue estando presente en la web. Un estudio
de Symantec desvela que los ataques de spam que contienen el troyano Dridex aumentaron
un 107 % en 2015. En dicho informe también puede verse que en el top 20 de instituciones
financieras que figuran como objetivos en archivos de configuración de troyanos, el puesto 7
lo ocupa un banco español.
Anatomía de un hackeo inesperado
Un fallo de seguridad puede llevar a otro. Imagínate que eres el
propietario de una marisquería que ha prosperado durante varias
generaciones. Para estar a la altura de los tiempos, actualizas el
servicio con un sistema electrónico de reservas que permite que
los clientes creen una cuenta utilizando su dirección de correo
electrónico y hagan una reserva que se muestre en tu calendario
digital. El negocio experimenta un crecimiento importante y
requiere contratar personal por primera vez en cinco años.
Pero, sin tu conocimiento, ese maître tan entusiasta
recientemente contratado comienza a hacerse con direcciones de
correo electrónico de clientes y compartir esta información con
su pareja. Su pareja resulta ser un hacker que empieza a crackear
las contraseñas de los correos electrónicos de tus clientes.
Aproximadamente una de cada dos veces consigue su objetivo. Y
de las cuentas de correo electrónico crackeadas, el 10 % contiene
enlaces a monederos electrónicos con datos bancarios y tarjetas
de crédito.
Con las cuentas de correo electrónico y los monederos
electrónicos asociados, el par de delincuentes se monta una
juerga de gasto desenfrenada. Desaparecen poco después
dejando tras de sí una docena de clientes confundidos e
indignados que pasarán meses recuperándose de la suplantación
de identidad.
Lo que hace que un ataque sea peligroso es que puede dar lugar
a otro. En este caso, el maître, que resultó ser un empleado
malintencionado, podría dejar abierta una “puerta trasera” que
le permitiría espiar tu actividad en el futuro. Y este punto débil
también podría ser utilizado por otros hackers para robar los
datos personales y financieros de tus clientes, aunque actualices
tus sistemas.
Con los ciberataques volviéndose cada vez más sofisticados
es crucial para tu negocio contar con un plan de seguridad
comprensivo que abarque desde un antivirus hasta sistemas de
monitorización continua.
7
Cibercrimen: periodo de recuperación
¿Cuánto se tarda en reparar el daño ocasionado por una filtración de datos?
El Instituto Ponemon establece una media de 46 días, una cifra potencialmente
abrumadora para el funcionamiento ininterrumpido de la actividad de las pyme.
Detección
Botnets
Virus, gusanos
y troyanos
Malware
tiempo de
recuperación
2,2 días
tiempo de
recuperación
2,4 días
tiempo de
recuperación
5,8 días
p
Dispositivos
robados
tiempo de
recuperación
12,3 días
Denegación
de Servicio
tiempo de
recuperación
19,3 días
Tiempo de
recuperación
estimado
Phishing e
ingeniería
social
Ataques basados
en la web
tiempo de
recuperación
21,9 días
tiempo de
recuperación
27,7 días
Empleados
malintencionados
Código malicioso
tiempo de
recuperación
54,4 días
tiempo de
recuperación
47,5 días
p
Solución
Crea un plan de respuesta a incidentes de seguridad
para todos los departamentos con el fin de minimizar el
periodo de recuperación.
Fuente: El Instituto Ponemon
8
Cómo proteger tu empresa
de los ciberataques
Consejos esenciales para la ciberseguridad en pequeños
negocios
A medida que avanzamos hacia un mundo cada vez más digitalizado, donde la información
es sinónimo de poder, los delitos informáticos adoptan nuevas formas.
Los ciberdelincuentes tienen como objetivo el robo de datos y, debido al elevado número
de dispositivos conectados en el lugar de trabajo, desde smartphones y tabletas hasta
impresoras inalámbricas, hay un número creciente de puntos de acceso que pueden ser
dianas de los hackers.
Aquí figuran seis objetivos comunes para hackers de empresas y qué puedes hacer al
respecto hoy en día .
Consejo: La detección
temprana de una
brecha de seguridad
puede limitar el daño,
así que escoge un
software de seguridad
que monitorice
constatemente tu
red en busca de
comportamientos
inusuales.
1
Bases de datos de clientes
Los datos financieros han dejado de ser el único objetivo de los hackers. Los archivos que
contienen nombres y direcciones de correo electrónico pueden ser utilizados con fines de robo de
identidad, spam o para hackear otras cuentas.
Las pymes que ofrecen servicios a grandes empresas son el premio gordo para los hackers.
Piensa en ello como el equivalente digital a entrar en una tienda de hardware para tener acceso
a la pared del almacén que comparte con la caja fuerte de un banco nacional. Una vez que los
atacantes se encuentren dentro del sistema de menor tamaño, estarán mejor posicionados para
tener acceso a los datos sobre grandes empresas que están en posesión de los clientes que.
¿Cómo puede verse comprometida tu base de datos de clientes? Virus, gusanos y troyanos
descargados desde sitios malicios?
Cómo proteger la información de tus clientes
• Usa software de seguridad diseñado para empresas, que ofrece protección de red, correo
electrónico y puntos terminales.
• Actualiza siempre tu software de seguridad para bloquear el malware que siempre está
evolucionando.
• Descarga actualizaciones de software de tus programas del sistema, ya que las versiones
antiguas pueden contener vulnerabilidades explotables por los atacantes.
El 64,4% de las PYMES
confía en la seguridad
de la nube
2
Servicios en la nube
Muchas pequeñas empresas optan por servicios en la nube económicos como Microsoft
Office 365 para las tareas administrativas. Si nos atenemos a los datos arrojados por el estudio
del estado actual y futuro del software en España de la comparadora de software SoftDoIt,
cada vez son más las PYMES que usan servicios e infraestructuras en la nube. No solo eso, sino
que también se ha visto incrementada la confianza en ellos como una forma de trabajo segura.
Concretamente la confianza de las PYMES españolas en la nube ha subido hasta un 64,4%.
Pero los ataques maliciosos también pueden ocurrir como consecuencia de protocolos de
seguridad insuficientes, como contraseñas y permisos de acceso, establecidos por los propios
directivos de la empresa en sus propios datos alojados en la nube. Imagina si, como en el caso
del propietario de la marisquería, no hubieras permitido que el maître pudiera visualizar la base
de datos o, mejor aún, hubieras cifrado la información para que el hacker no pudiera utilizarla.
Cómo proteger tus datos en la nube
• Encripta la información más importante haciendo uso de herramientas como la tecnología
Smartscript de PKWARE, que utiliza políticas de acceso para determinar la complejidad de
la encriptación. De esa forma, los usuarios autorizados ven la información que se supone
que deberían ver y los no autorizados no ven nada.
• Crea una contraseña segura para tu cuenta en la nube. En la configuración de tu cuenta,
define quién puede acceder a tus datos y las acciones permitidas.
9
• Establece una autenticación de dos factores, como un código de smartphone y una
contraseña, para realizar cambios en archivos en la nube: p. ej., descargar, eliminar o
mover archivos.
3
Smartphones y tablets de empleados
Muchas personas utilizan sus dispositivos personales para realizar tareas en la
oficina. Las políticas “traiga su propio dispositivo” (BYOD, por sus siglas en inglés) para
pequeñas empresas son una forma efectiva de sacar partido de los smartphones que los
empleados ya poseen, pero pueden ser un objetivo perfecto para hackers.
Se estima que 1 de cada 5 aplicaciones de Android está infectada con algún tipo de malware,
lo que podría extenderse a los archivos y sistemas corporativos para monitorizar la actividad
o robar información.
Los empleados que son víctimas de un robo de móviles también pueden ser, sin saberlo,
una puerta de acceso para hackers. Un ladrón de teléfonos puede vender un dispositivo a un
comprador en el mercado negro, que puede desmontarlo para obtener información sobre la
empresa de la víctima o penetrar en los sistemas de un cliente más importante.
Cómo securizar los dispositivos propiedad de tus empleados
• Instala una herramienta de detección de amenazas como X-Ray de Duo para dispositivos
Android para rastrear aplicaciones y códigos maliciosos con mayor facilidad.
• Pide a los empleados que activen el borrado remoto (disponible gratuitamente para
Android, iPhone y Windows Phone; con suscripción para BlackBerry) para que, en caso de
pérdida, la información corporativa y personal sensible pueda ser eliminada.
• Pide a los empleados que habiliten el cifrado del dispositivo en sus smartphones para
proteger los datos (activado de forma predeterminada en nuevos dispositivos iOS y
Android).
¿Qué es un ransomware?
Los delincuentes cibernéticos recurren cada vez más a los ransomware, un tipo de malware que secuestra sistemas que
sólo pueden ser desbloqueados con la entrega de un rescate en bitcoin. En 2015 los laboratorios de ESET España detectaron
un aumento de ataques basados en la plantilla de Cryptolocker, el ransomware más popular. A continuación examinamos
detenidamente cómo se producen este tipo de ataques.
10
1. Instalación
El código malicioso se aloja en el sistema después de una descarga
involuntaria, a través de un correo electrónico o sitio web malicioso.
2. A
lerta a su
servidor
El ransomware se conecta con su servidor local para establecer una clave de
codificación.
3. Encripta tus
archivos
El ransomware analiza los archivos de la red y los codifica haciéndolos
inaccesibles.
4. Extorsión
Normalmente un mensaje en el sistema del usuario indica un límite de tiempo
y la cantidad a pagar para descifrar los archivos antes de que se eliminen.
5. Pago
El propietario de la organización puede comprar una moneda digital, como el
bitcoin, para realizar una transferencia al hacker, quien podría desencriptar
los archivos.
4
Errores de los empleados
El fundamento más básico de la ciberseguridad es una buena política de uso de
contraseñas. Y sin embargo, “el comportamiento de los empleados es la segunda fuente de
riesgo de ciberseguridad elegida por un 48% de los encuestados en el estudio llevado a cabo
por Cisco”.
Desde el hackeo de contraseñas poco seguras hasta el robo de documentos enviados por
correo electrónico a través de conexiones no seguras, o correos electrónicos fraudulentos
dirigidos a un empleado específico, los atacantes explotan a menudo el error humano.
Cómo ayudar a tus empleados
• Forma a tu equipo en buenas prácticas de ciberseguridad y fomenta la formación continua
para mantenerse informado de las amenazas más recientes.
• Proporciona un protocolo de seguridad adaptado a tu empresa y el tipo de datos que
procesa.
• Crea un equipo para comunicar tu política de ciberseguridad con los empleados, clientes y
socios.
RECUERDA: Elimina
o desactiva
funcionalidades de
hardware innecesarias:
las funciones crean mas
puertas de enlace para
los hackers.
5
Impresoras y otro hardware de red
Tu impresora podría ser uno de los eslabones más débiles de tu red de seguridad.
Un hacker podría tener acceso a contratos, informes financieros y otros datos confidenciales.
Recuerda que estos archivos están viajando desde discos duros a copias impresas.
Mientras que los ordenadores de una red empresarial están protegidos por contraseñas e
idealmente por software de seguridad, las colas y los procesos de impresión no suelen estar
protegidos por protocolos de seguridad similares.
Dichas impresoras no seguras, junto con otros dispositivos en red, pueden convertirse en
víctimas de un “sniffer”, que podría acceder a los procesos de impresión, así como al tráfico
de red, nombres de usuario y contraseñas, y enviarlos directamente a un servidor malicioso.
Otras fuentes de riesgo que pueden instalar malware en tus sistemas incluyen dispositivos
externos que se utilizan con múltiples equipos, especialmente memorias USB, cuyo tamaño
es ideal para distribuir archivos desde un ordenador infectado a otro.
Cómo proteger tus periféricos
• Descarga las actualizaciones de software para todo el hardware cuando estén disponibles.
• Analiza los discos duros y memorias USB en busca de malware.
• Invierte en hardware de seguridad con protección incorporada, como una impresora que
pueda analizar, detectar y recuperarse de un fallo de seguridad reiniciando y borrando los
documentos sensibles de la cola de impresión.
Fuente: THIBER, the cyber security think tank y el Instituto Español de Ciberseguridad.
11
£5,000
Cyber Security Grant
CUPÓN
Programa de incentivos en ciberseguridad español (PICE),
que tiene como objetivo principal crear un eje de oportunidad
para la industria TIC, destinado a proporcionar ayudas, incentivos
y estímulos financieros a las empresas en todo el ciclo de la I+D+i
de productos y servicios de confianza digital, fomentando la
normalización técnica, la certificación y la internacionalización.
CUPÓN
Solución
Las contraseñas más comunes
A principios de 2013 un periodista de Ars Technica que nunca había cometido un
delito informático ni tenía experiencia penetrando en sistemas protegidos por
contraseña crackeó 8 000 contraseñas cifradas de más de 16 000 en un solo día.
>Por lo tanto, ¿qué pobilidades tienen estas contraseñas tan comunes frente a un
cracker cargado de determinación?
123456
password
qwerty
baseballletmein
123456789
master football
dragon
solo
princess login
Se ha producido un error
Solución
Crea una contraseña fuerte
1
2
3
4
5
Usa al menos
12 caracteres
Evita frases comunes
Evita tu nombre y
fecha de nacimiento
Recuerda añadir
numeros y símbolos
Añade letras
mayúsculas
Seguridad adicional: Piensa en una frase larga que puedas recordar y crea un acrónimo de sus primeras letras. Luego añade
números, símbolos y mayúsculas.
Fuente: Splashdata
12
Consejo: Invierte
en hardware que
ofrezca protección
integrada como
autenticación avanzada
y herramientas de
encriptado.
6
Puertas de enlace
Cuando los hackers quieren entrar en una red pueden llevar a cabo un ataque DDoS:
cientos de máquinas infectadas con malware que trabajan de forma conjunta para generar
tal cantidad de tráfico basura que la red se cae ante el peso del ataque. A menudo los
atacantes DDOS quieren distraer a los administradores de los sitios para robar información
o instalar malware de cara a planificar robos de datos en el futuro. Algunos ataques DDOS
son obra de los llamados “script kiddies”, hackers novatos que simplemente quieren echar
abajo una web porque pueden hacerlo. Desgraciadamente para un negocio, tener su web
caída aunque sea unas horas puede ser debastador, tanto para sus ganancias como para su
reputación.
Cómo segurizar tu red
• Construye sistemas que controlen el tráfico entrante y saliente de tu red. Un pico
repentino podría indicar un ataque, mientras que una actividad constante no justificada
podría indicar la presencia de un troyano que está enviando información a su servidor.
• Filtra todo el tráfico para que solo el tráfico necesario para desarrollar tu actividad termine
en tu red.
• Asegúrate de que todos los routers, conmutadores u otros dispositivos de red operan con
el mismo software y funcionalidad, y descarga las actualizaciones de software siempre.
¿Es tu empresa
cibersegura?
1 de cada 10 1 de cada 3
empresas españolas del estudio
se encuentran en el top 25 de peores
ciberataques en Europa
no tienen un plan de respuesta ante
brechas de seguridad
1 de cada 20
se mostraba confiada en sus sistemas
Fuente: Trend Micro
13
Checklist de ciberseguridad
 Instala software de seguridad como antivirus y sistema
de detección de intrusiones (IDS).
 Descarga siempre actualizaciones.
 Cifra tus archivos más importantes.
 Escanea unidades de disco duro y USB en busca de
malware.
 Forma a tu personal en buenas práctias de
ciberseguridad, desde el uso de contraseñas seguras
a reconocer archivos sospechosos.
 Escribe directrices para proteger los dispositivos de tus
empleados y para el trabajo remoto.
 Crea un plan de respuesta a ciberataques.
 Crea un equipo a cargo de comunicar la política de
ciberseguridad a los empleados.
 Usa impresoras y otros periféricos seguros con
tecnologías antifraude y de encriptado.
 Instala software para monitorizar tu red en busca de
tráfico inusual.
Fuente: HP, Inc.
14
El futuro de la
ciberseguridad en las
pequeñas empresas
A medida que las pequeñas empresas refuerzan su
presencia online a un ritmo record, es cada vez más
crucial construir defensas en ciberseguridad sólidas
En el mundo actual los empleados llevan sus propios dispositivos a su lugar de trabajo.
Los propietarios emplean plataformas de computación en la nube y externalizan servicios
técnicos clave. Y según las cifras proporcionadas por la consultora de Empleo Ranstad, un
27% de las empresas españolas incluyen planes de trabajo a distancia.
Al mismo tiempo, gracias a los smartphones hemos aprendido que es posible trabajar desde
cualquier lugar y en cualquier momento. Tanto una cafeteria como una oficina son buenos
sitios para trabajar. Utilizamos redes Wi-Fi públicas para procesar grandes cantidades de
datos personales y corporativos, a menudo desde smartphones con sistemas de seguridad
cuestionables. Los piratas informáticos no son ajenos a estos cambios. La seguridad se ve
comprometida cuando no se presta atención a las circunstancias en las que se desarrolla el
trabajo.
Consejo: Rastrea y
documenta el tráfico
normal primero para
después detectar
anomalías.
En los próximos años esto va suponer mucho más que añadir software antivirus a nuestros
dispositivos o actualizar las contraseñas cada seis meses. Las pequeñas empresas deberán
adoptar medidas de seguridad adicionales que funcionen igual de bien tanto de forma
remota como en una oficina supervisada por un administrador de TI.
Para las organizaciones del futuro, la ciberseguridad dependerá de análisis sofisticados que
aíslen las conductas inusuales y la seguridad basada en la defensa por capas que protege
todos los puntos de acceso.
Análisis: el detective en ciberseguridad
Incluso si tu web no recibe mucho tráfico, existirán patrones. El uso de herramientas de
análisis que miden la actividad de registro puede hacer que sea más fácil diagnosticar algo
que va mal. Estas herramientas funcionan mediente el seguimiento y la documentación,
en primer lugar, del comportamiento normal, con el fin de detectar anomalías más
adelante. Una vez detectados los fallos, los administradores pueden pasar a la ofensiva y
contrarrestar los ataques antes de que tengan la oportunidad de desatar el caos cibernético.
Seguridad por capas: mantén a los atacantes un paso por detrás
También conocida como “defensa en profundidad”, la seguridad por capas protege cada
punto de acceso de múltiples maneras. Los enfoques más comunes incluyen certificados SSL
con Extended Validation (EV) que hacen que sea difícil falsificar las credenciales necesarias
para acceder a una red segura. Combinado con eso, la autenticación multifactor (MFA), que
require que los intrusos deban hackear más de una contraseña, también puede ser útil.
Independientemente de la tecnología utilizada en el trabajo, el principio de la seguridad por
capas consiste en fortificar cada área de la red potencialmente vulnerable de algún modo. Es
posible que los usuarios y socios necesiten más tiempo y esfuerzo para acceder a los datos,
pero los inconvenientes ocasionados sin duda se compensarán con tranquilidad para tu
negocio.
Toma medidas ya
La inversión en software de ciberseguridad y formación es la mejor defensa. Empieza por
hacer una auditoría de tus sistemas e infraestructura. ¿Estás haciendo lo suficiente? ¿Qué se
podría mejorar? A continuación, infórmate sobre el Programa de incentivos en ciberseguridad
español (PICE) y difúndelo para generar soporte a esta interesante iniciativa en materia de
ciberseguridad.
Por último, también puedes consultar con nuestros expertos de Hewlett Packard Inc. Nuestra
base de conocimiento colectivo tiene por objetivo mantenerse a la vanguardia de las amenazas,
no sólo actuar frente a ellas. Para obtener más información, visita visita HP.com.
15
Notas al pie de página
[1] Necsia, conclusiones del estudio, los 10 principales riesgos de las empresas españolas.
16
Glosario y lecturas
complementaraias
Herramientas para la administración de identidades y control de acceso.
Botnet: generalmente hace referencia a un tipo de programa automatizado, diseñado
para acceder y controlar los ordenadores conectados a internet sin el conocimiento de
su propietario. Los ordenadores a menudo se infectan con malware. Los hackers utilizan
botnets para lanzar un ataque de denegación de servicio en un sitio web.
Software de prevención de pérdida de datos: na amplia categoría de software cuyo
objetivo es controlar la información confidencial y bloquear los intentos de los usuarios
no autorizados para acceder o copiarla. Diferentes enfoques permiten la protección en
el terminal de trabajo, en una red o en un sistema de archivos. Gartner experimentó un
crecimiento de un 25% en este mercado en 2013.
Tecnologías de encriptación: herramientas que convierten datos legibles en ilegibles si no
se dispone de algún tipo de decodificador. El cifrado es una medida de seguridad altamente
recomendable. Por ejemplo, el propio Centro Criptológico Nacional de España califica de
importante esta media en ciertas circunstancias como trabajar con la nube, tal como puede
leerse en su guia de seguridad de las TIC: Utilización de servicios en la nube.
Technologias de Firewall: otro término amplio que designa un tipo de dispositivo que utiliza
algoritmos y otras técnicas para bloquear el tráfico y el acceso a usuarios no autorizados. La
próxima generación de estos dispositivos será más potente por la combinación de funciones
que anteriormente eran llevadas a cabo por distintos dispositivos. Por ejemplo, la detección
de intrusos. También suelen detectar aplicaciones y, por lo tanto, reconocen la diferencia
entre el tráfico de internet desde la aplicación de Salesforce.com y desde una página de
Facebook.
Herramientas de GRC: en referencia a iniciativas amplias y coordinadas dentro de una
empresa que se dedica a operaciones de gestión y dirección, de manera tal que cumple con
la normativas y que, como resultado, reduce el riesgo.
Malware: una categoría amplia de software que puede causar daño o, incluso, desactivar otros
sistemas. Los virus, gusanos y troyanos son ejemplos de malware. El malware se incluye en una
categoría distinta a la de los virus, que se localizan en el terminal y aún no se han infiltrado en la
red.
Controles perimetrales: una categoría general que describe la ciberdefensa en el lugar
donde confluyen internet u otra red pública y una red privada y de propiedad y gestión local.
Normalmente están involucradas múltiples capas y tipos de dispositivos.
Phishing: por lo general, se trata de un ataque ejecutado a través del correo electrónico; el
atacante solicita información de identificación en un cuadro de diálogo de aspecto legítimo.
Herramientas de gestión de políticas: en términos generales, las herramientas de gestión de
políticas establecen una asignación de permisos a usuarios e implementan dicho estándar en una
red. La coherencia (en teoría, al menos) garantiza la seguridad.
Sistemas de inteligencia de seguridad: una amplia variedad de inteligencia de seguridad
puede ayudar a reunir y sintetizar información relativa a amenazas. Los sistemas varían
desde los gestores de log hasta sistemas de detección de anomalías de red.
Ingeniería social: mediante la cual un atacante consigue que un usuario autorizado filtre
información confidencial, permitiéndole el acceso.
Caballos de Troya o troyanos: con el mismo impacto que un virus o un gusano,
los troyanos deben ser instalados por un usuario y, como tales, tienden a ocultarse
convenientemente. Los efectos varían desde el cambio de la configuración del equipo o
la eliminación de archivos hasta la creación de una “puerta trasera” para que el hacker
pueda acceder posteriormente.
17
Virus: código malicioso que puede replicarse y extenderse a través de una red. A modo de
curiosidad podéis conocer algunos de los virus más peligrosos de la historia en el artículo de
Computer Hoy.
Ataques basados en la web: por norma general, un ataque basado en la web implica
redirigir un navegador a un sitio web malicioso.
Gusanos: a diferencia de los virus, que se propagan cuando se comparte un archivo, los
gusanos pueden replicarse independientemente de un archivo como un documento de Word
o una hoja de cálculo Excel y, por lo tanto, no requieren interacción humana para sembrar el
caos. Los sistemas de mensajería instantánea han sido objetivo de numerosos gusanos; Por
ejemplo, un caso popular es el del gusano que afectó a Skype en el año 2012.
Suscríbete para obtener actualizaciones
hp.com/go/getupdated
© Copyright 2016 HP Development Company, L.P.