TI en la sombra, phishing, malware, ¡oh cielos! Los riesgos que acechan en secreto a su organización

Vivian Susko | 26 de octubre de 2023

Este mes de octubre hay algo más que telarañas, murciélagos y fantasmas, y está al acecho en los oscuros rincones de las hojas de cálculo, las aplicaciones complementarias y las bandejas de entrada de su empresa.

Cuidado: hay una red retorcida ahí fuera, y este podría ser nuestro año más escalofriante. He aquí algunas estadísticas rápidas para ir abriendo boca:

El Pulso Mensual de Amenazas de marzo de 2023 de la empresa de seguridad informática NCC Group informó recientemente de un aumento del 91% en los ataques de ransomware en marzo de 2023 en comparación con febrero de 2023, y un aumento del 62% año tras año en comparación con los datos de marzo de 2022.
Según una encuesta del Deloitte Center for Controllership, casi la mitad (48,8%) de los directivos de alto nivel y otros ejecutivos esperan que el número y la magnitud de los incidentes cibernéticos dirigidos a los datos contables y financieros de sus organizaciones aumenten en el próximo año.
Según Cybersecurity Ventures, se prevé que el coste de la ciberdelincuencia alcance los 8 billones de dólares en 2023 y crezca hasta los 10,5 billones en 2025.

Sumerjámonos en las sombras... si se atreve.

Shadow IT: desenmascarar las aplicaciones del lado oscuro de su red

Estar fuera de la vista no significa necesariamente estar fuera de la mente cuando se trata de fuerzas incontroladas, no autorizadas e invisibles que amenazan su dominio digital.

Cualquier sistema, aplicación, software o servicio de tecnología de la información que un usuario final utilice sin la aprobación explícita del departamento de TI entra dentro del ámbito de las TI en la sombra. Estos riesgos se esconden en más lugares de los que cree (y no están sujetos a la misma supervisión que permiten las aplicaciones corporativas tradicionales): una empresa media contiene entre 4 y 10 veces más aplicaciones de TI en la sombra que aplicaciones gestionadas por la empresa. Por eso, desde la identificación y categorización de la exposición a amenazas hasta el establecimiento de protocolos de respuesta, muchas organizaciones están adoptando un enfoque basado en sistemas para respaldar sus marcos de control.

¿Quiere saber más sobre la gestión automatizada de riesgos EUC? Explore los siguientes casos de uso:

Pirañas en el agua: phishing, prexting, baiting y más

Si necesitas pruebas de que los ataques de ingeniería social (como el phishing) están en aumento, no busques más allá de los últimos titulares. Tomemos como ejemplo el ciberataque a MGM Resorts, donde los hackers supuestamente utilizaron información de LinkedIn para hacerse pasar por un empleado y manipular información confidencial de otro. El resultado fue un ciberataque a gran escala que afectó a los sistemas operativos de MGM, causando paradas en todos sus casinos, sistemas de reservas, sistemas de correo electrónico, etc.

Hay una buena razón por la que las estafas de phishing siguen figurando como uno de los ciberdelitos más frecuentes en el Informe IC3 del FBI. De hecho, en 2022 se alcanzó una cifra récord de ataques de phishing móvil.

La Agencia de Infraestructura y Seguridad Cibernéticas (CISA) está abordando el phishing como uno de los ciberdelitos a tener en cuenta durante el Mes de Concienciación sobre la Ciberseguridad de este año. CISA se centra en cómo las personas, las familias y las pequeñas y medianas empresas pueden proteger nuestro mundo:

Utilizar contraseñas seguras
Activar la autenticación multifactor (AMF)
Reconocer y denunciar el phishing
Actualización del software

Cuidado: malware, ransomware y más

Los ataques de malware descendieron ligeramente en 2020 por primera vez en cinco años, pero vuelven a aumentar y ya alcanzan los 10,4 millones anuales, según el Informe sobre ciberamenazas 2022 de SonicWall. Ese mismo informe identificó 270.228 variantes de malware "nunca antes vistas" solo en la primera mitad de 2022.

Por no mencionar que las nuevas tecnologías (como GenAI) no introducen necesariamente nuevas capacidades de amenaza, sino que ayudan a los malos actores a ser más ágiles y eficaces. Los actores maliciosos pueden aprovechar los modelos lingüísticos para ser más persuasivos, por ejemplo, haciendo que los ataques de ingeniería social sean más convincentes y peligrosos. Y algunos delincuentes pueden incluso crear sus propios modelos lingüísticos.

El hecho es que las amenazas se mueven con mayor rapidez y eficacia, por lo que su gestión de riesgos también debe hacerlo.

¿Cómo podemos ser más conscientes?

Para ampliar su estrategia de riesgos y convertirla en un proceso que pueda mejorar (y medir) de forma continua y constante, tendrá que incorporar a más personas de su organización, compartir constantemente nueva información a medida que esté disponible y mantenerse ágil con la tecnología basada en la automatización. La formación en materia de seguridad también será diferente: los empleados tendrán que detectar mejor los indicadores de amenaza (como una dirección de envío o un nombre de envío que no coincidan) que los errores ortográficos evidentes.

La clave para que su plan de gestión de riesgos cibernéticos sea aceptado en un contexto de presupuestos ajustados y dificultades de personal.

Bonus fright: riesgo de terceros

Aunque el ransomware ha sido noticia durante varios años, los terceros son un objetivo en alza porque ofrecen economías de escala a los actores de amenazas a través de sus ecosistemas de asociación.

En un mundo de trabajo a distancia, retos en la cadena de suministro global y un ecosistema cada vez mayor de proveedores que apoyan su negocio, el riesgo ya no está limitado a su sede, lo que significa que necesita poder:

Identificar los riesgos asociados a un ecosistema de proveedores ampliado
Mitigar los riesgos que plantean los proveedores externos e internos
Determine si su estrategia y tecnología actuales respaldan un programa integral de gestión de riesgos de terceros.

¿Quiere más consejos para identificar y mitigar el riesgo de terceros? Descárguese nuestra lista de comprobación exhaustiva de la GTRC.

Llevar la gestión de riesgos del miedo a la seguridad, y medirla

Las amenazas dan más miedo cuando se mantienen en la oscuridad, por lo que una estrategia de gestión de riesgos exitosa es aquella en la que se limpian las telarañas y se encienden las luces. Las amenazas ya no deben imaginarse como sorpresas que saltan de las sombras, sino como acontecimientos esperados que afectan a todas las empresas. Para sortear este cambio, las empresas estratégicas emplean tecnologías de gestión de riesgos que combinan el aprendizaje automático con una vigilancia constante para ayudar a los usuarios a identificar, mitigar y notificar los riesgos.

Más recursos de su interés:

Explore la galardonada gestión de TI en la sombra y EUC

Vea por qué ClusterSeven ganó un premio Mutable de Oro en el informe Bloor InBrief 2023

Informe Explore

Vivian Susko

Vivian Susko es la Directora de Marketing de Contenidos para Corporate Legal (CLC) y Governance, Risk, and Compliance (GRC) en Mitratech. En estrecha colaboración con los equipos de marketing de productos y de campo, supervisa la ejecución de contenidos y la estrategia de SEO, ayudando a contar la historia de Mitratech con una voz única y poderosa.

Actualmente reside en New Hampshire. Vivian es licenciada en Empresariales y Literatura Inglesa por la Universidad de St. Lawrence, donde fue capitana durante tres años del equipo femenino de voleibol, presidenta de la ODK National Honors Society, cocuradora de TEDx en la Universidad de St. Lawrence y editora de apoyo de la revista Underground Student Research Journal. Ella todavía persigue una mezcla de periodismo y escritura creativa en su tiempo libre, publicando su primera historia corta en diciembre de 2020. Cuando Vivian no está trabajando en un borrador, se la puede encontrar cultivando un huerto (sobre todo albahaca y tomates), paseando al perro, jugando al pickleball y preparándose una taza de café demasiado cargado.

Sigue: