Catorce segundos. Esa era la predicción en 2017 sobre cada cuánto tiempo se . En octubre de 2019, sin embargo, el dato real era mucho peor. Cada diez segundos, un ciberdelincuente .
Si algo hemos aprendido en 2019 es que los hackers son cada vez más astutos a la hora de diseñar sus tácticas y objetivos. El . Para 2024, se espera que las pérdidas superen los .
La cifra podría incluso aumentar, debido especialmente a que los ciberdelincuentes cambian con frecuencia su manera de atacar. A las empresas que tratan de ir un paso por delante de los hackers les resulta muy difícil tratar de eliminar una vulnerabilidad mientras ya hay otra en ciernes.
Con todo, en muchas ocasiones los hackers emplean métodos frecuentes para infiltrarse en un sistema. De hecho, la suplantación de identidad (phishing) por correo electrónico o en las redes sociales sigue encabezando la lista de tácticas de las que se valen estos hackers. Los ataques con suplantación de identidad son responsables del 90 % de las filtraciones de datos, y los intentos de suplantación de identidad solo en el último año (2018-2019).
Los problemas no dejan de crecer. En 2018, las notificaciones de credenciales en riesgo aumentaron un 70 % con respecto a 2017, .
En cualquier caso, conocer las tácticas y objetivos de los ciberdelincuentes puede suponer un gran avance para la implementación de medidas preventivas. Repasemos las tres tendencias primordiales en ciberdelincuencia que han predominado en 2019.
1. Secuestro de Datos
En 2019, aumentó tanto el alcance como la frecuencia de los ataques a datos, lo que nos indica que se trata de la táctica de ataque preferida por muchos ciberdelincuentes. Estos ataques crecen . El motivo: son más fáciles de acometer por los hackers y les proporcionan mayores recompensas. Simplemente acceden al sistema, bloquean a los usuarios y exigen un rescate por restaurar los sistemas y archivos.
Y el método sigue evolucionando. Los hackers, en busca de la recompensa definitiva para sus esfuerzos, tienen ahora en el punto de mira a empresas que alojan los datos o el acceso on line de diversas organizaciones. Muchas empresas se valen de proveedores que son ahora el objetivo principal de los hackers, ya que el ataque a un sistema puede proporcionarles acceso a cientos o incluso miles de sistemas de clientes, como procesadores de pagos.
Nadie duda de que los secuestros de datos seguirán creciendo exponencialmente como táctica preferida por los ciberdelincuentes. Las causas principales de los ataques a datos hasta la fecha son los descuidos de los empleados (51 %), una protección antivirus ineficaz (45 %) y .
Afortunadamente, la mayoría de las empresas puede hacer frente de manera eficaz a estas causas. Formar a los empleados para que detecten y gestionen los correos electrónicos fraudulentos o llamadas telefónicas en las que se solicita información confidencial puede reducir notablemente el riesgo de que cometan un error. Un proceso claro para informar de actividades sospechosas debería formar parte de la estrategia general de reducción de riesgos de cualquier empresa.
Igualmente, los departamentos de TI deberían actualizar periódicamente todo el software y las aplicaciones de seguridad, además de asegurarse de que los programas antivirus actuales sean capaces de responder a las nuevas amenazas conforme estas surjan.
2. Entidades públicas en el punto de mira
En 2016 se hicieron públicos 46 ataques de secuestro de datos a gobiernos estatales y locales. En 2018, el número aumentó hasta 53 incidentes. A principios de 2019, ya se había alcanzado la cifra de 21 ataques. Aunque las cifras sean inquietantes, los informes señalan que la realidad podría ser mucho peor, dado que muchos gobiernos locales y estatales son reacios a reconocer públicamente los ciberataques.
Muchos ataques de secuestro de datos de alto nivel permiten arrojar algo de luz sobre los riesgos a los que se enfrentan los municipios y entidades gubernamentales. En mayo de 2019, la ciudad de Baltimore sufrió su segundo ataque a datos en solo 14 meses. El ataque de 2019 . La petición de rescate original, que la ciudad se negó a pagar, era de 76.000 dólares. El primer ciberataque afectó al sistema de emergencias (911) de la ciudad y provocó algún que otro trastorno, aunque controlado.
Las entidades de pequeño tamaño tampoco son inmunes a los ataques. La ciudad de Wilmer, en Texas (EE. UU.) sufrió un ataque en agosto de 2019 que desconectó toda su red, desde el Departamento de Policía hasta la biblioteca, en una ciudad de solo unos 5000 habitantes. La ubicación es también irrelevante para los ciberdelincuentes; desde Johannesburgo (Sudáfrica), con más de 5,6 millones de habitantes, hasta Nunavut, una provincia escasamente poblada de Canadá: los hackers buscan presas fáciles.
Para frustrar los intentos de los ciberdelincuentes, las entidades públicas, que por lo general tienen poco o ningún presupuesto para ciberseguridad, pueden emplear también el mismo tipo de medidas preventivas mencionadas anteriormente: formar a los empleados para que respondan e informen correctamente, actualizar los sistemas y aplicaciones periódicamente, y asegurarse de que la protección antivirus esté actualizada y pueda ampliarse para responder a nuevas amenazas.
3. Datos biométricos
Reconocimiento facial. Escaneado de huellas digitales. Escaneado de retina. Las herramientas de identificación actuales son también un foco de exposición ante hackers y posibles demandantes.
Algunos estados están implementando mecanismos de protección. Por ejemplo, en Illinois (EE. UU.) han puesto en marcha una ley de privacidad de la información biométrica (Biometric Information Privacy Act, 740 ILCS 14/1 y ss., o "BIPA" por sus siglas en inglés) que regula la actividad de las empresas que recopilan y guardan datos biométricos de los ciudadanos de Illinois, como sus huellas dactilares. La ley BIPA establece las pautas de cómo los empresarios deben gestionar la información biométrica y los identificadores biométricos de los empleados de Illinois, y en última instancia exige la adopción de medidas razonables para su salvaguarda.
En 2018, un adolescente que visitó el parque de atracciones Six Flags de Illinois se convirtió en protagonista del debate sobre lo que pueden y no pueden hacer las empresas con los datos biométricos que recopilan. Se tomaron las huellas digitales del adolescente como parte del proceso de compra de un pase de temporada. El intento de verificar la identidad del comprador acabó en una demanda legal en la que la empresa debió comparecer ante un tribunal por violar las leyes de privacidad biométrica del estado, que exigen información y consentimiento, incluso sin necesidad de demostrar perjuicio alguno.
Más recientemente, una empresa logística que presta servicios de operaciones y gestión a residencias de la tercera edad en EE. UU., con centros en Illinois, se encontró con que había violado la ley "BIPA". La empresa emplea un sistema biométrico de control de horarios en el que los empleados usan su huella digital para identificarse, en lugar de un mando o tarjeta de identificación. Los empleados se someten al escaneado de su huella digital para registrarse en la base de datos. El demandante, en nombre de los codemandantes, alegó que la empresa no cumplía con la BIPA en relación con el registro y el uso de las huellas digitales. Aunque se llegó a un acuerdo rápido, los costes de la defensa más la compensación a todos los codemandantes supuso un importe total de unos 600.000 dólares.
En cualquier circunstancia en la que se recopilen o almacenen datos biométricos, las empresas están obligadas a actuar con transparencia. Informar de esta práctica de forma transparente y obtener el consentimiento por escrito protege tanto a la empresa como al propietario de los datos biométricos. Además, las empresas deberían explicitar cómo se emplean y se almacenan los datos en cualquier proceso de información y consentimiento.
Cómo mantener a los hackers a raya
Los riesgos cibernéticos evolucionan tanto en su alcance como en su forma. Desde los ataques de secuestro de datos hasta la exposición de datos biométricos, las responsabilidades derivadas de riesgos cibernéticos están adoptando nuevas formas. Para que su empresa vaya un paso por delante, debería asociarse con un asegurador con experiencia, que disponga de un equipo de expertos que le asesore y proteja con estrategias de prevención y respuesta ante los incidentes.
Ya se trate de amenazas de secuestro de datos o exposiciones derivadas del uso de datos biométricos, su empresa debería revisar sus sistemas y pólizas para garantizar que tanto la preparación del sistema como el cumplimiento de las leyes de privacidad son adecuados. También es esencial que sepa cómo responderá su asegurador y cuáles son sus responsabilidades en caso de una filtración de datos o una violación de las normativas sobre privacidad. Su asegurador puede ayudarle a elaborar un plan sólido y proporcionarle un paquete de seguros adaptado a su exposición al riesgo.
