Evite la extorsión por internet
El Buró Federal de Investigaciones (FBI) de Estados Unidos reportó recientemente que los costos asociados con ransomware, un tipo de extorsión por internet, han alcanzado niveles antes vistos. CNN, el medio que reportó la historia, informa que en los tres primeros meses del 2016 cibercriminales internacionales recaudaron 209 millones de dólares por extorsiones a empresas y otras instituciones que pagaron por recuperar sus datos.
La extorsión en línea, conocida como ciberextorsión, no es un mal nuevo. Hay criminales regados alrededor del mundo, incluida Colombia, que se encargan de chantajear a gobiernos, individuos y empresas.
Pero la ciberextorsión a compañías, sobretodo pequeñas y medianas empresas que no se sienten vulnerables o no invierten lo suficiente en la seguridad de sus sistemas, está en auge. En Colombia, los principales objetivos son las empresas del sector bancario, seguidos de a ataques a las de comunicaciones, industria y transporte.
La mayoría de los ataques se inician con correos electrónicos que incluyen documentos adjuntos infectados, o al visitar sitios web comprometidos. Los correos con frecuencia son citaciones, reportes de mora o cobros prejurídicos falsos. Una vez los criminales secuestran su información o sistema, cifrando sus datos con una clave que solo ellos conocen, exigen un rescate. Las recompensas tienden a no ser muy altas, unos 10 mil dólares, por lo que muchas empresas acceder a pagar.
Según expertos como Paul Roberts, de la publicación estadounidense Security Ledger, ceder al chantaje de los cibercriminales es un grave error, ya que pagar no garantiza el desbloqueo de la información. Patrick Wheeler, de la firma de seguridad Proofpoint, explica que “pagar para recuperar sus archivos simplemente confirma que usted es un buen objetivo de futuros ataques”.
Por fortuna, las empresas pueden tomar medidas para evitar caer en las trampas de estos criminales. Si usted es dueño o maneja una compañía, no dude en tomar medidas de seguridad preventivas, le van a ahorrar intensos dolores de cabeza. Firmas como Panda Security y Kaspersky Labs, o el mismo Centro Cibernético Policial de la Policía Nacional, ofrecen una serie de recomendaciones para prevenir los ciberataques. Comparto algunas:
- Realice copias frecuentes de seguridad, o backups, de todos sus datos y sistemas para limitar el impacto de pérdida de información y para ayudar a acelerar el proceso de recuperación. Si puede, realice backups en sistemas offline, que no estén conectados a su red o a internet.
- Concientice a sus empleados para que conozcan los riesgos y para que no descarguen aplicaciones desconocidas y eviten los sitios web no confiables. Por ejemplo, envíe a sus empleados correos frecuentes con tests de phising (URL falsas), para que aprendan a identificar posibles métodos de ataque.
- Defina políticas de navegación en la empresa, asignando reglas de navegación web que controlen la reputación de los sitios a los que se tiene pleno acceso. Regule el nivel de accesos de sus empleados, dependiendo de su nivel de confianza y necesidades.
- Diseñe una solución de seguridad a la medida de su empresa y manténgala actualizada. Incluye antivirus, parches y firewalls.
- Establezca protocolos que permitan controlar las instalaciones y ejecuciones del software.
- Investigue a sus empleados. Realice chequeos de seguridad para asegurarse de no contratar a trabajadores que puedan resultar un riesgo para su organización.
Andrés Cavelier
Consultor en comunicaciones
acavelier@gmail.com
Temas relacionados
Ponte al día
