La Guía del Profesional Independiente para los Ciberataques

Tiempos Cambiantes y Explotación de Ciberataques

En el otoño de 2016, Mirai, una red de bots de malware, arrasó una universidad y varios objetivos de alto perfil como Netflix y Twitter.

Descubierto por primera vez en agosto de ese año por investigadores de malware de sombrero blanco, Mirai causó algunos de los ataques de denegación de servicio distribuido (DDoS) más grandes y disruptivos jamás registrados.

Desde entonces, mucho ha cambiado. Mirai y otras botnets han evolucionado hacia sistemas de malware más fuertes y controlados a distancia, utilizando inteligencia artificial para guiar los ataques.

Los exploits de ciberseguridad también han cambiado su enfoque de las empresas a las pequeñas empresas, que generalmente carecen del conocimiento, habilidades y presupuestos de TI de las empresas más grandes. Los ciberataques nunca dejan de evolucionar y los hackers son cada vez más inventivos y atrevidos.

Como resultado, los ataques cambian constantemente de maneras inesperadas y peligrosas.

Cómo están cambiando los ciberataques

Las pequeñas empresas, profesionales solos y prácticas privadas están más expuestas que nunca a los ciberataques. Las tendencias recientes incluyen:

• Los ataques son más fuertes y fáciles de configurar, organizar y pagar.
• Los ataques multi-vector (explotaciones de ransomware configuradas con ataques de denegación de servicio, por ejemplo) ocurren con mayor frecuencia.
• Incluso los atacantes inexpertos pueden alquilar caos digital por hora, aunque su nombre educado es amenazas internas como servicio (ITaaS).

Estas tendencias deberían importar a profesionales solos y prácticas profesionales. Eso es porque más allá del costo de reparar el daño de un ciberataque:

• Las soluciones heredadas no están resistiendo a explotaciones sofisticadas. Muchos profesionales de TI están luchando la última guerra con soluciones de hardware ahora obsoletas.
• Las defensas efectivas requieren cambios en los recursos y estrategias de seguridad utilizados. Los profesionales (o proveedores de servicios externos) deben dedicar más tiempo, esfuerzo y dinero para establecer defensas adaptadas a un nuevo panorama de riesgos.

Esta guía proporciona instrucciones detalladas sobre cómo proteger sus operaciones informáticas contra tipos específicos de ciberataques.

Y los profesionales independientes deben abordar requisitos adicionales establecidos por agencias federales, regionales y estatales y grupos profesionales. Una descripción completa de estos requisitos está fuera del alcance de esta guía.

Pero en cada caso, describiremos prácticas generales y señalaremos recursos importantes.

Protegiendo su lugar de trabajo o práctica privada

En varios casos descritos a continuación, los atacantes se centran en empresas en el entorno informático para pequeñas oficinas. Los sistemas informáticos están configurados en prácticas profesionales y oficinas de profesionales solos. ¿Qué es eso?

Los practicantes incluyen proveedores privados de atención médica, abogados, especialistas en impuestos, inversores, corredores y asesores financieros.

Reconociendo y Respondiendo a los CiberataquesCyberattacks

Cualquier red conectada a Internet está expuesta a agujeros en sus defensas de ciberseguridad. Estos objetivos pueden incluir cualquier sistema con una dirección IP o un nombre de host que se resuelva públicamente en un servicio de nombres de dominio (DNS).

Por lo tanto, corre el riesgo de que los hackers ingresen a su red si su sistema utiliza una VPN, protocolo de escritorio remoto (RDP) u otras herramientas de acceso.

Esta sección describe seis tipos principales de ciberataques, sus tendencias, causas y efectos en el negocio en oficinas y prácticas profesionales solas. Aprenderá a reconocer las amenazas de ataque y cómo reducir el riesgo de ser un objetivo.

Ransomware: Pague o quede bloqueado

Las organizaciones más pequeñas, incluidos los profesionales solos y las prácticas de servicios profesionales, están recibiendo más atención de los ciberatacantes que nunca. Eso hace que el ransomware sea una amenaza seria para las pequeñas empresas: la amenaza número 1 en 2020.

Cómo funciona el ransomware

El ransomware es un tipo de malware. Encripta archivos en un dispositivo, haciendo que el sistema que depende de ellos sea inutilizable. Los atacantes exigen un pago (rescate) para devolverle el acceso. Los hackers requieren el pago en criptomoneda, tarjeta de crédito o tarjetas de regalo no rastreables.

Este exploit es inducido por el pánico, molesto y efectivo. Desafortunadamente, pagar el rescate no garantiza que recupere el acceso.

Aún peor, las víctimas que pagan son frecuentemente atacadas nuevamente. La infección de una máquina o dispositivo puede propagar ransomware en toda su red y, a veces, a otras empresas en su cadena de suministro.

Ataques de ransomware más sofisticados

En años anteriores, durante un ataque de ransomware, podía decirle a los hackers “de ninguna manera” que pagaría y restauraría archivos desde copias respaldadas.

Ahora, las tácticas del ransomware han cambiado. Primero, los atacantes roban y luego cifran todos los archivos que pueden. Luego, si se niega a pagar el rescate, amenazan con publicar archivos confidenciales.

Eso significa que ahora debe cifrar información comercial confidencial como IP y datos importantes que almacena o envía con Internet.

Hay varias formas en que el ransomware puede ingresar a su computadora o sistema:

• Correo no deseado y técnicas de phishing. Estos mensajes incluyen un archivo adjunto malicioso o un enlace a un sitio web malicioso o comprometido. Los usuarios desprevenidos hacen clic en un enlace y el malware ingresa a su infraestructura informática.
• Kits de explotación. Estos kits de herramientas de software están disponibles en la web oscura por alrededor de $50. Los hackers usan estos kits para encontrar y aprovechar lugares fáciles de ingresar en su navegador o programas.
• Actualizaciones de software falsas. Este método engaña a los usuarios para que otorguen a los hackers capacidades de administrador y les permite instalar código malicioso.

Señales tempranas de ataques de ransomware

No hay forma de prevenir los ataques de ransomware. Lo mejor que uno puede hacer es reducir las probabilidades de infectar su computadora o sistema. Eso significa que alguien que sea experto en computadoras debe revisar sus computadoras, dispositivos y red en busca de vulnerabilidades como:

• Ataques de phishing conocidos o sospechosos. La mayoría de los ataques de ransomware llegan como un archivo adjunto de correo electrónico. Busque correos electrónicos con dominios extraños o desconocidos que hayan llegado a su red.
• Muchos errores de inicio de sesión ocurren en Active Directory.
• Evidencia de ataques de fuerza bruta en su red.
• Registros que muestran una serie de preguntas sobre una sola máquina.
• Herramientas de seguridad utilizadas en lugares donde no fueron asignadas. ¿De dónde vino esa instancia de Mimikatz (una herramienta legítima a menudo utilizada en ataques de phishing)?
• Marcas de tiempo inusuales que aparecen en las conexiones VPN. ¿Quién estaba trabajando a las 0237? ¿Estás seguro?
• El sistema redirige el tráfico a lugares aterradores en la Dark Web. Nadie que use su red debería acercarse a TOR, por ejemplo.

Respuesta al ataque de ransomware

Si es atacado, hay bastantes cosas que puede hacer y otras que debe evitar.

¿Qué no hacer? No entre en pánico ni pague el rescate. Si se niega a pagar, está en buena compañía: más del 75 por ciento de las pequeñas empresas toman esa decisión.

Qué hacer inmediatamente. Esto es lo que debe hacer para limitar el daño a su red. (Si tiene un host en la nube o MSP, es su trabajo realizar estos pasos):

• Rastrea el ataque. ¿Dónde entró y qué sistemas y dispositivos están afectados?
• Desconecte sus conexiones. Asegúrese de cortar todas las conexiones a Internet y entre dispositivos IoT.
• Notifique a su profesional de seguridad informática si tiene uno. Si contrata proveedores de servicios administrados, es posible que tengan servicios de respuesta las 24 horas. Si no, llame por teléfono.
• Notifique a las autoridades. Este puede ser un proceso complejo que requiere más tiempo y esfuerzo para informar que otros ciberataques. Por ejemplo, consulte esta publicación, que enumera los requisitos de notificación para oficinas legales.
• Informar a todos los empleados y clientes. No demore en completar este paso. Una respuesta lenta puede afectar sus relaciones laborales con socios y proveedores.
• Actualice todos sus sistemas de seguridad.

Y si no tiene un plan de ataque por violación, cree uno lo antes posible después de que se asiente el polvo.

Ataques Phishing: Tome el cebo y las consecuencias

Los estafadores usan correos electrónicos o mensajes de texto para engañarlo y hacer que les dé su información personal. Podrían intentar robar sus contraseñas, números de cuenta o número de Seguro Social. Si obtienen esa información, es “¡Abre, sésamo!” Pueden acceder a su correo electrónico, banco u otras cuentas.

El objetivo del phishing sigue siendo el mismo, el acceso a la información que eventualmente pueden convertir en efectivo. Sin embargo, los principales objetivos del spoofing (engañar a los propietarios de cuentas) están cambiando.

Tendencias de ataques de phishing

Con los despidos en aumento y más empleados trabajando desde casa, los hackers están atacando a las empresas de pequeñas oficinas. Sin embargo, las campañas masivas de phishing del pasado se están volviendo más específicas y se envían en volúmenes más bajos.

Un solo correo electrónico de phishing podría haber sido enviado a cientos de destinatarios en el pasado. En 2020, la mayoría de las campañas de phishing se enviaron en volúmenes mucho más bajos y utilizaron nuevos métodos para transportar el malware.

¿Por qué el cambio? Las olas masivas de phishing son más fáciles de detectar que los ataques de bajo volumen. Esta tendencia muestra que los phishers están mejorando en la elección de sus objetivos.

Las empresas pueden mejorar la conciencia del usuario de la cuenta, pero los phishers también están mejorando. Incluso han comenzado a falsificar plataformas de capacitación en conciencia sobre phishing.

Cómo funcionan los ataques de phishing

Un atacante se hace pasar por un contacto confiable y envía al destinatario mensajes falsos. La víctima abre y hace clic en el enlace malicioso del correo o abre el archivo adjunto del correo electrónico. Un clic y ¡voilà! Los atacantes obtienen acceso a información confidencial y credenciales de cuenta.

Además de los métodos tradicionales de phishing, los correos electrónicos COVID-19 y las notificaciones de archivos compartidos han sido más comunes desde la pandemia. En las plataformas SharePoint, OneDrive y Dropbox, los trabajadores reciben diariamente notificaciones de archivos compartidos desde estas aplicaciones conocidas. En 2020, los hackers explotaron cada vez más la credibilidad de estos servicios para ocultar sus identidades e intenciones.

Causas del ataque de phishing

La naturaleza humana (falta de atención o prisa) no ha cambiado, pero las fuentes del cebo del phishing son nuevas y más complejas.

Señales tempranas del ataque de phishing

Hay muchas formas de protegerse contra este ataque, pero la principal es la vigilancia. Lo principal que debe recordar es que las expediciones exitosas de phishing funcionan con adrenalina. Entonces, manténgase fresco y observe estas señales reveladoras:

• Un documento sospechoso enviado por una empresa o institución que conoce o tiene tratos.
• Un mensaje basado en una historia que te hace querer hacer clic en un enlace o abrir un archivo adjunto.
• Comentarios del usuario o técnico sobre notar actividad sospechosa en TI o intentos de inicio de sesión.
• Una afirmación de que hay un problema con su cuenta o información de pago.
• Avisos que le piden que confirme información personal o comercial.
• Comunicaciones que incluyen una factura.
• Mensajes urgentes que quieren que haga clic en un enlace para realizar un pago.
• Mensajes que afirman que es elegible para un reembolso del gobierno.

Respondiendo a ataques de phishing

Hay buenas noticias sobre los ataques de phishing. Son evitables. Aquí hay algunas formas de hacerte menos objetivo.

Reduciendo los riesgos de ataques de phishing

No hay protección del 100 por ciento contra ningún riesgo de seguridad, pero aquí hay métodos confiables que pueden inclinar las probabilidades a su favor:

• Proteja sus computadoras y dispositivos utilizando software de seguridad.
• Proteja su teléfono móvil configurando el software para que se actualice automáticamente.
• Proteja sus cuentas utilizando autenticación multifactor.
• Proteja sus datos haciendo una copia de seguridad.

Mantenga su dedo en el gatillo en espera

DETÉNGASE si recibe un correo electrónico o un mensaje de texto que le pida que haga clic en un enlace o abra un archivo adjunto. Luego pregúntese, “¿Tengo una cuenta con la empresa o conozco a la persona que me contactó?”

Si la respuesta es no:

• Encuentre y revise los indicadores descritos en las “Señales tempranas del ataque de phishing” anteriormente en esta guía.
• A continuación, busque signos de una estafa de phishing.
• Si ve alguno, informe el mensaje.
• Borre el mensaje.

Si la respuesta es sí:

• Póngase en contacto con la empresa utilizando un número de teléfono o sitio web que sepa que es real.
• No use la información de contacto en el mensaje cebo. Hacer clic en archivos adjuntos y enlaces puede instalar malware dañino.
• Informe el mensaje.
• Borre el mensaje.

Si cree que su sistema está infectado …

Está bien, no pudiste detenerte a tiempo. Hiciste clic en un enlace que te envió directamente a un ciberdelincuente. ¿Y ahora qué?

• Si cree que un estafador tiene su información, como su número de Seguro Social, información de tarjeta de crédito o número de cuenta bancaria, vaya a IdentityTheft.gov y siga los pasos específicos según la información que perdió.
• Si cree que hizo clic en un enlace o abrió un archivo adjunto que descargó software dañino, actualice el software de seguridad de su computadora.
• Finalmente, ejecute un análisis de seguridad en todo el sistema.

Informar el ataque a las autoridades

Si recibió un correo electrónico o mensaje de texto de phishing, infórmelo. La información que proporcione puede ayudar a combatir a los estafadores.

• Reenvíe el correo electrónico de phishing al Grupo de Trabajo Anti-Phishing en [email protected]. O, si recibió un mensaje de texto de phishing, reenvíelo a SPAM (7726).
• Informe el ataque de phishing a la FTC en ftc.gov/complaint.

Ataques de contraseñas: Obtener acceso ilegal

La descodificación de contraseñas significa recuperar contraseñas de una computadora o datos que una computadora transmite. Los ataques de contraseñas son exploits en los que un hacker identifica su contraseña u otras credenciales de inicio de sesión con varios programas y herramientas de descifrado de contraseñas como Aircrack, Cain y Abel o John the Ripper.

Ataques y defensas más sofisticados

Están falsificando datos de voz y la imitación de video no es una herramienta de ataque futura. Estaban aquí en 2019. Los hackers utilizaron IA y tecnología de voz para hacerse pasar por un propietario de negocio. Un CEO de una empresa estaba convencido de la identidad del propietario para transferir $243,000 a un hacker.

Pero las defensas de seguridad también son más robustas. Por ejemplo, las contraseñas se almacenan utilizando una función de derivación de clave (KDF). Este método ejecuta una contraseña a través de un cifrado unidireccional y un servidor mantiene la versión cifrada de la contraseña.

Ataque. Defiende. Rediseña. Repite.

Piense en los ataques de contraseñas como guerras tit-for-tat entre ciberdelincuentes y diseñadores y ingenieros de productos informáticos.

Los exploits de seguridad se vuelven más efectivos, por lo que se desarrollan software y hardware para hacer que los atacantes usen más tiempo y recursos para penetrar en su red. Los atacantes responden diseñando exploits más rápidos, fuertes o más inesperados que sus esfuerzos anteriores.

Este escenario ha sido parte de la seguridad informática durante años y continuará. Aquí hay una lista de los ataques de contraseñas más comunes:

• Phishing: Intenta atraerte para hacer clic en archivos adjuntos o enlaces que conducen a malware
• Hombre en el medio. Inserta a un mal actor en el flujo de comunicaciones entre un usuario y un usuario destino en una red objetivo.
• Ataques por diccionario y otros ataques por fuerza bruta: Utiliza métodos de prueba y error y análisis de datos de alta velocidad y alto volumen para identificar contraseñas u otra información de credenciales.
• Keylogging: Entra en una red por sigilo y captura todos los datos escritos en los teclados del sistema.
• Relleno de credenciales. Intenta obtener acceso no autorizado a cuentas de usuario dirigiendo muchas solicitudes de inicio de sesión automatizadas (a menudo decenas de miles) a una aplicación web.

Causas de los ataques de contraseñas.

Puede resumir las causas de estos ataques en una palabra: humanos, a menudo el eslabón débil en la cadena de seguridad. En los ataques de contraseñas, la naturaleza humana se expresa de varias maneras.

Gestión deficiente de contraseñas de cuenta.

• No hay políticas establecidas para contraseñas / frases de contraseña, o se aplican de manera irregular.
• No hay un calendario de actualización de contraseñas / frases de contraseña.

Gestión deficiente del acceso a la cuenta

• Demasiados usuarios tienen acceso a activos específicos de la empresa.

Defendiendo contra ataques de contraseñas

Incluso si sus operaciones informáticas involucran solo un puñado de computadoras y dispositivos, su negocio sigue siendo un objetivo atractivo para los hackers. Considere un enfoque en capas para defender sus procesos laborales y comunicativos. Este enfoque incluye la configuración:

• Políticas de contraseña y acceso a la red. (Detalles a continuación)
• Autenticación multifactor. Algunos especialistas en seguridad consideran que los procedimientos MFA obsoletos que usan teléfonos y mensajes de texto. Los productos MFA con visión de futuro ahora incluyen opciones de identificación en dos o tres niveles, que combinan capacidades de mensajería y biométricas (huellas dactilares, reconocimiento facial, reconocimiento de voz y escaneos de retina).
• Equipo y horario de monitoreo de red. Las capacidades de monitoreo de red de bricolaje llevan a los técnicos informáticos internos a aguas profundas. Hay software comercial disponible, pero sin conocimientos y experiencia profundos, elegir e instalar este equipo debe dejarse en manos de profesionales.
• Una simulación de ataque de contraseña. A veces llamada una prueba de pluma, este valioso método pone a prueba su sistema al imitar un ataque de contraseña.

Sí, las tareas de configuración y monitoreo requieren tiempo y esfuerzo, quizás más de lo que puede o desea comprometerse. Considere contratar a un proveedor de servicios de seguridad externo si prefiere delegar estas tareas.

Hacer que sea difícil para los hackers ingresar a su sistema.

Como siempre, nunca previene completamente un ataque de contraseña. Pero hacer que sea demasiado problemático para los hackers ingresar a su sistema puede ayudarlo a evitar daños.

Las mejores formas de hacerlo incluyen crear políticas para contraseñas y acceso a datos valiosos e información comercial confidencial.

Las políticas de contraseñas requieren que los usuarios creen y mantengan contraseñas confiables y seguras. Estas reglas están en la parte superior de la lista de tareas pendientes de seguridad. Van más allá de las mejores prácticas sugeridas (aunque también está bien tenerlas).

• Adopte frases de contraseña como estándar. Cree frases de contraseña en lugar de contraseñas. Las frases de contraseña suelen ser más difíciles de descifrar debido a su longitud. Cree una frase de contraseña fuerte como una contraseña: símbolos, números y letras (mayúsculas y minúsculas).
• Requiera frases de contraseña más largas y fuertes. Hace mucho tiempo, las contraseñas de cuatro caracteres eran suficientes. Ahora, 10 a 16 caracteres son el nuevo estándar para contraseñas y frases de contraseña fuertes. ¿Por qué tan largo? Hacen que los hackers usen más recursos para ingresar a su sistema.
• No use detalles personales. diga no a las frases de contraseña que se refieren a la información personal de los usuarios. Eso significa olvidar el nombre de tu gato favorito, el cumpleaños de tu madre o tu equipo favorito de la NFL.
• No hay contraseñas duplicadas. Nunca. Haga que compartir contraseñas o usarlas para más de una cuenta sea tabú.
• Evite las contraseñas comprometidas anteriormente. Si fue hackeado en el pasado, deshágase de todas las contraseñas cuando ocurrió el ataque. Los hackers a menudo regresan.
• Use un administrador de contraseñas y manténgalo sin conexión. Un administrador de contraseñas de software o una lista de contraseñas en un documento de Word está bien. Simplemente mantenga la lista en una máquina que no esté conectada a Internet. Si la información de contraseña / frase de contraseña está conectada a Internet, es vulnerable a los hackers.

Entendemos si todo este esfuerzo parece un poco excesivo para un negocio de una sola persona o una pequeña práctica profesional. El secreto del éxito en seguridad informática es tener estándares claramente definidos y seguirlos de manera consistente.

Reduciendo el daño de los ataques de contraseñas

Si te hackean, estás en buena compañía. Alrededor del 50 por ciento de las empresas más pequeñas comparten tu experiencia. Recuerda, cuando te golpeen, actúa rápidamente para reducir el daño a tu infraestructura informática y relaciones comerciales: haciendo

Conteniendo el daño inmediatamente.

Restablece todas las contraseñas y elimina cualquier archivo corrupto. En una violación grave, es posible que debas desconectar todo el sistema, aislar parte de tu red, bloquear el tráfico del sitio web o instalar cortafuegos temporales.

Contactando a las autoridades y miembros de tu red comercial.

Si el ataque robó información financiera sensible, las llamadas al FBI y la FTC deben estar en tu lista de tareas pendientes.

Contacta a clientes, proveedores, socios y proveedores de servicios. Ser minucioso aquí generará buena voluntad a lo largo de tu cadena de suministro.

Amenazas internas

Cuando ocurre una violación de datos, la amenaza (deliberada o accidental) a menudo proviene del interior. Una amenaza interna puede ser un socio, empleado o contratista dentro de tu organización; o un evento impredecible basado en un momento de descuido.

Si dudas que las amenazas internas puedan afectar a tu práctica, piénsalo de nuevo. El estereotipo de una amenaza interna (un empleado descontento que se va con un maletín lleno de información sensible) sigue siendo relevante pero menos que antes.

Y ahora puedes agregar la amenaza interna como servicio (ITSaaS) a la mezcla. Puedes comprar casi cualquier cosa en la web oscura, donde puedes encontrar células organizadas de infiltrados de reclutamiento.

En este escenario, los malos actores se convierten en empleados confiables para ser entrevistados, ingresando a tu fuerza laboral y robando propiedad intelectual altamente valiosa y otra información.

Señales tempranas de amenaza interna

El error humano, por no mencionar la codicia y la malicia, siempre puede contar con exponer propiedad intelectual e información comercial legal o financiera sensible a malos actores. Aquí hay seis cosas a tener en cuenta:

• Un número inusual o tipos de solicitudes de acceso.
• Un usuario se asigna privilegios de acceso más altos.
• Los empleados traen unidades USB o grabadoras de DVD al trabajo.
• Los empleados envían correos electrónicos a destinos fuera de los que están en su red comercial.
• Alguien obtiene acceso a la información después del horario laboral o cuando está de vacaciones.
• El comportamiento del empleado cambia inesperadamente (las relaciones con los colegas se agrian, alguien renuncia repentinamente).

Ataques Man-in-the-Middle: Escuchando conversaciones

En este exploit, los hackers interceptan comunicaciones entre un usuario del sistema y el servidor al que el usuario intenta llegar.

Los hackers pueden robar contraseñas y otros datos sensibles o alterar activamente la información inyectando malware en la sesión de comunicaciones.

Evitando ataques MitM

Estos ataques son especialmente relevantes para las empresas más pequeñas porque la mayoría de los ataques man-in-the-middle tienen como objetivo organizaciones sin dinero para soluciones costosas de ciberseguridad.

Los ataques MitM son prevenibles. Solo recuerda:

• Evita usar enrutadores Wi-Fi públicos. Cuando accedas a información comercial sensible, mantente alejado de las redes gratuitas no seguras como las de tu cafetería o biblioteca local.
• Usa una VPN. Una red privada virtual (VPN) puede proteger y cifrar los datos que envías y recibes si usas redes no seguras. Consulta nuestra lista de recomendaciones de VPN para obtener más consejos.
• Mantén el software actualizado. Actualiza las últimas versiones de navegadores web seguros como Chrome o Safari y aplicaciones de escaneo de seguridad como WebRoot. Asegúrate de cambiar todas las configuraciones del software de seguridad para que se actualicen automáticamente.
• Presta atención a las alertas del navegador. Estas alertas informan que un sitio web al que deseas ingresar no es seguro. Es fácil ignorarlos, pero recuerda: existen para ayudarte a evitar convertirte en un punto de entrada para malware u otro software malicioso.
• Toma precauciones para evitar ataques de malware y phishing. El software que permite estos ataques a menudo proporciona a los hackers MitM acceso a tus datos y comunicaciones. Consulta las secciones «Ataques de contraseñas» y «Ataques de phishing» en esta guía para obtener información detallada sobre cómo hacerlo.

Ataques distribuidos de denegación de servicio

En un ataque distribuido de denegación de servicio (DDoS), los hackers usan malware u otras herramientas cibernéticas para hacer que las computadoras o recursos de red no estén disponibles para sus usuarios previstos.

Cuando se ejecutan con cientos de miles de bits de malware, los ataques DDoS pueden detener la actividad de las empresas más grandes. Estos ataques pueden funcionar por sí solos o con ataques de contraseñas para causar más daño a sus objetivos.

Muchos ataques DDoS tienen como objetivo una capa de red que controla las conexiones entre redes. A medida que los atacantes envían grandes volúmenes de tráfico basura a tu infraestructura informática, tu sitio puede volverse lento o incluso inaccesible para los usuarios. Eventualmente, tu sitio se vuelve inutilizable. Tu negocio y sus flujos de ingresos se detienen.

Tendencias recientes en ataques

Los ataques DDoS han crecido en potencia y complejidad a lo largo de los años y victimizan redes de todos los tamaños. Los ataques gigantescos (2.3 Tbps en febrero 2020 y hasta 1.5 Tbps en 2016) siguen sorprendiendo a los profesionales en seguridad informática.

Pero los ataques más pequeños también son efectivos contra los activos de Internet poco protegidos de las empresas más pequeñas.

Señales tempranas de ataques DDoS

El monitoreo y análisis del tráfico de red es la mejor manera de detectar e identificar un ataque DDoS. Estos síntomas pueden indicar un ataque DDoS en progreso:

• Rendimiento de red inusualmente lento cuando los usuarios abren archivos o ingresan a sitios web.
• Un sitio web en particular no está disponible.
• Todos los sitios web no están disponibles.
• Contacta a tu ISP para confirmar si el corte del servicio se debe a un problema de red externo o interno.

Comprender las señales de advertencia de desaceleración de la red, cierres intermitentes del sitio web y pérdida de otras funciones importantes del sistema es importante.

Estas reglas y pautas generales se aplican a todas las operaciones informáticas de pequeñas oficinas. Sin embargo, cuando te dedicas a prácticas especializadas, hay más requisitos.

Trabajando con requisitos de cumplimiento y responsabilidad

Dependiendo de tu especialización, tu práctica podría trabajar con varios tipos de datos legales, financieros y de salud sensibles. Hay estándares, leyes y regulaciones de seguridad que protegen cada tipo de información.

Prácticas legales

Cada país y estado de EE. UU. tiene sus propias leyes y recomendaciones de protección de datos. Aquí hay consejos de cumplimiento para bufetes de abogados en EE. UU.:

• Realiza verificaciones detalladas de antecedentes al contratar nuevos empleados.
• Identifica la ubicación y el tipo de datos sensibles que almacenas y manejas.
• Cifra información sensible en reposo y en tránsito.
• Verifica cuidadosamente las identidades de los usuarios utilizando autenticación multifuncional.
• Minimiza el número de usuarios que acceden a información sensible.
• Instala y usa una solución de monitoreo de empleados.
• Presta especial atención a los usuarios privilegiados que acceden a los datos e infraestructura críticos de tu organización.
• Verifica el cumplimiento de los proveedores con los estándares de ciberseguridad y qué proveedores tienen acceso a tus activos importantes de la empresa.
• Escribe y aplica planes de respuesta a incidentes y protección contra amenazas.

Organizaciones estándar

Muchas agencias gobiernan cómo los bufetes legales recopilan, almacenan y manejan información. Aquí están las principales entidades que guían estas actividades en EE. UU. y la Unión Europea:

• La Asociación Americana del Colegio de Abogados desarrolló las Reglas Modelo de Conducta Profesional.
• Instituto Nacional de Estándares y Tecnología (NIST) estableció y mantuvo la Publicación Especial 800-53.
• Reglamento General de Protección de Datos (GDPR) guía el cumplimiento de las empresas que operan en la UE o gestionan los datos de residentes en la UE.

Más información

Estos actos y estándares industriales describen las protecciones necesarias para tipos específicos de datos. Estos incluyen:

• HIPAA para información sanitaria.
• PCI DSS para datos financieros y tarjetas de crédito.
• SOX para información contable e inversora.

Prácticas médicas

Los médicos en prácticas médicas con menos de 20 empleados a menudo son reacios a gastar dinero en medidas de seguridad HIPAA. No creen que estén en riesgo de una violación de datos. Pero entonces, todo lo que se necesita es una computadora portátil perdida, el robo de una tableta o un error humano para liberar accidentalmente datos del paciente. Y luego está el riesgo de ransomware o una violación de datos.

Las pequeñas empresas son responsables de una amplia variedad de ciberataques. Aquí hay algunas sugerencias y punteros a agencias que pueden guiar a tu práctica a través de la era moderna de los ciberataques.

Regla de seguridad HIPAA

La Regla de Seguridad HIPAA se enfoca en asegurar la creación, uso, recepción y mantenimiento de información personal de salud electrónica por organizaciones cubiertas por HIPAA. Esta regla establece pautas y estándares para el manejo administrativo, físico y técnico de la información personal de atención médica.

Las violaciones de datos en el cuidado de la salud son muy frecuentes. Publicamos una pieza de investigación que destaca la incidencia de violaciones de datos en el cuidado de la salud en EE. UU. entre 2009 y 2019.

Cumpliendo con la Regla de Seguridad HIPAA

Aquí hay una lista de capacidades que las prácticas médicas deben poder mostrar en auditorías de datos:

• Educando al personal sanitario (conciencia general sobre seguridad y conocimiento sobre los requisitos HIPPA)
• Restringiendo el acceso a los datos del paciente y las aplicaciones
• Controlando cómo se usan y almacenan los datos del paciente
• Registrando y monitoreando datos relacionados con el acceso y el uso
• Cifrando datos en dispositivos móviles
• Asegurando dispositivos móviles
• Reduciendo los riesgos al operar dispositivos del Internet de las cosas (IoT)
• Realizando evaluaciones regulares del riesgo de datos
• Usando instalaciones externas para copias de seguridad de datos

Organizaciones estándar

HIPAA: La Ley de Portabilidad y Responsabilidad del Seguro Médico es una ley federal que tiene como objetivo facilitar a las personas:

• Mantener su seguro médico cuando cambian de trabajo.
• Proteger la confidencialidad y seguridad de la información sanitaria.
• Ayudar a la industria del cuidado de la salud a controlar sus costos administrativos.

Organización Internacional de Normalización: ISO 22301: 2012 es un estándar internacional que proporciona un marco de mejores prácticas para implementar un sistema de gestión de continuidad del negocio (BCMS) optimizado. Más estándares ISO se aplican a los datos de pacientes médicos. Puedes encontrarlos aquí.

Prácticas y asesores de servicios financieros

La Comisión de Bolsa y Valores (SEC) y los reguladores estatales de valores de EE. UU. están comenzando a tomar medidas enérgicas contra las prácticas de ciberseguridad de los asesores financieros para garantizar que los profesionales de servicios financieros y sus empresas tomen en serio la ciberseguridad. Aquí están los cambios recientes en la actividad de cumplimiento relacionada con la aplicación. El:

• La SEC ahora realiza exámenes de ciberseguridad además de inspecciones regulares.
• La SEC ahora cobra a las empresas que no mantienen seguros los datos del cliente.
• La Asociación de Mercados Financieros e Industrias de Valores trabaja con empresas financieras y reguladores gubernamentales para simular ataques cibernéticos reales.
• El Instituto Americano de Contadores Públicos Certificados ha desarrollado certificaciones en ciberseguridad como los Controles y Organización de Sistemas. Se está desarrollando una certificación similar para empresas y asesores de servicios financieros.

Establecer un marco formal de seguridad.

• El Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) describe las mejores prácticas que cubren cinco áreas centrales de identificación de ciberseguridad: protección, detección, respuesta y recuperación.
• El Manual de Examen de Tecnología Informática del Consejo Federal de Instituciones Financieras (FFIEC) proporciona una lista completa de pautas de seguridad.

Desarrollar estas capacidades debería facilitar el cumplimiento con los estándares GLBA, PCI DSS y SOX.

Fortalece el conocimiento sobre seguridad de tus empleados.

La mayoría de los ataques por malware tienen éxito al usar esquemas en línea de ingeniería social que manipulan a usuarios desprevenidos, abriendo la puerta a hackers. Para prevenir este escenario:

• Enseña a los usuarios técnicas para identificar ataques y otras mejores prácticas en seguridad.
• Establece y aplica reglas para usar administradores de contraseñas y cerrar sesión en dispositivos antes de dejarlos desatendidos.

Realiza monitoreo continuo de amenazas.

Reconoce patrones de vulnerabilidad. Por ejemplo, el informe RSA 2020 Estado de las operaciones de seguridad reveló que el 35 por ciento de las amenazas se detectaron entre las 8 p.m. y las 8 a.m.

Descubre, evalúa y gestiona vulnerabilidades.

Con la organización promedio implementando 129 aplicaciones, hay amplias oportunidades para que los malos actores encuentren debilidades en tu infraestructura informática. Ninguna organización puede abordar todas las vulnerabilidades. Ahí es donde entran en juego las evaluaciones de vulnerabilidad. Te ayudan a:

• Comprender lo que está sucediendo en toda tu infraestructura informática, incluido el software y los sistemas que tienen debilidades.
• Priorizar las vulnerabilidades de mayor valor para que puedas solucionarlas primero.
• Monitorear y escanear tu sistema en busca de vulnerabilidades regular y consistentemente.

Gestiona riesgos de terceros.

Las empresas de servicios financieros dependen de muchos tipos de proveedores, proveedores y socios que pueden exponer tu negocio a problemas. En todos los sectores, Ponemon Institute encontró que el 59 por ciento de los encuestados dijo que habían sufrido una violación debido a un tercero.

Sin embargo, solo alrededor de un tercio mantuvo un inventario de sus terceros, e incluso menos (16 por ciento) dijo que mitigó efectivamente los riesgos. Protege tu red:

• Estableciendo y verificando las prácticas de seguridad de tus proveedores y socios.
• Usando SLA requiere que los asociados comerciales mantengan las mejores prácticas en seguridad.
• Segmentando tu red y limitando el acceso de terceros a activos críticos de información.
• Usando una solución de detección y respuesta a amenazas para monitorear tu red en busca de comportamientos extraños.

Diseña planes de respuesta a incidentes

Deberías tener métodos bien definidos para encontrar y usar rápidamente para poner en cuarentena, bloquear o eliminar el tráfico malicioso en la red. Si no los tienes, deberías tenerlos. Tu esfuerzo no tiene por qué ser una carga. Simplemente crea un documento que proporcione respuestas a preguntas sobre todos en tu red comercial:

• ¿De quién es el trabajo informar a clientes, socios, proveedores y empleados si un ataque afecta sus operaciones?
• Si se han perdido datos, ¿quién y qué se debe hacer para recuperarlos? O bien, si tienes un MSP, ¿aquién debes contactar?

Responder estas y otras preguntas con anticipación puede reducir la confusión posterior al ataque y allanar un camino más suave hacia la recuperación.

Organizaciones estándar

Estas fuentes proporcionan información de fondo sobre las regulaciones que afectan las operaciones diarias de ciberseguridad y cómo configurar tu sistema de cumplimiento de seguridad:

• Requisitos de ciberseguridad de la SEC
• Sarbanes-Oxley
• PCI DSS
• Ley de secreto bancario
• Autoridad Reguladora de la Industria Financiera (FINRA)

Como puedes ver, los cambios recientes en las tácticas y objetivos de los ciberataques ponen a tu negocio en la mira de actores que intentarán hacerte daño.

Protegerte de estos grupos requerirá más tiempo, esfuerzo y dinero que antes. Pero recuerda, tus posibles ahorros en tiempo, dinero y quizás tu reputación serán mayores.

Resumen y Conclusiones

En la guerra de ciberseguridad de ojo por ojo, los chicos malos todavía están adelante, pero por menos que antes. Incluso en una oficina con una sola computadora, el riesgo es real y no desaparecerá. Lo mejor que puedes hacer es:

• Nunca asumas que tu negocio es demasiado pequeño para interesar a los hackers.
• Esté listo para invertir más tiempo, esfuerzo y dinero en medidas de seguridad de lo que ha hecho anteriormente.
• Sea minucioso al revisar su sistema en busca de vulnerabilidades.
• Sea consistente. El parcheo de software y la monitorización de su sistema requieren atención regular.
• Considere contratar a un proveedor de servicios administrados especializado en ciberseguridad. Se encargarían de la mayoría de las tareas mencionadas en esta guía.