¿Víctima de un ataque cibernético en tu empresa?

Cuando te das cuenta de que eres víctima de un ataque cibernético, puede ser el peor sentimiento del mundo, pero no estás solo. Innumerables empresas son víctimas de ciberataques cada año, y en el mundo actual la pregunta no es si, sino cuándo será una víctima y lo que es más importante, qué se puede hacer para mitigar los daños. 

Es importante contar con un plan de respuesta a incidentes, que garantice que todos en la organización sepan cuáles son sus responsabilidades y cómo comunicarse a través de la crisis. Si el incidente es lo suficientemente grande, incluso podría justificar la notificación a las autoridades.

¿Cómo sabes que has sido atacado?

No hay un estándar marcado, pero los delincuentes tienen cada vez más éxito en esconderse. De hecho, el tiempo promedio de detección es de más de 150 días. Las señales de que has sido atacado incluyen:

  • Alguien usó una de sus cuentas de crédito. El robo de identidad en línea es común. Si usa tarjetas de crédito en línea, eso podría ser un indicio de que un pirata informático fue el culpable.
  • Usted comienza a recibir mensajes de correo electrónico impares. Los amigos comienzan a decirle que han recibido correos electrónicos extraños de usted (que nunca envió), o si nota mensajes en su carpeta Enviados que no escribió … estos son signos claros de que es probable que haya ocurrido un hackeo.
  • Nuevos programas aparecen de repente. No lo compró ni lo instaló, pero observa que se ha cargado un nuevo programa en su computadora. Eso es una clara indicación de que alguien ha manipulado tu computadora.
  • Una contraseña confiable no funciona. Si una contraseña deja de funcionar repentinamente, eso podría significar que un pirata informático ingresó en su computadora y cambió los datos de inicio de sesión de su cuenta, y podría empeorar a partir de ahí.
  • Se nota actividad extraña del navegador. Algunos hackers se mueven directamente hacia una computadora y la controlan como si estuvieran frente a ella. Si alguna vez observa una actividad del navegador que no es suya (o de alguien más en su familia), eso podría significar problemas.
  • Empiezas a perder el control. Un virus informático puede redirigir la actividad de su navegador y evitar que llegue a los sitios web que desea. Ese es ciertamente el trabajo de un hacker que vino y se fue.

El paso más importante que puede tomar para protegerse es prepararse por adelantado con respaldos regulares. Cuanto más a menudo se haga, mejor. Algunas soluciones realizan automáticamente copias de seguridad de los archivos nuevos o modificados cada hora. Independientemente de la solución de respaldo que use, verifique periódicamente que pueda restaurar esos archivos. Muy a menudo, la recuperación de sus datos de la copia de seguridad es la única forma en que puede recuperarse de ser hackeado.

En EthicsGlobal creemos que es muy importante crear una concientización para construir una ciberseguridad empresarial real y efectiva. No solamente es importante tener y seguir de manera constante el Código de ética dentro de la organización, sino también fomentar una cultura de prevención y protección contra este tipo de ataques, ya que en los casos más graves puede ser la diferencia entre el éxito o fracaso de una compañía. 

Retos de la ciberseguridad en América Latina

Conocer sobre la ciberseguridad empresarial y los ciberataques se vuelve indispensable para toda compañía en la actualidad. Se trata de un elemento central para la estabilidad operativa, la protección de la información confidencial y el éxito de los proyectos.

En líneas generales, la ciberseguridad empresarial abarca todas aquellas prácticas, tecnologías, metodologías y procesos que tienen la misión de reducir los riesgos y las amenazas asociadas al uso, manejo y almacenamiento de datos, documentación e información en general en el ciberespacio. La manera en que los Estados-nación y las regiones abordan la capacidad de seguridad cibernética es esencial para contar con una seguridad cibernética eficaz, eficiente y sostenible. 

¿Por qué es tan importante la ciberseguridad empresarial en la actualidad?

La firma de ciberseguridad Kaspersky reveló en su Panorama de Amenazas en América Latina, que dos de cada tres ataques cibernéticos en la región son contra las compañías. Además, informó que los ataques contra las organizaciones superaron los 37.2 millones en los primeros meses del año 2020, siendo México el segundo país con el mayor número de casos documentados en el ámbito corporativo, abarcando el 22.81 %.

También explicó que un tercio de los ataques de malware hacia las pequeñas y medianas empresas en América Latina son debido al aprovechamiento de vulnerabilidades en el protocolo de comunicación SMB que se emplean, ya sea en la comunicación de impresoras de red, computadora-servidor, etc.

Una estimación publicada del MIT, antes de la pandemia del COVID-19, fue que el costo global del delito cibernético aumentaría a 6 billones de dólares al año para fines de 2021. Sin embargo, ¿qué significan estas cifras? Pues, evidencian que en la actualidad y más en un futuro cercano los ciberataques irán en aumento por lo que se vuelve imprescindible contar con ciberseguridad industrial.

Los ciberataques cuestan miles de millones de pesos a las empresas e indudablemente pueden causar graves daños, como lo son:

  • Pérdida de datos confidenciales
  • Grandes multas
  • Daños irreparables a la reputación de la compañía
  • Pérdida de grandes cantidades de dinero

Los ataques cada vez más complejos han ido en aumento en los últimos años, aprovechando la falta de protección de los sistemas. En EthicsGlobal creemos que es muy importante que exista la necesaria formación y concientización para construir una ciberseguridad empresarial real y efectiva. Tanto los trabajadores como los mandos directivos deben estar comprometidos y saber qué hacer en todas las circunstancias, conocer qué usos de la tecnología, sistemas y comportamientos están prohibidos, y aprender reglas de conducta sencillas pero muy efectivas para combatir los ataques, si quieres saber más sobre cómo evadir estas prácticas acércate a nosotros. 

¿Cómo combatir las conductas ilícitas dentro de una organización?

No hay organización exenta de conductas ilícitas, sin embargo, sí existen aquellas que trabajen constantemente por combatir y mitigar estas conductas. Una conducta ilícita se refiere a una acción en contra de una ley o norma y que a su vez es contraria a la moral y la justicia. Por lo tanto, una conducta ilícita es conocida conscientemente como dañina para el entorno laboral y todos sus elementos: operaciones, personal, valores, etc.

Las conductas ilícitas se consideran acciones no éticas, es decir, que se toman con base en el comportamiento que se elige de acuerdo a las concepciones de lo que está bien o está mal, o si es benéfico o no. La diferencia entre una actividad ilícita y un delito es el rasgo jurídico que tiene el segundo, el cual tiene una sanción o pena legal al incumplirse. 

En las organizaciones no todas las actividades ilícitas son delitos, pero sí hay actividades ilícitas que a la vez son considerados delitos, como es el caso de la corrupción, lavado de dinero, robo, fraude o el acoso sexual. Sin embargo, para evitar todo tipo de confusiones, cada organización debe tener estipulado un Código de Ética y Conducta, donde se describen las acciones deseables o esperadas para el buen funcionamiento de todo el ecosistema laboral. 

¿Cuáles son las conductas ilícitas más comunes?

Una vez que hemos definido las conductas ilícitas en dos: delitos e infracciones administrativas o cívicas, ahora podemos enlistar las más comunes dentro de las organizaciones.

Es importante considerar que los delitos pueden clasificarse como por acción y por omisión, de acuerdo a la acción que se realice o se deje de hacer. También se clasifican entre dolosos o culposos, lo que significa que son realizados con plena conciencia e intención y por accidente, respectivamente, cada país tiene sus códigos penales con sus especificaciones. En lo que respecta a las faltas administrativas, éstas son más específicas dentro de cada cultura, país y región que también afectan, impiden o alteran la armonía y la paz social, por ejemplo:

Faltas administrativas- Aquellas actividades ilícitas consideradas faltas administrativas y son muy comunes dentro de las organizaciones son: bajar el rendimiento, ingerir bebidas alcohólicas, faltas injustificadas de asistencia en el horario laboral, no portar el uniforme o las identificaciones que están establecidas en el código de conducta, encubrir las faltas en asistencia o trabajo de un compañero, no respetar los protocolos de seguridad, faltar al respeto a compañeros y jefes superiores.

Delitos- Las actividades ilícitas más comunes que son consideradas delitos dentro de las organizaciones son: fraudes, robos, sustracción de información confidencial, divulgación de información confidencial, violencia física, acoso laboral, acoso sexual, daño en propiedad ajena, cohecho, falsificación de documentos, maquillaje contable, distribución y consumo de drogas, ciberataques, delitos ambientales y plagio.

Consideremos que ambas clasificaciones pueden ser acreedoras de despido, que es la sanción más grande dentro de una organización, y la gravedad de las mismas se mide de acuerdo a los perjuicios que haya para la organización. La diferencia radica en que un delito, puede llevar un proceso legal que sobrepasa el perjuicio de la organización y la falta administrativa puede ser sancionada desde una llamada de atención, días sin goce de sueldo, entre otras sanciones.

¿Cómo identificar las conductas ilícitas más comunes en mi organización?

Las líneas éticas son la forma más efectiva y confiable en que podemos conocer las conductas ilícitas que tienen lugar con más frecuencia en nuestras organizaciones. Su efectividad depende de la confianza interna que se logre proyectar, por lo que una excelente comunicación es pilar para que nuestros colaboradores y grupos de interés sepan que al tener conocimiento de una acción no ética, lo primero que venga a su mente sea comunicarlo a la línea ética, sin temor a ningún tipo de represalias. 

En EthicsGlobal contamos con las herramientas necesarias para hacer frente a las acciones ilícitas que se dan dentro y fuera de tu organización. Entendemos que no es tarea sencilla, sin embargo, te acompañamos paso a paso para la implementación de la línea ética y un sistema de gestión de denuncias que permitirá tomar decisiones de trascendencia para el éxito de tu organización. 

Ciberseguridad, cinco reglas que debes tener en mente

No es cuestión de dudarlo

La ciberseguridad es un tema de creciente importancia en las organizaciones ya que la información se ha vuelto uno de los activos más valiosos. Sin embargo, es un terreno en el que se comienza a incursionar y donde las incertidumbres son más grandes que las certezas en el espacio digital. La amenaza está presente tanto en las grandes corporaciones como en las pequeñas y medianas empresas, sin excepción alguna. Por lo tanto, la cultura empresarial debe apuntar sin dubitar a la preparación y capacitación en el tema, como cultura de prevención de riesgos.  

De acuerdo con el Informe de Ciberpreparación de Hiscox, en España el 9% de las empresas son calificadas como ciber expertas, frente al 35% que tienen poco conocimiento en el tema. En América Latina y el Caribe, el informe de Cibercrimen ThreatMetrix identificó que esta región es un foco para el fraude y el cibercrimen. De acuerdo con el informe 2021 en Ciberseguridad de Check Point Software Technologies, el 87% de las organizaciones han experimentado el intento de un exploit a una vulnerabilidad existente.  

Somos vulnerables

Estos ejemplos nos dan una idea de la vulnerabilidad de nuestras empresas frente a las amenazas cibernéticas. Al conocer el contexto de cada región, nos permite tomar decisiones sobre las acciones a realizar. Si cada país creciera en su capacidad para prevenir y reaccionar ante los delitos cibernéticos a través de trabajar en legislación, cultura, educación, políticas, estrategias y tecnología, entonces aportaría a la estabilidad cibernética global. Pero ¿cómo comenzar y proteger a cada una de nuestras organizaciones?

Las amenazas en cuanto al cibercrimen se encuentran en las técnicas de ingeniería social adaptadas tecnológicamente como el phishing o vishing, así como la creación de malwares como virus y gusanos troyanos, ataques para saturación de la red del sistema o insertando un código malicioso en un servidor, como sucede en la inyección de SQL. De acuerdo a un artículo de F-Secure Corporation, en 2003 los programas maliciosos eran desarrollados por aficionados, pero ahora son creados por ciberdelincuentes, hacktivistas y gobiernos. 

Cinco reglas que debes tener en mente

Para este apartado está basado en las recomendaciones de Jony Fischbein, Director de Seguridad de la Información de Check Point Software Technologies. Estas recomendaciones están basadas en los principios de prevención, seguridad, infraestructura, confianza cero y actualización constante: 

  1. Prevención en tiempo real. La cultura de prevención salva equipos y sistemas. Existen estrategias como monitorización y detección de malwares que han entrado al sistema a través del Centro de Operaciones de Seguridad (COS). Esta estrategia es buena pero no suficiente, lo mejor es mitigar la entrada de personas externas y la fuga de información.
  1. Asegura tu equipo. La protección va desde los equipos, sistemas y redes que se usan dentro de la organización, así como el control de los dispositivos móviles, dispositivos IoT, entornos de la nube y protocolos de accesos a páginas web e identificación de phishing a través del correo electrónico.
  1. Consolidación y visibilidad. Las incertidumbres se disipan con la evaluación. Evaluar las inversiones que se han realizado en seguridad ayuda a conocer si se está obteniendo lo que la organización necesita, las soluciones y medidas que se establecieron funcionan correctamente y si hay áreas débiles en las que hay que prestar más atención. La gestión unificada y la visibilidad del riesgo completan todo el plan de seguridad.
  1. Seguridad de confianza cero. Esta filosofía basada en siete principios de modelo de seguridad aporta mucho a la seguridad dentro y fuera de la organización, ya que ninguna carga de trabajo, persona, datos, dispositivos, visibilidad, análisis, automatización y orquestación debe ser considerada de confianza por defecto.
  1. Información actualizada sobre amenazas. Ésta es una herramienta esencial para añadir a su plan de seguridad. La inteligencia sobre amenazas combina información de múltiples fuentes, proporcionando una pantalla de protección eficaz para su red, es en tiempo real y proporciona información actualizada sobre los vectores de ataque, detiene las amenazas y responde a incidentes.  

En EthicsGlobal consideramos que lo más importante es la protección de tu organización. Con las nuevas tecnologías se ha podido vulnerar a las organizaciones de una manera más fácil, sin mucha infraestructura o costos altos. Es probable que geográficamente estemos localizados en áreas de alto riesgo, sin embargo no hay nada imposible de combatir. Te invitamos a tomar acciones que protejan tu organización de las amenazas cibernéticas, ayuden a tomar decisiones más conscientes y eviten riesgos costosos.

Legislación en ciberseguridad México 2020

La ciberseguridad es un tema relevante, actual y necesario. Relevante por la gran rapidez del avance digital en las actividades del ser humano; actual porque las amenazas y ataques cibernéticos a individuos y organizaciones es cada vez más común; y necesario por la urgencia y seriedad con que debe ser tratado este tema en nuestra era digital. Por lo tanto, ¿Nos beneficia que el tema de la ciberseguridad sea regulado y haya un marco jurídico para ello? Sí.

La respuesta ciertamente es evidente, habría que centrarnos más en el cómo. Para convencer cualquier tipo de escepticismo, se estima que en 2020, las pérdidas económicas por ciberataques en todo el mundo fueron de 3.9 millones por cada brecha de seguridad. Aproximadamente, la mitad de los delitos contra la propiedad en el mundo, corresponden a crímenes web. Para algunos países, los ataques cibernéticos podrían sobrepasar el 1% del Producto Interno Bruto (PIB) y en algunos con situación más crítica, puede alcanzar hasta el 6%.

La tecnología no es suficiente para contrarrestar 

Se podría pensar que para contrarrestar los ataques cibernéticos podemos valernos de más y mejor tecnología, y aunque es cierto, no es una perspectiva completa sobre la situación. Las leyes, normatividad y políticas son pieza clave para cada país, institución y organización. De acuerdo con el Banco Interamericano de Desarrollo (BID), las políticas de ciberseguridad son vitales para salvaguardar los derechos de los ciudadanos en el ámbito digital, tales como la privacidad y la propiedad. 

La gran mayoría de los ciberataques suceden por errores humanos como lo es a través de la ingeniería social y los correos con malware o suplantación de la identidad. Por lo tanto, una cultura en ciberseguridad y alfabetización digital en la población general, usuarios, clientes y empleados marcará la diferencia en cuanto a la identificación, en tanto que es humanamente posible, para mitigar los riesgos por ciberataques.

Legislación en Ciberseguridad

Como antecedente en América Latina y el Caribe, a partir del 2015, la Organización de los Estados Americanos (OEA) junto con el Banco Interamericano de Desarrollo (BID) se encargaron de evaluar las capacidades de las región americana y su desarrollo en temas de ciberseguridad, los parámetros utilizados fueron el Modelo de Madurez de la Capacidad de Ciberseguridad para las Naciones (CMM), el cual se basa en cuatro puntos con sus propias categorías: 

  1. Política y estrategia
  2. Cultura y sociedad
  3. Educación, capacitación y habilidades
  4. Marcos legales y regulatorios
  5. Estándares, organizaciones y tecnologías

De acuerdo con la evaluación de ambas organizaciones, todos los países de la región han tenido un buen avance. En el tema jurídico México hace frente a los ciberataques mediante el proyecto de decreto de un Marco Legal: La Ley General de Ciberseguridad, con el fin de regular la protección de la información, sancionar los delitos cibernéticos y aminorar los riesgos y pérdidas por ataques por medios digitales. 

Con respecto al MIT Analytics en Cambridge Massachusetts, los fraudes y robos de información confidencial aumentaron en México de forma exponencial durante la pandemia iniciada en 2020. La Ley General de Ciberseguridad estuvo en proceso desde octubre de 2015, primero como iniciativa: Ley Federal para prevenir y sancionar los delitos informáticos. Es hasta marzo de 2019, que se toma una iniciativa para reformar y derogar disposiciones del Código Penal Federal (Título Noveno, Libro Segundo), y se expide la Ley de Seguridad Informática. 

En noviembre de 2019, se publicó la Estrategia Nacional de Ciberseguridad. Pero no es hasta el 1 de septiembre del 2020 que aparece el proyecto de Ley General de Ciberseguridad, en donde hay una reforma importante para los artículos de la ley general del Código Penal Federal y del Sistema Nacional de Seguridad Pública. Finalmente el 25 de marzo de 2021 se expide la Ley General de Ciberseguridad con importantes derogaciones al Código Penal.

Debido a la contingencia sanitaria por Covid-19 se aceleraron los procesos de digitalización en el mundo entero. La hiperconectividad no sólo se piensa como entretenimiento, sino que forma parte fundamental para concretar negocios, transacciones, trabajo, formación y educación y de interacción social. México aún tiene un gran tramo por recorrer para evitar y mitigar los riesgos por ciberataques. Se espera que en el 2022 las organizaciones tengan como una de sus prioridades, la ciberseguridad. 

En EthicsGlobal estamos interesados en que en México se desarrolle una cultura de ciberseguridad y que en las organizaciones se tengan los elementos necesarios para mitigar las amenazas digitales. Una de las mejores prácticas es contar con respaldos constantes y actualizados, brindar capacitación de identificación, mejorar la infraestructura de redes, así como profesionalizar la protección contra amenazas web. Sin duda hay acciones que debemos innovar conforme avanza la tecnología.

Riesgos de no combatir la ciberseguridad en tu empresa

Los riesgos cibernéticos son intentos criminales de dañar, robar o destruir datos, comprometiendo sitios web, servidores o interrumpiendo infraestructuras tecnológicas completas. Los invasores pretenden aprovecharse de las vulnerabilidades del sistema y una de las formas más comunes que encuentran para hacerlo es instalando código para alterar los datos originales de un ordenador o servidor. El resultado es el robo de información y la eliminación del acceso.

Hoy en día, los incidentes de seguridad afectan a empresas de todos los tamaños y aparecen con frecuencia en los medios de comunicación, generando daños no sólo en el aspecto financiero, sino también en la reputación de las empresas implicadas. Con estos desafíos de seguridad planteados, presentaremos aquí cuáles son los riesgos cibernéticos más comunes de los que debe protegerse su organización y qué hacer para prevenir estos ataques.

¿Cuáles son los riesgos cibernéticos más comunes?

Las amenazas cibernéticas pueden dirigirse a cualquier segmento de mercado o tamaño de empresa. Por lo tanto, es necesario estar preparado para todo tipo de estafas que puedan ocurrir, desde las más simples hasta las más sofisticadas. Entre los riesgos más comunes se encuentran:

  1. Malware

Si alguna vez ha visto aparecer una alerta de antivirus en su pantalla o ha hecho clic por error en un archivo adjunto de correo electrónico que parecía sospechoso, es probable que ya haya tenido un problema de Malware. 

Los atacantes suelen utilizar el Malware para infiltrarse en los ordenadores de los usuarios y de las empresas, ya que este medio suele ser muy eficaz para fines delictivos.

  1. Phishing

Cuando un atacante quiere que usted instale un Malware o divulgue información confidencial, suele recurrir a tácticas de phishing para hacerse pasar por otra persona y conseguir que usted realice una acción que normalmente no haría.

En un ataque de Phishing, un invasor puede enviarle un correo electrónico que parece ser de alguien de confianza, como su jefe o una empresa con la que hace negocios. El correo electrónico parecerá legítimo y tendrá algún tipo de urgencia. 

  1. Ransomware

El Ransomware es una forma de malware que cifra los datos de los sistemas informáticos después de haberlos infectado. El gran problema es que exige el pago de un rescate para obtener un código que descifra el sistema infectado, normalmente a una dirección anónima utilizando una moneda virtual como el Bitcoin. 

  1. Reutilización de credenciales

Hoy en día, es común que los usuarios de sistemas tengan tantos logins y contraseñas para recordar que es tentador reutilizar las credenciales de inicio de sesión.

Este es un hecho que los invasores aman. Una vez que consiguen una colección de nombres de usuario y contraseñas de algún sitio web o servicio vulnerado, saben que si utilizan esas mismas credenciales en otros sitios, tienen muchas posibilidades de poder iniciar sesión.

  1. Ataque de contraseña

Hay muchas técnicas diferentes para hacerlo, y algunas incluyen la propia fuerza bruta de prueba y error. Los más utilizados están relacionados con la pulverización de contraseñas, que intenta iniciar la sesión al mismo tiempo en varias páginas, y el ataque del keylogger, que captura todas las pulsaciones de teclas tecleadas por los usuarios infectados para identificar las contraseñas.

En EthicsGlobal sabemos que el no estar preparado para afrontar los ciberataques y el daño que esta falta de atención puede acarrear a un negocio, puede traer consecuencias devastadoras para su organización. Los riesgos cibernéticos tienen consecuencias cada vez más graves y no podemos seguir ignorando el tema. Si quieres conocer más sobre cómo evitar este tipo de acciones, acércate a nosotros. 

¿Cómo detener los ciberataques?

Vivimos en una sociedad totalmente dependiente de la tecnología por lo que nuestra información empresarial y personal está expuesta ante posibles ataques cibernéticos.

Realmente no existe una fórmula mágica que permita estar protegidos al 100% pero sí que se puede poner difícil el camino a los atacantes. Hay que tener en cuenta que incluso las grandes empresas multinacionales han sufrido daños debido a vulnerabilidades desconocidas.

Con el uso de las redes sociales la frecuencia de ataques personales se ha incrementado en los últimos años. Es un sector donde las personas se exponen demasiado y bajan la guardia pues se sienten dentro de una zona de confort. No deja de ser un lugar tan proclive a sufrir ataques como otro cualquiera.

¿Qué pasos  hay que seguir para prevenir un ataque?

1. Proteger los equipos

Cualquier dispositivo electrónico que se tenga en casa o la oficina debe estar completamente actualizado. Las clásicas actualizaciones del sistema pueden ser molestas pero son fundamentales pues muchas corrigen agujeros de seguridad. Además debe contar con antivirus y antimalware que sean avalados por la comunidad a la hora de detectar archivos maliciosos.

2. Contraseñas fuertes

Ni el nombre de nuestros hijos, ni el de nuestra mascota, ni el equipo de fútbol favorito. Por supuesto no poner sólo números y que encima estén relacionados con la contraseña de otro tipo de cuenta como puede ser la bancaria. Siempre hay que combinar números, letras mayúsculas, minúsculas y símbolos. De esta forma es más difícil conseguirlas y que no aparezcan en librerías estándar.

3. Utilizar protocolos de seguridad

Es un paso imprescindible pues de lo contrario las transferencias de archivos a un servidor pueden volverse completamente vulnerables. Si además se accede o se mandan datos a través de fuentes desconocidas o sitios de poca confianza se está facilitando el ciberataque.

4. Comprobar la autenticidad de enlaces y perfiles

Es muy común sufrir ataques a través de phishing mediante el cual se intenta adquirir información confidencial de forma fraudulenta, normalmente a través del email. Hoy en día en las redes sociales se crean perfiles falsos para captar estos datos, sobre todo por medio de cuentas no oficiales de empresas con el fin de engañar.

5. Evitar dar datos personales

Principalmente en las propias redes sociales y en cualquier tipo de página web que no sea de fiar. Lo recomendable es sólo utilizarlos cuando sea indispensable, pero aún así grandes compañías han sufrido el robo de información de sus clientes por lo que no hay una seguridad máxima para esta cuestión. También hay que tener constancia de con quién compartimos nuestra información en la red, sea a través de imágenes o texto.

6. No descargar contenido pirata

En la red son numerosas las opciones para bajar software o archivos multimedia con la mejor música o películas. Son una fuente propicia para intentar colocar programas maliciosos en el sistema y así poder realizar un ataque. Incluso aunque la descarga sea legal es necesario comprobar previamente que el sitio web no es sospechoso.

7. Realizar una copia de seguridad

Es algo fundamental pues si sufrimos algún tipo de ataque o tenemos algún problema siempre podremos recuperar la información perdida. En un primer momento puede que provoque pereza hacerla pero a la larga se agradece tener ese respaldo.

8. Denunciar a las autoridades

Siempre que nos encontremos con un contenido que no sea adecuado o con una página que pueda suponer un riesgo para el usuario lo mejor es denunciarlo a la policía o cuerpos encargados de este tipo de procesos. De lo contrario se está permitiendo que sigan operando contra el sistema cibernético.

En EthicsGlobal confiamos en que tener una cultura de prevención ayuda a mantener un buen gobierno corporativo, en el cual se está al tanto de cualquier incidencia o percance dentro de la organización, si estás interesado en conocer más sobre cómo mejorar e implementar dichas prácticas, acércate a nosotros.

México y su posición en ciberseguridad

México figura dentro de los radares de los ciber criminales, de acuerdo con diversos estudios. De acuerdo a diversos estudios entre ellos del Foro Económico Mundial (FEM), México ocupa el primer lugar de la región con más intentos de ciberataques. De acuerdo con la multinacional Fortinet, el 67 % de los intentos de ciberataques ocurridos en Latinoamérica, ocurrieron en México. El segundo lugar lo ocupa Brasil con 17.8%, y lo sigue Perú con el 5.1%.

Ciberataques en 2020 y 2021

La pandemia por Covid-19 propició que los ciberataques crecieran, ya que se incrementaron las transacciones y compras en línea, el teletrabajo, productos pirata y el almacenamiento en la nube. Los sectores más afectados han sido el gobierno, el sector bancario y financiero, de seguros, educativo, farmacéutico, de energía, alimentos y bebidas, y el retail. Además, la Organización de Estados Americanos (OEA), estimó que el costo total de respuesta y de recuperación frente a ciberataques es aproximadamente de 2.3 millones de dólares al año.

Entre 2020 y 2021, las entidades y organizaciones que fueron atacadas ciberciminalmente fueron: Petróleos Mexicanos, La Lotería Nacional, Secretaría de la Función Pública, Secretaría de Economía, El Consejo Nacional para Prevenir la Discriminación confirmaron haber sufrido un ciberataque de sustracción de información por parte de delincuentes que operan a nivel internacional. Mientras que el Banco de México y el Servicio de Administración Tributaria (SAT) sufrieron intentos de hackeo. 

El costo de los ciberataques

El posicionamiento de México en lo que concierne a los ciberataques es por la poca prioridad que se le da a la inversión en ciberseguridad, la falta de legislación y capacitación empresarial en este tema, así como la cultura de la sociedad general. México es un país donde se tiene previsto un presupuesto muy pequeño para la ciberseguridad. Un ejemplo de ello es que el 65% de las empresas enfocadas al e-commerce y fintech destinan entre 1 y 5 por ciento de su presupuesto total a la ciberseguridad.

Los ciberataques son igual de catastróficos tanto en grandes corporaciones y pequeñas empresas, las más vulnerables son las Pymes, por lo que éstas necesitarán invertir en ciberseguridad para no correr el riesgo de desaparecer. El costo de un ciberataque para una organización mediana está aproximadamente en 634 mil 689 dólares al año y para una empresa pequeña, equivale a 317 mil 615 dólares al año.

Los ataques más recurrentes en la red son técnicas de ingeniería social como el phishing, que es el robo de información por medio de mensajería instantánea, correo electrónico, páginas web o por vía telefónica; el vishing, donde a través de llamadas telefónicas se presenta una persona como entidad legítima y obtiene datos bancarios, entre otros; el smishing, que es parecido al anterior, pero a través de mensajes. 

En México una de las técnicas más sofisticadas y en incremento es  el ransomware, el cual consiste en el robo de información a través de phishing o vulneración de los sistemas de la empresa, luego se pide una recompensa a cambio de liberar la información a la empresa o de no divulgar públicamente los datos robados. Los costos de recuperación en nuestro país son de 2.03 millones de dólares, cifra por encima de la media global. Esto no solamente tiene consecuencias económicas sino que compromete la confianza de los grupos de interés.

Evaluación internacional

México se encuentra en la posición 52 de 182 países evaluados de acuerdo con la Global Cybersecurity Index (GCI) 2020, realizada por la agencia de tecnologías de la información y comunicación de Naciones Unidas, the International Telecommunication Union (ITU). A pesar de ser buenas noticias sobre la preparación en ciberseguridad en México aún falta fortalecer esta cultura en nuestro país. 

Las estrategias que ha implementado nuestro país datan del 2017 con la Estrategia Nacional de Ciberseguridad (ENC), la Estrategia Nacional Digital de 2021, así como en materia legal, la Ley Federal de Protección de Datos Personales 2021 y el Registro de Ciberataques (propuesta por la Secretaría de Seguridad Pública); las cuales son buenas para el desarrollo y madurez de una cultura en ciberseguridad y la cooperación entre el sector privado y el público.

La confianza de los grupos de interés hacia la organización es lo más importante para los negocios duraderos, evitemos ponerla en riesgo. 

En EthicsGlobal comprendemos que el activo más importante es la información, y que existen maneras en cómo se pueden prevenir y mitigar las consecuencias de un ataque cibernético. Es por eso que te invitamos a hacer respaldos de manera constante, fortalecer la infraestructura de seguridad en la nube, dispositivos y redes de la organización, adoptar una cultura de confianza cero y reportar cuando se ha sido víctima de un ataque y la información sensible pudiera verse comprometida. 

La ciberseguridad ya no es ficción

Estamos en el año 2021, la mayor parte de la población del globo terráqueo está conectada y digitalizada. El valor más importante de las organizaciones no es el dinero físico o virtual, sino su información, la frase “el dinero es poder” no resuena tanto como “la información es poder”. En estos tiempos, la ciberseguridad ya no es ficción y la protección de la información es un tema que le compete a las organizaciones grandes y pequeñas, así como a cada uno de los individuos que lo conforman.

Un ejemplo de lo anterior descrito son los ataques masivos de Sunburst a través del software de gestión de red SolarWinds alrededor del mundo, las víctimas fueron miles de organizaciones tecnológicas tanto del sector privado, como del público. Por lo tanto, los temas de seguridad informática son sumamente importantes para proteger datos y sistemas completos. De acuerdo con Insight Enterprises, en 2021, el 78% de los líderes de seguridad TI creen que sus organizaciones no cuentan con protección contra ciberataque a pesar de sus inversiones en ciberseguridad.

De acuerdo con el Panorama de Amenazas en América Latina 2020, México se ubica como el segundo país con el mayor número de ciberataques de toda la región (27.86%), después de Brasil (55.97%). La pandemia ha propiciado el incremento en el índice de estos ataques, y las organizaciones más vulnerables son las pequeñas y medianas. Así mismo, los sectores más atacados han sido el gobierno, los bancos, el energético, el de retail, el de fábrica, educación, tecnología, alimentos y bebidas, el petrolero y el de atención médica y seguros entre otros.

Somos vulnerables ante los ciberataques

Según el informe de ciberseguridad 2021 de Check Point y Sostic, se calcula que el 46% de las organizaciones ha tenido al menos un empleado que ha descargado una aplicación móvil maliciosa que amenaza o vulnera sus redes y sus datos, y de acuerdo con Prey, dos tercios de los profesionales TI (67%) creen que creció el mal uso de dispositivos en sus organizaciones. La frase: “en cualquier cadena de seguridad, los humanos son generalmente el eslabón más débil” muestra la susceptibilidad de las personas en caer en algún engaño. 

No todos los ciberataques son iguales, ni se realizan con el mismo propósito y tampoco se ejecutan por el mismo perfil de criminales. Por lo que los asuntos de ciberseguridad competen a ser parte de una cultura organizacional en la que se tengan presentes protocolos internos claros preventivos y de solución ante estos riesgos. Para ello nombraremos algunos conceptos acerca de los ciberataques más comunes:

  1. Ingeniería social. Son las formas de manipulación psicológica que los hackers han desarrollado para tener acceso a información confidencial y robar así datos personales o financieros, dinero o sabotear operaciones. A menudo aparecen a través de una fuente aparentemente inofensiva a través del email, mensaje de texto, cuentas piratas en redes sociales, entre otras.
  1. Malware. Es un software intrusivo que rompe una red cuando un usuario hace clic en un enlace o abre un archivo adjunto de correo electrónico. Aquí se consideran los virus informáticos, gusanos, rootkit, troyanos, software de rescate, spyware y adware.  Dentro de un sistema informático puede encriptar o eliminar datos confidenciales, modificar o desviar las funciones básicas del sistema, o espiar la actividad informática de los usuarios.
  1. Ransomware. El ransomware es una forma de software malicioso, con la característica que cifra o encripta la información con el fin de exigir dinero. Si el usuario no paga en el plazo que el cibercriminal ha puesto, entonces los datos se eliminan sin posibilidad de recuperarlos.
  1. Phishing. Es un tipo de estafa en donde los hackers se hacen pasar por una fuente confiable a través de correos electrónicos fraudulentos, en donde los usuarios proporcionan datos e información confidencial personal y financiera, dándoles permiso a la red. Algunos tipos de ello son: spear phishing, vishing, smishing, pharming y whaling.   
  2. DoS (Denegación de Servicio). Este ataque consiste en saturar el tráfico de un sitio web. Múltiples fuentes se dirigen al servidor web y bloquean los datos para que el sistema en general no esté disponible para los usuarios. 
  1.  Ataque de inyección SQL. El SQL es un lenguaje de programación que se utiliza para comunicarse con las bases de datos. Por lo que un ataque de inyección SQL afecta al servidor y extrae información del mismo.
  1. Man in the middle. Este ataque ocurre cuando se intercepta una transacción entre dos partes y se roba o manipula datos, transacciones bancarias, entre otros.

La ciberseguridad es un tema en el que se debe profundizar, especialmente a nivel de organización. En EthicsGlobal contamos con personal capacitado en Seguridad de la Información. Nos interesa que nuestros clientes conozcan las maneras en cómo pueden prevenir o hacer frente a los ciberataques y encuentren asesoría en cuestión de las mejores prácticas de la seguridad de la información y la gestión de sistemas. Estamos preparados para seguir contribuyendo a la seguridad corporativa.

¿Cómo prevenir negocios ilícitos?

En América Latina están avanzando legislaciones más fuertes en contra de diversas actividades delictivas que involucran a las empresas en el lavado de activos. Muchas veces y sin saberlo, terceras personas como pueden ser clientes, proveedores de bienes o servicios, inversionistas, contratistas, entre otros, pueden utilizar a nuestras compañías para realizar operaciones financieras ilegales los cuales nos pueden costar multas, sanciones que pueden llegar a la cárcel y por supuesto, dañar la imagen personal de los directivos de la organización y la organización misma.

Las empresas latinoamericanas tienen una doble responsabilidad por mantener relaciones comerciales, financieras e inversiones con contrapartes en Estados Unidos y Europa que buscan prevenir y sancionar actos de corrupción y lavado de dinero constantemente. Las empresas deben dar ciertos pasos en materia de cumplimiento (compliance) para atender las recomendaciones de políticas de prevención que proponen las autoridades nacionales e internacionales. 

En temas de Cumplimiento 

Se debe contar con un oficial de cumplimiento (compliance officer) y/o con un equipo de apoyo externo, como consultores jurídicos especializados, en la materia es un requisito indispensable para prevenir que nuestra organización caiga en actos ilegales como puede ser soborno, fraudes, corrupción o lavado de activos por parte de criminales o políticos corruptos. Se recomienda ampliamente que estos equipos estén adscritos a la dirección o gerencia de la organización.

No solamente es importante la prevención, en caso de que suceda un acto delictivo, las autoridades judiciales de Estados Unidos y de la mayoría de los países de Latinoamérica toman en consideración los esfuerzos previos que haya tomado la empresa para evitar conductas delictivas por parte de la empresa, directivos y empleados. Entre las preguntas que hacen los fiscales y jueces durante las investigaciones y procesos judiciales es saber si la empresa contaba con un equipo profesional de cumplimiento, así como programas debidamente implementados.

Parte del trabajo que deben realizar los equipos de cumplimiento es estar permanentemente actualizados sobre las tendencias criminales de lavado de activos, corrupción y escándalos políticos, investigaciones por lavado de dinero, así como de los ciberdelitos. Los costos y consecuencias fiscales que este tipo de acciones le causan a las empresas son muy altos, debido a que no solo se trata de erradicar este tipo de conductas, sino también de limpiar los estragos que estas dejan en la empresa una vez cometidas.

En EthicsGlobal creemos que es de suma importancia el contar con un equipo de cumplimiento y prevención contra todo acto de corrupción, el riesgo es latente en todas las organizaciones, desde lo legal, operacional, ocupacional, financiero, laboral y de seguridad, estas situaciones impactan negativamente en su entorno y son un grave peligro para la imagen corporativa de tu marca. Si estás interesado en evitar y prevenir estas conductas dentro de tu organización acércate a nosotros.