Publicado: 27 de octubre de 2023
La ciberseguridad refiere a cualquier tecnología, medida o práctica para prevenir ciberataques o mitigar su impacto.
La ciberseguridad tiene como objetivo proteger los sistemas, las aplicaciones, los dispositivos informáticos, los datos confidenciales y los activos financieros de las personas y las organizaciones contra virus informáticos, ataques de ransomware sofisticados y costosos, entre otros.
Los ataques cibernéticos tienen el poder de interrumpir, dañar o destruir las empresas, y el costo para las víctimas sigue aumentando. Por ejemplo, según el informe Costo de una filtración de datos 2023 de IBM,
- El costo promedio de una filtración de datos en 2023 fue de 4.45 millones de dólares, un 15 % más que en los últimos años;
- El costo promedio de una filtración de datos relacionada con ransomware en 2023 fue aún mayor, de 5.13 millones de dólares. Esta cifra no incluye el costo del pago del rescate, que promedió 1 542 333 dólares adicionales, un 89 % más que el año anterior.
Según una estimación, la ciberdelincuencia podría costar a la economía mundial 10,5 billones de dólares al año en 2025 (enlace externo a ibm.com).1
Las tendencias en expansión de la tecnología de la información (TI) de los últimos años incluyen:
- un aumento de la adopción de la computación en la nube,
- complejidad de la red,
- trabajo remoto y trabajo desde casa,
- programas bring your own device (BYOD),
- y dispositivos y sensores conectados en todo, desde timbres hasta automóviles y líneas de ensamblaje.
Todas estas tendencias crean enormes ventajas comerciales y progreso humano, pero también brindan exponencialmente más oportunidades para que los delincuentes cibernéticos ataquen.
No es sorprendente que un estudio reciente haya encontrado que la brecha global de trabajadores de ciberseguridad (la brecha entre los trabajadores de ciberseguridad actuales y los empleos de ciberseguridad que deben cubrirse) es de 3.4 millones de trabajadores en todo el mundo.2 Los equipos de seguridad con pocos recursos se están centrando en el desarrollo de estrategias integrales de ciberseguridad que utilicen los analytics avanzados, la inteligencia artificial y la automatización para combatir las ciberamenazas de manera más eficaz y minimizar el impacto de los ciberataques.
El Índice de Inteligencia de Amenazas X-Force ofrece nuevos conocimientos sobre las principales amenazas para ayudarle a prepararse y responder más rápido a los ataques cibernéticos, la extorsión y más.
Regístrese para recibir el informe sobre el costo de una filtración de datos
Una estrategia de ciberseguridad sólida protege todas las capas o dominios relevantes de la infraestructura de TI contra las ciberamenazas y la ciberdelincuencia.
La seguridad de la infraestructura crítica protege los sistemas informáticos, las aplicaciones, las redes, los datos y los recursos digitales de los que depende una sociedad para la seguridad nacional, la integridad económica y la seguridad pública. En Estados Unidos, el Instituto Nacional de Estándares y Tecnología (NIST) desarrolló un marco de ciberseguridad para ayudar a los proveedores de TI en esta área. La Agencia de Seguridad Cibernética e Infraestructura (CISA) del Departamento de Seguridad Nacional de EE. UU. proporciona orientación adicional.
La seguridad de la red evita el acceso no autorizado a los recursos de la red, y detecta y detiene los ataques cibernéticos y las violaciones de seguridad de la red en curso. Al mismo tiempo, la seguridad de la red ayuda a garantizar que los usuarios autorizados tengan acceso seguro y oportuno a los recursos de red que necesitan.
Los endpoints (servidores, computadoras de escritorio, computadoras portátiles, dispositivos móviles) siguen siendo el principal punto de entrada de los ciberataques. La seguridad endpoint protege estos dispositivos y a sus usuarios contra ataques, y también protege la red contra los adversarios que aprovechan los endpoints para lanzar ataques.
La seguridad de las aplicaciones protege las aplicaciones que se ejecutan on premises y en la nube, evitando el acceso no autorizado y el uso de aplicaciones y datos relacionados. También evita fallas o vulnerabilidades en el diseño de aplicaciones que los hackers pueden usar para infiltrarse en la red. Los métodos modernos de desarrollo de aplicaciones, como DevOps y DevSecOps, incorporan seguridad y pruebas de seguridad en el proceso de desarrollo.
La seguridad en la nube protege los servicios y activos basados en la nube de una organización: las aplicaciones, los datos, el almacenamiento, las herramientas de desarrollo, los servidores virtuales y la infraestructura en la nube. En términos generales, la seguridad en la nube opera según el modelo de responsabilidad compartida en el que el proveedor de la nube es responsable de proteger los servicios que presta y la infraestructura que se utiliza para ello. El cliente es responsable de proteger sus datos, código y otros activos que almacena o ejecuta en la nube. Los detalles varían en función de los servicios en la nube utilizados.
La seguridad de la información (InfoSec) se refiere a la protección de toda la información importante de una organización: archivos y datos digitales, documentos en papel, medios físicos, incluso el habla humana, contra el acceso, la divulgación, el uso o la alteración no autorizados. La seguridad de los datos, la protección de la información digital, es un subconjunto de seguridad de la información y el enfoque de la mayoría de las medidas de InfoSec relacionadas con la seguridad cibernética.
La seguridad móvil abarca varias disciplinas y tecnologías específicas de los teléfonos inteligentes y los dispositivos móviles, incluida la gestión de aplicaciones móviles (MAM) y la gestión de la movilidad empresarial (EMM). Más recientemente, la seguridad móvil está disponible como parte de las soluciones de gestión unificada endpoint (UEM) que permiten la configuración y la gestión de la seguridad para múltiples endpoints (dispositivos móviles, computadoras de escritorio y portátiles, entre otros) desde una única consola.
El malware, abreviatura de "software malicioso" en inglés, es cualquier código de software o programa informático escrito intencionalmente para dañar un sistema de cómputo o a sus usuarios. Casi todos los ciberataques modernos implican algún tipo de malware.
Los hackers y los delincuentes cibernéticos crean y utilizan malware para obtener acceso no autorizado a sistemas informáticos y datos confidenciales, secuestrar sistemas informáticos y operarlos de forma remota, interrumpir o dañar los sistemas informáticos, o retener datos o sistemas como rehenes por grandes sumas de dinero (ver Ransomware).
El ransomware es un tipo de malware que cifra los datos o dispositivos de una víctima y amenaza con mantenerlos cifrados, a menos que la víctima pague un rescate al atacante. Según el IBM Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17 por ciento de todos los ciberataques en 2022.
"O peor" es lo que distingue al ransomware actual de sus predecesores. Los primeros ataques de ransomware exigían un único rescate a cambio de la clave de cifrado. Hoy en día, la mayoría de los ataques de ransomware son ataques de doble extorsión, que exigen un segundo rescate para evitar que se compartan o publiquen los datos de las víctimas. Algunos son ataques de triple extorsión que amenazan con lanzar un ataque de denegación distribuida del servicio si no se pagan los rescates.
Los ataques de phishing son mensajes de correo electrónico, texto o voz que engañan a los usuarios para que descarguen malware, compartan información confidencial o envíen fondos a las personas equivocadas. La mayoría de los usuarios están familiarizados con las estafas de phishing masivas: mensajes fraudulentos masivos que parecen ser de una marca grande y confiable, en los cuales se pide a los destinatarios que restablezcan sus contraseñas o vuelvan a ingresar la información de su tarjeta de crédito. Pero las estafas de phishing más sofisticadas, como el phishing focalizado y business email compromise (BEC), se dirigen a personas o grupos específicos para robar datos especialmente valiosos o grandes sumas de dinero.
El phishing es solo un tipo de ingeniería social, una clase de tácticas y ataques de “hackeo humano” que utilizan la manipulación psicológica para tentar o presionar a las personas para que tomen acciones imprudentes.
Las amenazas internas son amenazas que se originan de usuarios autorizados (empleados, contratistas, asociados de negocios) que intencional o accidentalmente hacen mal uso del acceso legítimo, o cuyas cuentas son secuestradas por delincuentes cibernéticos. Las amenazas internas pueden ser más difíciles de detectar que las amenazas externas porque tienen las marcas de actividad autorizada y son invisibles para el software antivirus, los cortafuegos y otras soluciones de seguridad que bloquean los ataques externos.
Uno de los mitos de ciberseguridad más persistentes es que todos los delitos cibernéticos provienen de amenazas externas. De hecho, según un estudio reciente, el 44 % de las amenazas internas son causadas por actores maliciosos, y el costo promedio por incidente de usuario interno en 2022 fue de 648 062 dólares.3 Otro estudio concluyó que, aunque la amenaza externa promedio pone en riesgo alrededor de 200 millones de registros, los incidentes que involucran a un actor de amenazas interno han resultado en la exposición de mil millones de registros o más.4
Un ataque DDoS intenta bloquear un servidor, sitio web o red sobrecargándolo con tráfico, generalmente desde un botnet, una red de múltiples sistemas distribuidos que un delincuente cibernético secuestra mediante malware y operaciones remotas.
El volumen global de ataques DDoS se disparó durante la pandemia de COVID-19. Cada vez más, los atacantes combinan ataques DDoS con ataques de ransomware o simplemente amenazan con lanzar ataques DDoS a menos que la víctima pague un rescate.
A pesar de un volumen cada vez mayor de incidentes de ciberseguridad en todo el mundo y volúmenes cada vez mayores de lecciones aprendidas de ellos, persisten algunos conceptos erróneos peligrosos.
Las contraseñas seguras por sí solas son una protección adecuada. Las contraseñas seguras marcan la diferencia. Por ejemplo, una contraseña de 12 caracteres tarda 62 billones de veces más en descifrarse que una contraseña de 6 caracteres. Pero, como los delincuentes cibernéticos pueden robar contraseñas (o pagar a empleados descontentos u otros usuarios internos para que las roben), no pueden ser la única medida de seguridad de una organización o una persona.
Los principales riesgos de ciberseguridad son bien conocidos. De hecho, la superficie de riesgo está en constante expansión. Cada año, se informan miles de nuevas vulnerabilidades en aplicaciones y dispositivos nuevos y antiguos. Las oportunidades de error humano, en particular, por parte de empleados o contratistas negligentes que involuntariamente causan una filtración de datos, siguen aumentando.
Todos los vectores de ciberataques están contenidos. Los delincuentes cibernéticos encuentran constantemente nuevos vectores de ataque, incluidos sistemas Linux, tecnología operativa (OT), dispositivos de Internet de las cosas (IoT) y entornos de nube.
“Mi industria es segura”. Cada industria tiene su parte de riesgos de ciberseguridad, con ciberadversarios que explotan las necesidades de las redes de comunicación en casi todas las organizaciones gubernamentales y del sector privado. Por ejemplo, los ataques de ransomware se dirigen a más sectores que nunca, incluidos gobiernos locales, organizaciones sin fines de lucro y proveedores de atención médica. Las amenazas en las cadenas de suministro, los sitios web ".gov" y las infraestructuras críticas también han aumentado.
Los delincuentes cibernéticos no atacan a las pequeñas empresas. Sí, desde luego. Por ejemplo, en 2021, el 82 por ciento de los ataques de ransomware se dirigieron a empresas con menos de 1000 empleados; el 37 por ciento de las empresas atacadas con ransomware tenían menos de 100 empleados.5
Las siguientes mejores prácticas y tecnologías pueden ayudar a su organización a implementar una ciberseguridad sólida que reduzca su vulnerabilidad a los ataques cibernéticos y proteja sus sistemas de información críticos, sin interferir en la experiencia del usuario o del cliente.
La capacitación en seguridad ayuda a los usuarios a comprender cómo acciones aparentemente inofensivas (desde usar la misma contraseña simple para múltiples inicios de sesión hasta compartir demasiado en las redes sociales) aumentan su propio riesgo de ataque o el de su organización. La capacitación sobre seguridad combinada con políticas de seguridad de datos bien pensadas puede ayudar a los empleados a proteger datos personales y organizacionales confidenciales. También puede ayudarlos a reconocer y evitar ataques de phishing y malware.
La gestión de identidad y acceso (IAM) define los roles y privilegios de acceso para cada usuario, y las condiciones bajo las cuales se le otorgan o niegan sus privilegios. Las tecnologías de IAM incluyen autenticación multifactor, que requiere al menos una credencial además del nombre de usuario y la contraseña, y autenticación adaptativa, que requiere credenciales adicionales según el contexto.
La gestión de superficies de ataque (ASM, por sus siglas en inglés) es el descubrimiento, análisis, corrección y monitoreo continuos de las vulnerabilidades de ciberseguridad y los posibles vectores de ataque que conforman la superficie de ataque de una organización. A diferencia de otras disciplinas de defensa cibernética, ASM se hace completamente desde la perspectiva de un hacker, en lugar de la perspectiva del defensor. Identifica los objetivos y evalúa los riesgos en función de las oportunidades que presentan a un atacante malicioso.
Las organizaciones dependen de tecnologías basadas en analytics e IA para identificar y responder a ataques potenciales o reales en curso porque es imposible detener todos los ciberataques. Estas tecnologías pueden incluir (entre otras) gestión de eventos e información de seguridad (SIEM), orquestación, automatización y respuesta de la seguridad (SOAR) y detección y respuesta de endpoints (EDR). Normalmente, estas tecnologías se utilizan como parte de un plan formal de respuesta a incidentes .
Las capacidades de recuperación ante desastres a menudo juegan un papel clave en el mantenimiento de la continuidad del negocio en caso de un ciberataque. Por ejemplo, la capacidad de conmutar por error a una copia de seguridad alojada en una ubicación remota puede permitir a una empresa reanudar sus operaciones rápidamente después de un ataque de ransomware (y, a veces, sin pagar un rescate).
Supere los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar está integrada con IA de nivel empresarial y ofrece productos integrados para seguridad de endpoint, administración de registros, SIEM y SOAR, todo con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
La búsqueda proactiva de amenazas, el monitoreo continuo y una investigación profunda de amenazas son solo algunas de las prioridades que enfrentan un departamento de TI ya ocupado. Tener un equipo de respuesta a incidentes confiable en espera puede reducir el tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarlo a recuperarse más rápido.
La gestión unificada endpoint (UEM) impulsada por IA protege sus dispositivos, aplicaciones, contenido y datos. Esta protección significa que puede escalar rápidamente su fuerza laboral remota y las iniciativas bring your own device (BYOD), mientras crea una estrategia de seguridad de confianza cero.
Implementadas on premises o en una nube híbrida, las soluciones de seguridad de datos de IBM le ayudan a investigar y remediar las ciberamenazas, aplicar controles en tiempo real y gestionar el cumplimiento normativo.
Proteja de forma proactiva los sistemas de almacenamiento primario y secundario de su organización contra ransomware, errores humanos, desastres naturales, sabotaje, fallas de hardware y otros riesgos de pérdida de datos.
Al comprender las causas y los factores que aumentan o reducen los costos de las filtraciones, usted estará mejor preparado para enfrentarlas. Aprenda de las experiencias de más de 550 organizaciones que se vieron afectadas por una filtración de datos.
SIEM (gestión de eventos e información de seguridad) es un software que ayuda a las organizaciones a reconocer y abordar posibles amenazas y vulnerabilidades de seguridad antes de que puedan interrumpir las operaciones comerciales.
Conozca la amenaza para vencerla: obtenga información práctica que le ayude a comprender cómo los actores de las amenazas están llevando a cabo los ataques y cómo proteger de forma proactiva a su organización.
Comprenda su panorama de ciberseguridad y priorice iniciativas junto con arquitectos y consultores senior de seguridad de IBM en una sesión de pensamiento de diseño de 3 horas, virtual o presencial, sin costo.
La gestión de amenazas es un proceso que utilizan los profesionales de ciberseguridad para prevenir ataques cibernéticos, detectar amenazas cibernéticas y responder a incidentes de seguridad.
Encuentre insights estratégicos para repensar sus defensas contra ransomware y desarrollar su capacidad de remediar una situación de ransomware en curso más rápidamente.
Notas de pie de página
1 Cybercrime threatens business growth. Take these steps to mitigate your risk. (enlace externo a ibm.com)
enlace a enlace a la brecha de la fuerza laboral en (enlace externo a ibm.com)
3 2022 Ponemon Cost of Insider Threats Global Report (enlace externo a ibm.com)
4 Verizon 2023 Data Breach Investigations Report (enlace externo a ibm.com)
5 82% of Ransomware Attacks Target Small Businesses, Report Reveals (enlace externo a ibm.com)