×
Outbyte PC Repair
Outbyte Driver Updater

Ciberataques de alto perfil: una llamada de atención para las pequeñas empresas

2023/02/13
Ciberataques de alto perfil: una llamada de atención para las pequeñas empresas
  • Durante la última década, los ataques cibernéticos han aumentado en sofisticación y alcance, afectando a las pequeñas empresas junto con los gigantes tecnológicos y las agencias gubernamentales.
  • Incidentes como los ataques globales de ransomware “NotPetya”, el hack gigante de Equifax y los ataques a la cadena de suministro de SolarWinds y Kaseya son llamadas de atención que ninguna organización puede permitirse ignorar cuando se trata de seguridad.
  • Si bien los ataques cibernéticos se han vuelto más avanzados, las mejores prácticas de seguridad cibernética también han evolucionado y pueden proporcionar defensas efectivas para las organizaciones.
  • Este artículo es para dueños de negocios que quieren aprender sobre ciberataques y ciberseguridad.

¿Qué tan seguros son el sitio web y la red informática de su empresa? Esa pregunta se vuelve más relevante cada día a medida que los ataques cibernéticos aumentan en sofisticación y alcance. Si bien las empresas hoy en día tienen a su disposición más herramientas de seguridad que nunca, los piratas informáticos también han mejorado sus capacidades de ataque.

La última década estuvo plagada de ataques cibernéticos de alto perfil que deberían servir como lecciones sobre ciberseguridad para las empresas de todo el mundo. Ya sea que se trate de esquemas orquestados por competidores o alguien con una chequera y un rencor, los ataques de magnitud significativa pueden ocurrir tanto en organizaciones grandes como pequeñas. Eche un vistazo a algunos de los mayores ataques de los últimos años y vea qué pasos deben tomar las empresas de todos los tamaños para ayudar a defenderse.

Ciberataques de alto perfil en la última década

Durante los últimos 10 años, hemos visto una expansión significativa en la cantidad, amplitud e impacto de los ataques cibernéticos. Los incidentes que se destacan a continuación demuestran que, si bien casi ninguna organización está completamente protegida contra posibles incidentes de seguridad, existen acciones que las organizaciones más preparadas pueden tomar para evitar los peores resultados posibles.

2013: el truco del New York Times

En 2013, activistas piratas informáticos (también conocidos como hacktivistas) se apoderaron del sitio web de The New York Times en un ataque de “desfiguración”, que reemplazó el contenido del sitio con un logotipo y el mensaje “Hackeado por el Ejército Electrónico Sirio” (SEA). Los atacantes también comprometieron la cuenta de Twitter del Times. El ataque, si bien dañó la reputación del Times e impidió temporalmente que la empresa proporcionara contenido en línea, no causó ningún daño duradero.

Los hacktivistas tampoco parecieron comprometer ninguno de los sistemas internos del Times. En cambio, se dirigieron al registrador de nombres de dominio del periódico, que tenía estándares de seguridad poco estrictos. Al apuntar al registrador, los atacantes pudieron obtener el acceso que necesitaban para eliminar temporalmente el sitio web y la cuenta de Twitter del Times.

2014: pirateo de Sony Pictures

A fines de 2014, un grupo que se autodenominaba Guardianes de la Paz violó los sistemas internos de Sony Pictures Entertainment. El grupo robó terabytes de datos privados de la empresa, eliminó los datos originales y filtró lentamente la información robada a los periodistas y, finalmente, a Wikileaks. Sony enfrentó un desastre de relaciones públicas, pérdidas financieras y daños tecnológicos en sus redes internas que los administradores tardaron varios días en reparar.

Si bien los Guardianes de la Paz se presentaron a sí mismos como hacktivistas, el grupo también amenazó con ataques terroristas. En última instancia, el FBI y la NSA atribuyeron el ataque a un grupo vinculado a Corea del Norte.

2017: ataque Maersk

En 2017, el mundo sufrió su primera pandemia cibernética real cuando el arma cibernética ransomware NotPetya se propagó rápida e incontrolablemente por gran parte del mundo. Se cree que fue desarrollado por piratas informáticos vinculados a Rusia denominados «Sandworm», el grupo implementó NotPetya contra empresas ucranianas seleccionadas al secuestrar el procedimiento de actualización de un software de contabilidad ucraniano omnipresente llamado MEDoc. Al tomar el control de los servidores de actualización de MEDoc, Sandworm pudo instalar NotPetya en miles de computadoras en Ucrania. [Aprenda a proteger su negocio del ransomware .]

NotPetya fue creado para propagarse de forma rápida y automática. Rápidamente viajó a empresas de todo el mundo y, en última instancia, infligió daños estimados en $ 10 mil millones. La naviera global Maersk fue una de las organizaciones más afectadas del mundo. NotPetya se extendió a través de una oficina que Maersk tenía en Ucrania a su red y luego a cada una de sus oficinas en todo el mundo, cifrando todos los datos de la empresa.

2017: truco de Equifax

En septiembre de 2017, la agencia de informes crediticios Equifax sufrió una filtración de datos que afectó a 143 millones de estadounidenses. La violación llevó a los piratas informáticos a acceder y robar la información de identificación personal de los clientes, incluidos los números de Seguro Social, las fechas de nacimiento y las direcciones de las casas. El incidente también afectó a algunos consumidores canadienses y británicos.

El ataque fue posible debido a una vulnerabilidad en una aplicación del sitio web sin parchear. Si bien no quedó claro de inmediato quién pirateó Equifax, el gobierno de los EE. UU. en 2020 acusó a cuatro miembros del ejército de China en relación con el ataque. Las acusaciones sugieren que el hackeo de Equifax fue una operación continua de las agencias militares y de inteligencia chinas para robar información personal de varias fuentes. El objetivo final de los piratas informáticos era atacar mejor a los oficiales y funcionarios de inteligencia estadounidenses en diversas operaciones, incluso por soborno o chantaje.

2020: ataque de vientos solares

A principios de 2020, los atacantes que se creía que estaban asociados con el gobierno ruso comprometieron en secreto el servidor de actualización perteneciente a la herramienta de administración de recursos de TI Orion de SolarWinds, con sede en Texas. El compromiso permitió a los atacantes agregar una pequeña cantidad de código malicioso que, cuando las empresas lo descargaban como parte de una actualización de software, otorgaba a los atacantes acceso de puerta trasera a las empresas afectadas como parte de un ataque a la cadena de suministro . Esta puerta trasera les permitió instalar malware adicional para espiar a las empresas y organizaciones afectadas.

A lo largo de los meses, SolarWinds estimó que hasta 18 000 clientes instalaron las actualizaciones maliciosas que los dejaron vulnerables a ataques adicionales de los piratas informáticos. Las organizaciones afectadas incluyeron la empresa de seguridad cibernética FireEye, empresas de tecnología como Microsoft y Cisco, y agencias gubernamentales de EE. UU., incluidas partes del Pentágono, el Departamento de Energía y el Tesoro.

El objetivo de los perpetradores era el espionaje y el robo de datos. Como los ataques duraron meses y fueron muy sigilosos, muchas empresas no sabían que estaban afectadas o no estaban seguras de qué datos podrían haber sido robados.

2021: ataque Kaseya VSA

En julio de 2021, REvil, un grupo de ciberdelincuentes que se especializa en ataques de ransomware, lanzó un ataque a la cadena de suministro a través de la plataforma VSA de la empresa de software Kaseya. El ataque, que aprovechó las vulnerabilidades sin parchear, pasó de Kaseya a varios proveedores de servicios administrados (MSP) que usaban la plataforma VSA y, en última instancia, a los clientes de los MSP. En total, el ataque de ransomware afectó a más de 1000 empresas.

REvil exigió un rescate de $ 70 millones después de lanzar su ataque. Sin embargo, Kaseya no confirmó si terminó pagando por la herramienta de descifrado que eventualmente usó para recuperar el acceso a los archivos afectados. Este incidente marcó la adopción de tácticas altamente sofisticadas por parte de un grupo de delincuentes cibernéticos utilizando métodos que anteriormente solo habían sido utilizados con éxito por piratas informáticos vinculados al gobierno.

2022: Ataques Lapsus$

A lo largo de 2022, un grupo de ciberdelincuentes de gran capacidad que se hacía llamar Lapsus$ llevó a cabo una serie de ciberataques contra algunos de los nombres más importantes de la industria tecnológica. Los ataques condujeron en gran medida a filtraciones y filtraciones de datos.

Lapsus$ llevó a cabo principalmente ataques contra sus objetivos al engañar a personas desprevenidas para que compartieran contraseñas u otras credenciales de inicio de sesión sin darse cuenta en un proceso llamado ingeniería social. Después de obtener acceso a la red de una empresa a través de las credenciales obtenidas de manera nefasta, Lapsus$ robó datos y luego extorsionó a la empresa afectada para que pagara un rescate a cambio de que el grupo no filtrara la información robada.

Las siguientes empresas estuvieron entre las afectadas por Lapsus$ a lo largo del año:

  • NVIDIA (la infracción afectó a decenas de miles de credenciales de empleados e información de propiedad)
  • Samsung (robo de datos internos de la empresa y código fuente de los dispositivos Galaxy de Samsung)
  • Ubisoft (juegos interrumpidos por incidentes y servicios de la empresa)
  • Microsoft (roban partes del código fuente de Bing y Cortana)
  • Uber (robo de mensajes internos de Slack e información de una herramienta de facturación interna)

Lapsus$ pareció haber ralentizado sus operaciones en abril de 2022 después de que arrestaron a una serie de personas conectadas con el grupo. El grupo regresó unos meses después, seguido de otra serie de arrestos en septiembre.

¿Sabía usted?: Si bien los incidentes de seguridad cibernética han aumentado en alcance y sofisticación durante la última década, la mayoría de los ataques aún comienzan a través de los mismos puntos de partida: error humano, probablemente debido a correos electrónicos de phishing, así como sistemas obsoletos o sin parches que introducen problemas técnicos. vulnerabilidades.

Las mejores prácticas de ciberseguridad evolucionan junto con los ciberataques

Con la combinación de crecientes vulnerabilidades de seguridad y empleados que son víctimas de esquemas web y de correo electrónico maliciosos, las pequeñas empresas necesitan más protección que nunca. El aumento de variantes de malware como el ransomware ha cambiado radicalmente el potencial destructivo de los ataques, así como los impactos financieros que las empresas deben estar preparadas para afrontar. Afortunadamente, las herramientas de mitigación han evolucionado junto con estos ataques. Las siguientes mejores prácticas pueden ayudar a proteger su negocio a medida que aumentan los riesgos de ciberseguridad.

Invierta en tecnología y en la educación de los empleados.

La capacitación debe incluir actividades como ejercicios de correo electrónico de phishing y enseñar a los empleados la importancia de usar contraseñas únicas y seguras. Además, se debe enseñar al personal a usar la autenticación multifactor, que requiere una contraseña y un código de seguridad temporal adicional al que solo el empleado debe tener acceso, siempre que sea posible. Los trabajadores también deben conocer las señales de que una computadora está infectada con virus o malware.

Craig Kensek, director de marketing de IT-Harvest, enfatizó que proteger su negocio de los ataques cibernéticos no solo significa implementar soluciones tecnológicas. Requiere una estrategia multifacética que involucre tanto inversiones en tecnología como educación.

“La protección más efectiva contra los ataques incluye educar a su base de usuarios para que no haga clic en enlaces peligrosos, comprender cómo se manifiesta el malware avanzado y tener un plan defensivo sólido para su huella cibernética expuesta”, dijo.

Si bien Kensek aconsejó a las empresas que inviertan en protección contra malware y productos de la Generación III, que incluyen la capacidad de proteger el tráfico web, de correo electrónico y de archivos compartidos, la capacitación de los empleados es fundamental para mitigar los ataques basados ​​en phishing.

“Considere la capacitación en navegación web y asegúrese de que los empleados sepan qué buscar en las descargas del sitio web, los enlaces sospechosos y las redes sociales. Tenga una política de uso definida para la web, las aplicaciones, los archivos compartidos y la comunicación por correo electrónico”, dijo Kensek.

Mire la arquitectura de su red.

Los ciberataques han evolucionado en gran parte para aprovechar la creciente complejidad de las redes empresariales. Las empresas ya no tienen que proteger solo unas pocas computadoras conectadas entre sí a través de una red física. También deben lidiar con los riesgos de ataques cibernéticos móviles derivados de los teléfonos celulares y las tabletas, la naturaleza omnipresente de la nube e incluso los dispositivos inteligentes conectados a Internet y el Internet de las cosas. Cada uno de estos proporciona vías adicionales de ataque para los piratas informáticos y puede funcionar como puntos de acceso a la red más amplia de su empresa.

Las empresas pueden ayudar a limitar la complejidad de su ciberseguridad aplicando una arquitectura de confianza cero (ZTA). ZTA es una práctica de seguridad que se enfoca en los usuarios, los activos y los recursos con miras a establecer controles de acceso y administración adecuados. Esencialmente, ZTA asume que cualquier red ya está violada cuando alguien intenta obtener acceso, sin importar quién sea, y que los administradores deben concentrarse en autenticar y validar a todos los usuarios.

Al aplicar ZTA, las empresas limitan el alcance de cualquier posible violación de seguridad al restringir la cantidad de acceso que tiene un solo usuario. Además, los sistemas ZTA monitorean las acciones típicas de los empleados en una red; si un usuario se comporta de manera irregular, el sistema lo marcará como sospechoso, lo que ayudará a detectar posibles infracciones en acción.

Habla con tus proveedores y difunde tus recursos.

“Para protegerse, debe hacer todo lo posible para asegurarse de que la empresa con la que registró su nombre de dominio lo esté protegiendo”, dijo Cedric Leighton, fundador y presidente de Cedric Leighton Associates, una empresa de gestión de riesgos estratégicos. consultoría. El problema es que la mayoría de las empresas no cuentan con la protección adecuada, dijo.

“[La] clave es tener algo como OpenDNS, que registra sitios web utilizados por piratas informáticos como el SEA [involucrado en el ataque del New York Times]”, dijo Leighton. “Cuando los intentos provienen de dichos sitios web para redirigir el tráfico de Internet legítimo a sitios ‘malos’ o no autorizados, la solicitud para hacerlo se bloquea automáticamente. Desafortunadamente, la mayoría de las personas no saben que necesitan investigar esto para protegerse de tales ataques».

Esto significa que las empresas deben estar mejor informadas sobre sus opciones de seguridad y tener planes de mitigación y recuperación ante desastres establecidos para cuando ocurra un ataque.

Comience por tener una conversación en profundidad con sus proveedores de Internet. Hable con ellos no solo sobre si está protegido o no, sino sobre cómo está protegido en caso de que ocurra un ataque.

“En primer lugar, debe preguntarle a su [proveedor de servicios de Internet], ‘¿Qué hará si me atacan?’”, dijo Pierluigi Stella, director de tecnología de Network Box USA, un proveedor de seguridad informática. “No esperes que digan: ‘Te protegeremos’. Eso no va a suceder. Lo más probable es que el ISP responda: ‘Te desconectaremos'».

A continuación, determine exactamente qué áreas de su sitio web deben protegerse, como el propio sitio web y sus servidores DNS. Para protegerse contra un ataque que derribe sus servidores DNS, Stella dijo que su modus operandi debería ser dividir y conquistar.

“Tenga múltiples DNS alojados en diferentes ubicaciones. Si realmente desea alojar sus propios servidores DNS, aloje una copia de seguridad en otro lugar, tal vez con un registrador o tal vez con alguna otra gran empresa de alojamiento web con recursos suficientes para no preocuparse demasiado por los ataques DDoS. Alojar DNS no es una tarea costosa, y si difundes tu presencia, es mucho más difícil acabar contigo por completo”, dijo Stella.

Para mantener su sitio web en línea y evitar la pérdida de datos, Stella recomendó tener copias almacenadas en la nube. Si los atacantes bloquean su sitio web principal, podrá reconfigurar su DNS para que apunte al sitio web secundario por el momento, dijo.

Aplicar “defensa en profundidad”.

A medida que los ataques cibernéticos se vuelven más complejos, las empresas deben pensar más allá de los enfoques de seguridad de talla única. Desafortunadamente, los días de instalar un firewall y un software antivirus y dar por finalizado el día se han ido. Ahora, las empresas deben prepararse con una postura de seguridad de defensa en profundidad.

Esto se refiere a una política de ciberseguridad empresarial efectiva que implica un enfoque de seguridad de múltiples capas. Los firewalls y los programas antivirus siguen siendo defensas integrales, pero estas herramientas ya no son suficientes para proteger sus dispositivos de los piratas informáticos. En su lugar, deben combinarse con elementos como ZTA, capacitación de empleados, conexiones VPN para trabajadores remotos, las mejores soluciones de monitoreo de empleados y cifrado de computadora para todos los datos.

Si bien ninguna solución de seguridad es infalible, las defensas en capas aumentan en gran medida las probabilidades de minimizar los peores resultados de cualquier incidente de seguridad que surja.

No pase por alto el mantenimiento.

Un tema común entre algunos de los peores ataques cibernéticos en la última década fue cómo los atacantes lograron ingresar primero a los sistemas afectados a través de vulnerabilidades de software sin parches. Las empresas pueden aumentar significativamente su ciberseguridad general auditando sus sistemas con regularidad y creando un inventario continuo de todo el software y hardware, anotando la versión de cada programa y la última vez que se actualizó.

Después de crear este inventario, las empresas deben mantener un programa regular de administración de parches. Las empresas también deben registrarse para recibir alertas de proveedores que adviertan sobre vulnerabilidades críticas que deben corregirse lo antes posible. Si trabaja con un MSP, asegúrese de que también esté monitoreando y aplicando parches a una cadencia aceptable.

Preparándonos para lo peor

Los ciberataques se han vuelto más comunes, más sofisticados y más destructivos durante la última década. Desafortunadamente, las empresas continúan enfrentando tasas más altas de ciberdelincuencia año tras año. Las empresas de todos los tamaños deben prepararse para los peores escenarios en su planificación de seguridad.

Sin embargo, hay un lado positivo. Si bien no existe la seguridad perfecta, las empresas pueden reducir en gran medida las posibilidades de un ataque dañino siguiendo las mejores prácticas de seguridad cibernética, como las descritas anteriormente. Estas prácticas pueden cambiar un incidente de seguridad cibernética de ser potencialmente un ataque que cierra el negocio a un momento de caos controlado. Obtenga más información en nuestra guía detallada de ciberseguridad para pequeñas empresas.

Sara Ángeles contribuyó a este artículo. Las entrevistas a las fuentes se realizaron para una versión anterior de este artículo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *