Cuando “recordármelo más tarde” puede hacer que sea demasiado tarde

Nuestro recién presentado Hiscox Cyber Readiness Report 2019, en el que analizábamos la ciberpreparación de más de 5.000 compañías de todo el mundo, dedicaba un amplio apartado a la inversión en ciberseguridad. En esta área, las empresas españolas destacaban sobre el resto, y es que el 67% afirmaba que tenía previsto aumentar su inversión durante los próximos meses. Preguntados por las partidas donde realizarían ese incremento, el 53% tenía intención de invertir en nuevas tecnologías, siendo este porcentaje el mayor de los 7 países analizados.

Es una obviedad que a mejor tecnología, ya sea software o hardware, mejor preparados estaremos para reducir o mitigar el impacto de un incidente cibernético. Pero a veces no es necesario realizar un gran desembolso, y basta simplemente con actualizar el software que ya estamos utilizando. Y lo mejor es que en ocasiones esta actualización no conllevará ningún gasto extra, tan solo que le dediquemos unos minutos.

Los empleados de nuestras empresas deben saber que no mantener el software actualizado deja la puerta abierta a piratas informáticos, incluso a los poco sofisticados, que pueden usar vulnerabilidades antiguas y ya conocidas para llevar a cabo delitos cibernéticos.

¿Qué impacto tienen los ataques que explotan softwares obsoletos?

Tanto para cualquiera de nosotros, a nivel usuario, como para los dispositivos de nuestras compañías, ya sean móviles, portátiles o sobremesas, el riesgo es que los piratas informáticos utilicen estas vulnerabilidades para obtener acceso al sistema de nuestros dispositivos.

Existen numerosas consecuencias derivadas de esta situación, pero destacamos principalmente tres.

En primer lugar, un dispositivo no actualizado puede convertirse en parte de una red de bots (o de una red de computadoras infectadas), que los atacantes pueden utilizar como plataforma para atacar objetivos de mayor valor o entidad.

En segundo lugar, que un ciberdelincuente haya obtenido acceso a nuestro dispositivo significa que también ha podido hacerlo a nuestro correo electrónico, accediendo a información privilegiada que podría permitirles llevar a cabo acciones de phishing o suplantación de identidad dirigida contra nosotros. Por ejemplo, si una PYME está buscando un nuevo almacén, oficina o local para su actividad, y el ciberatacante ve la conversación que se está manteniendo entre operaciones y departamento legal, en este punto el pirata informático podría suplantar la identidad y enviar al director de operaciones un correo electrónico solicitando la transferencia de un depósito a una cuenta bancaria ajena a la entidad controlada por los delincuentes.

En tercer lugar, los piratas informáticos pueden robar cualquier información ya sea personal, de la propia empresa, sus empleados o clientes, con la que podría cometer un fraude de identidad o vender en la dark web. Además de los nuevos ataques que podría generar esta situación, la empresa está obligada a notificar a las personas afectadas, así como al regulador, exponiéndose a multas económicas y pérdida de confianza y reputación ante sus principales stakeholders.

¿Cuál sería el procedimiento correcto para mantener bajo control este aspecto?

Para la gran mayoría de individuos o compañías más pequeñas, basta con ejecutar actualizaciones automáticas cuando nuestras aplicaciones y sistemas operativos nos lo soliciten. Por muy tentados que nos sintamos de ignorar estos avisos y seleccionar la opción de "recordármelo más tarde", es muy importante entender que este simple paso nos puede proteger de un gran porcentaje de amenazas cibernéticas.