La ciberseguridad es una preocupación creciente para todas las empresas. A medida que las aseguradoras recurren cada vez más a soluciones basadas en datos para mejorar el proceso de ventas, esto solo aumenta la urgencia de implementar protocolos de seguridad efectivos. En RGA, trabajamos continuamente en todos los niveles de la organización y en todas nuestras ubicaciones globales para mantener el más alto nivel de ciberseguridad, y colaboramos con nuestros socios para ayudar a elevar las prácticas en toda la industria.
Como parte de nuestra preparación para la 10ª conferencia anual sobre fraudes de RGA, que se llevará a cabo virtualmente del 15 al 18 de agosto, nos sentamos a una breve sesión de preguntas y respuestas con Tim Reboulet, Consultor Principal en SpearTip, una destacada firma de ciberseguridad. Tim proporcionó varios pasos muy prácticos que todas las empresas, tanto grandes como pequeñas, pueden tomar ahora mismo para proteger sus sistemas y datos de las amenazas en línea.
¿Cómo describirías el entorno actual de ciberseguridad?
El panorama de amenazas actual es tan peligroso como nunca antes, dada la guerra que estalló en Ucrania en medio de un aumento continuo de actores de amenazas respaldados por estados. Otras tendencias, como el aumento del trabajo remoto y el uso de monedas digitales, también están creando nuevas oportunidades de ataque. Mientras tanto, a medida que las capacidades de ransomware avanzan, persiste una falta general de preparación adecuada entre individuos, gobiernos y empresas.
Empecemos con los ataques de compromiso de correo electrónico empresarial (BEC). ¿Qué son y cómo pueden las empresas trabajar para prevenirlos?
Los ataques BEC emplean tácticas de ingeniería social para engañar a empleados desprevenidos. Los BEC son similares a los esquemas de cartas nigerianas de la década de 1990 y a menudo utilizan líneas de asunto que contienen palabras como solicitud de pago, transferencia y urgente. Los BEC pueden evadir las soluciones de seguridad tradicionales porque las estafas no tienen enlaces o archivos adjuntos maliciosos. Además, algunos seguros cibernéticos pueden no cubrir los BEC ya que se clasifican como robo común o error del usuario. La mejor manera de combatir los ataques BEC se reduce a un proceso esencial y continuo: educar y capacitar a los empleados.
Algunos ejemplos de BEC incluyen:
- El esquema de facturas falsas: Los atacantes se hacen pasar por proveedores que solicitan transferencias de fondos para pagos a una cuenta propiedad de los atacantes.
- Fraude del CEO: Los atacantes actúan como el CEO de la empresa o cualquier ejecutivo y envían un correo electrónico a los empleados, solicitando que envíen dinero a una cuenta bancaria ilícita.
- Compromiso de cuenta: La cuenta de correo electrónico de un ejecutivo o empleado es hackeada y se utiliza para solicitar pagos de facturas a proveedores listados en sus contactos de correo electrónico.
- Suplantación de abogado: Los atacantes se hacen pasar por un abogado o alguien de una firma de abogados encargado de asuntos vitales y confidenciales.
- Robo de datos: Se apunta a empleados con acceso a datos personales para obtener información de identificación personal (PII) e información de salud protegida (PHI), que puede ser vendida en la web oscura o utilizada como extorsión.
La misma pregunta para el ransomware: ¿Qué es y qué pasos pueden tomar las empresas para evitar ser víctimas de él?
El ransomware se infiltra en tu computadora y encripta tus datos o bloquea tu sistema operativo. Tan pronto como el ransomware se apodera de un “rehén digital,” como un archivo, exige un rescate para su liberación. Las infecciones de ransomware pueden ocurrir de diversas maneras: sitios web inseguros, descargas de software, correos electrónicos no deseados, y más.
Varios factores pueden convertir a tu empresa en un objetivo de ransomware: computadoras desactualizadas, software obsoleto, sistemas operativos sin parches, copias de seguridad inadecuadas y la falta de una verdadera solución de ciberseguridad. Una empresa puede hacer algunas cosas simples para evitar ser víctima de un ataque de ransomware:
- Evita hacer clic en enlaces en mensajes de spam o en sitios web desconocidos. Hacer clic en enlaces maliciosos puede iniciar el proceso de descarga de ransomware en tu sistema operativo.
- Si recibes una llamada, mensaje de texto o correo electrónico de una fuente no confiable solicitando información personal identificable (PII), no respondas. Los actores de amenazas recopilan datos antes de un ataque de ransomware, que utilizan para personalizar los mensajes de phishing.
- Evita abrir cualquier archivo adjunto malicioso en correos electrónicos. Presta mucha atención al remitente y asegúrate de que la dirección de correo electrónico sea correcta.
- Actualiza regularmente tu sistema operativo con los últimos parches de seguridad; esto dificulta que un actor de amenazas explote cualquier vulnerabilidad. Confía en sitios de descargas confiables y verificados. Asegúrate de que la barra de direcciones del navegador de la página que estás visitando use “https” en lugar de “http”. Un candado o símbolo en la barra de direcciones también puede indicar que la página web es segura. Ten cuidado al descargar cualquier cosa en tu teléfono a menos que sea desde Google Play Store o Apple App Store.
- Cuando utilices Wi-Fi público, asegúrate de utilizar una VPN. Además, desactiva el protocolo de escritorio remoto (RDP) en tu computadora si no lo estás utilizando.
¿Cómo debería una empresa proceder para desarrollar un plan integral de ciberseguridad?
Es importante identificar los activos digitales más valiosos de tu empresa y determinar dónde necesitan mejorarse las medidas de ciberseguridad. El Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST CSF, por sus siglas en inglés) es una herramienta que puede ayudar con esto. El NIST CSF incluye orientación sobre autoevaluaciones, pautas de planificación y otras actualizaciones en respuesta a los avances en las amenazas de seguridad. Las Cinco Funciones del NIST CSF representan pasos cruciales en el enfoque de una empresa hacia la gestión de riesgos.
- Identificar: delinear los riesgos de ciberseguridad que amenazan todos los activos de la empresa, incluyendo el personal y los datos.
- Proteger: establecer sistemas para defender los activos críticos.
- Detectar: identificar eventos que podrían amenazar la seguridad de los datos.
- Responder: actuar para neutralizar las amenazas a medida que surjan, de acuerdo con soluciones predeterminadas.
- Recuperar: planificar un curso de acción para restaurar la funcionalidad en caso de un incidente catastrófico.
¿Cuáles son algunas cosas que cada empleado puede hacer para mantener protegida a su empresa de las amenazas cibernéticas?
El elemento humano representa el mayor riesgo para las redes y sistemas, lo que convierte a los empleados en la línea de defensa más importante. Cualquier empleado podría ser el eslabón débil que crea una apertura para un ciberataque. Por lo tanto, la ciberseguridad debe ser una prioridad para todos en la empresa, desde el consejo de administración hasta el último nuevo contratado. Es vital educar, informar y capacitar constantemente a la fuerza laboral sobre buenas prácticas de ciberseguridad. Esto puede implicar pruebas de penetración internas y externas, ejercicios de mesa y campañas de phishing, entre otras actividades.
Otros pasos importantes a seguir incluyen asegurarse de actualizar el software y el hardware a medida que estén disponibles nuevas versiones, hacer copias de seguridad de los datos regularmente para garantizar que las operaciones puedan continuar en caso de un ataque de ransomware y utilizar la autenticación multifactor en todas las cuentas comerciales y personales para agregar una capa adicional de seguridad.
¿Cuál es la cosa más importante que cada persona puede hacer para evitar un ciberataque?
Mantente siempre vigilante. El momento en que bajas la guardia es el momento que los actores de amenazas están esperando. Esto significa seguir todos los protocolos, sin importar lo mundanos o laboriosos que parezcan, y participar activamente en la capacitación de ciberseguridad. No quieres que tus dispositivos personales sean hackeados, y no quieres ser el eslabón débil que un atacante use para infiltrarse en los sistemas de tu empresa. La amenaza es real, pero también lo son los pasos probados para defenderte.
Timothy Reboulet tiene más de 20 años de experiencia en la aplicación de la ley tanto a nivel internacional como nacional. Como Agente Especial Senior del Servicio Secreto de los Estados Unidos, Tim ha servido en los equipos presidenciales del presidente George W. Bush y el presidente Barack Obama y, más recientemente, se ha centrado en la detección y mitigación de riesgos de ciberseguridad federales. El historial cibernético de Tim incluye liderar la Fuerza de Tareas de Delitos Electrónicos del USSS, que incluye participantes gubernamentales y corporativos, y asignaciones a Europol (Centro Europeo de Delitos Cibernéticos — EC3) y la división de Protección de Sistemas Críticos. Tim dirige los Servicios de Asesoría en SpearTip, una firma líder en ciberseguridad, donde ayuda a las organizaciones tanto en escenarios previos como posteriores a una violación de seguridad.