A principio de semana se producen más ataques. Las PYME, más vulnerables, son atacadas como puente para acceder a empresas mayores
Al entrar el lunes por la mañana en la oficina puede que lleves algo más que cara de sueño. Si tu teléfono móvil ha sido víctima de un ataque informático durante el fin de semana, es posible que infecte la red de toda la compañía al conectarlo a un ordenador o a la red wifi. De hecho, los lunes y martes son los días en los que se produce el mayor número de ataques informáticos en compañías de todo el mundo, según un informe de NTT Global Threat Intelligence 2015, publicado la semana pasada.
El estudio indica que los hackers aprovechan el fin de semana para infectar los dispositivos móviles, como smartphones o tabletas, de los trabajadores para atacar los equipos de la compañía cuando se conectan a un equipo corporativo. Según un informe de Kaspersky, las ciberamenazas a través de este tipo de aparatos están al alza y en el primer trimestre de 2015 se registraron 103.072 nuevos programas de malware, 3,3 veces más que el mismo periodo del año anterior.
Pie de foto: Gráfico en el que se observan los picos de ataques a principios de semana. Crédito: NTT Group.
Esta tendencia está al laza debido al aumento de empleados que usan sus propios dispositivos en el trabajo. De hecho, el fenómeno ya tiene su propio nombre y protocolos de seguridad. Se llama BYOD (Trae tu propio dispositivo, en inglés: Bring Your Own Device) y un 35% de las empresas de más de 5.000 trabajadores tienen políticas de integración del móvil en sus empresas; cifra similar a las empresas pequeñas de menos de 25 trabajadores con un 34%, según datos de Kaspersky.
Los ataques vertidos sobre móviles y tabletas a causa del fenómeno BYOD son propios de su género, como es la descarga de apps infectadas con código malicioso. Otros atacan a servicios generales como correos o páginas web, ataques más clásicamente asociados a PC.
"La diferencia está en que, cuando se utiliza el móvil, se difumina el riesgo de amenaza y se cree que no afectará a la empresa y se abren archivos que no se abrirían en un ordenador", explica el director de Desarrollo de Negocio de Seguridad y Redes de Dimension Data, una de las empresas integradas en NTT Group, Simón Blanco.
Estos ataques pueden dar acceso no autorizado a datos de la compañía para sustraer información de patentes y secretos industriales o robar dinero al acceder a datos bancarios o a través del secuestro de ordenadores. Según datos del Instituto Nacional de Ciberseguridad (INCIBE), el acceso no autorizado a equipos fue el ciberataque más común durante 2014 y representó el 37,94% de todos los incidentes registrados.
Un ataque de este tipo es el que sufrió la empresa GetorDoc S.L (nombre ficticio). Como si de un secuestro tradicional se tratara, el director de la empresa, Fernando Gómez (nombre ficticio), se encontró un lunes por la mañana con el siguiente mensaje en su ordenador: "Hola, he cifrado todos los datos importantes de tu empresa". A cambio de liberar la información, el ciberdelincuente pedía una compensación económica.
Pie de foto: Mensaje en el que se informa a un usuario del secuestro de su ordenador. Crédito: INCIBE.
En el caso de GetorDoc S.L, no se pudo recuperar la información porque no había copias de seguridad actualizadas ni pagó el rescate. Para evitar sucesos como este, el experto en ciberseguridad del INCIBE, Juan Delfín, recomienda "tener copias aisladas en dispositivos no conectados o en la nube y llamar inmediatamente a la policía". Aunque no pudiera recuperar los datos, el experto del INCIBE cree que Fernando Gómez hizo bien: "Nunca hay que pagar, porque si pagas volverán a atacarte y a pedirte más dinero".
Pero los ataques a compañías no tienen por qué ser tan sofisticados. Un simple PDF puede causar serios problemas. Es el caso que relata Alejandra (nombre ficticio), que abrió un archivo con un troyano que accedió a la información de sus contraseñas y modificó la página web de su empresa. En lugar de la imagen de su tienda online de camisetas apareció la imagen de un grupo yihadista.
Pie de foto: Captura de pantalla de la portada de la tienda ‘online’ de Alicia tras el ataque. Crédito: INCIBE.
A por el pez más grande
Aunque tanto las grandes como las pequeñas empresas asuman el BYOD como una realidad, las primeras son más conscientes de los riesgos que conlleva y el 48% toma medidas de seguridad, mientras que las pequeñas solo lo hacen en un 28% de los casos según Kaspersky. Esta diferencia se da también en el resto de la seguridad informática, donde el 35% de las empresas considera la seguridad informática una prioridad y solo el 19% de las de menos de 25 empleados lo tiene como una de sus principales preocupaciones.
"Las empresas grandes no son conscientes de los riesgos de colaborar con terceros", indica el investigador en ciberseguridad de Kaspersky, Dani Creus. Una de las técnicas que utilizan los ciberdelincuentes para infectar a grandes compañías se conoce como waterhole y replica la técnica de caza por la cual un cazador se sitúa cerca de una fuente de agua para disparar al animal cuando va a beber.
"Un atacante puede posicionar un programa malicioso en el sistema de un tercero y esperar a que la víctima acceda a él para infectarle", explica el director de Sistemas de Seguridad de IBM para España, Portugal e Israel, Emmanuel Roeseler. Los ciberdelincuentes aprovechan esta colaboración de grandes empresas con pequeñas que “tienen mecanismos de seguridad menores” para lanzar los ataques dirigidos.
Es lo que le sucedió a la empresa de defensa estadounidense Lockheed Martin en 2011, en un caso recogido por Kaspersky. Aunque los sistemas de esta compañía estaban bien protegidos, los ciberdelincuentes atacaron a dos de sus proveedores para recopilar información y lanzarle un ataque. La amenaza fue repelida, pero sirvió para alertar de cómo la colaboración con terceros puede comprometer la seguridad de una compañía.
Pero la colaboración entre empresas también puede ser una buena medida de ciberseguridad. IBM ha creado la plataforma X-Force Exchange, donde más de 1.000 empresas de todo el mundo comparten información sobre ataques en tiempo real para alertar a otras compañías. "Cualquier empresa, por pequeña que sea, puede acceder a la base de datos y saber cómo protegerse mejor", explica Roeseler, que considera que la seguridad en la empresa debe abarcar todo lo que tenga contacto con la compañía, desde los teléfonos de trabajadores hasta las colaboraciones con terceros.
El primer cortafuegos para evitar un ataque sigue siendo el usuario. Por eso, los expertos en ciberseguridad recomiendan formar a los empleados sobre los riesgos en el uso del móvil para que la descarga de una app o abrir un PDF no se conviertan en un riesgo para toda la compañía.