10 amenazas de ciberseguridad a integrar en los sistemas de compliance

Maite Sáenz23 julio 20216min

Los ciberataques no sólo han crecido en número, sino también en variedad y calidad. Las brechas de seguridad se han ampliado por la falta de madurez del trabajo en remoto, que precisa de una mayor información sobre cómo seguir pautas de uso seguras tanto con los equipos informáticos corporativos como privados. Desde Bonatti Compliance, su socio director, Francisco Bonatti, recopila las 5 amenazas y las 5 debilidades a combatir desde los sistemas de compliance:

 

Amenazas
  1. Ramsomware: el secuestro de información mediante malware que encripta el contenido de unidades, discos duros y servidores se ha convertido en uno de los riesgos estrella. La mejora de los algoritmos de encriptación y el recurso a los criptoactivos como medio de pago que evita el rastreo posterior son alicientes adicionales para los cibercriminales.
  2. Estafas del CEO: la suplantación de la identidad de los directivos para engañar a los empleados que tienen las claves y códigos para realizar transferencias bancarias se ha incrementado exponencialmente con la pandemia.
  3. Ataques a servidores y bases de datos: los delincuentes explotan brechas de seguridad para acceder a los servidores y sustraer los datos que contienen. Los datos son el petróleo del siglo XXI y es uno de los grandes tesoros que poseen las empresas.
  4. Ataques Botnet: los equipos y servidores de empresa son convertidos en zombies a través de Botnets, que gestionan los cibercriminales para evitar ser rastreados, eludir las listas de SPAM o para realizar transferencias económicas ilícitas, envíos masivos de correos o ataques DDoS.
  5. Sustracción de las credenciales: el acceso a las credenciales y contraseñas de los empleados y directivos facilita a los cibercriminales un amplio abanico de delitos a costa de la empresa: desde el acceso a los fondos depositados en las cuentas bancarias hasta el robo de secretos de empresa, el acceso a la intimidad de los empleados y directivos, a las cámaras de seguridad o la sustracción de bases de datos.

 

Debilidades
  1. Ingeniería social: todavía hoy un número ingente de ataques informáticos se producen porque las empresas, empleados o directivos se dejan engañar y voluntariamente envían los datos, abren enlaces o ejecutan las acciones pretendidas por los cibercriminales. La ingeniería social es una actividad delictiva muy depurada, imprescindible, por ejemplo, para ejecutar la estafa del CEO y se debe combatir desde Compliance con sólidas acciones de formación y concienciación del personal, ayudándoles a que nunca ‘bajen la guardia’.
  2. Debilidades internas: los delincuentes aprovechan en muchas ocasiones las propias debilidades, derivadas de usos inadecuados de los equipos por los empleados, que acaban infectados por error, negligencia o ignorancia; o bien, por comportamientos maliciosos de empleados desleales o insatisfechos. El análisis de riesgos y la implantación de protocolos y procedimientos de usos tecnológicos consistentes debe reforzarse con medidas para asegurar su eficaz aplicación por todos los empleados.
  3. Uso de equipos personales y teletrabajo desde el hogar: una de las debilidades estrella de la pandemia procede del uso de equipos personales compartidos con el resto de la familia, que pueden desvirtuar todas las medidas de protección empresarial si los padres, hijos o pareja hacen un uso inadecuado del mismo equipo. El propio espacio familiar, como entorno de trabajo, puede ofrecer mucha información a ciberdelincuentes para diseñar ataques de ingeniería social, al igual que ocurre con la información que pueden obtener de las redes sociales (RRSS), una vez han identificado el hogar del empleado o directivo y al resto de su familia.
  4. Phishing: en 2020 se ha multiplicado el volumen y la complejidad de los ataques de phishing para distribuir botnets y malware de todo tipo, robar credenciales o acceder a las cámaras y micrófonos de los equipos. Las técnicas se han sofisticado, aprovechando fenómenos coyunturales como el incremento del uso de los correos electrónicos durante la pandemia o saltándose los mecanismos de protección a través de nuevos canales de phishing como son el SMS (smishing) o el uso de PDF infectados que, inconscientemente, relacionamos con una actividad empresarial. Junto con las medidas de ciberseguridad más adecuadas, nuevamente Compliance debe aportar procesos y procedimientos de conducta adecuados y acciones de formación y concienciación dinámicas, que se adapten a un entorno de riesgo que cambia a gran velocidad.
  5. Deepfakes: no puede faltar una de las grandes novedades que comienza a ofrecer usos ilícitos. Se trata de técnicas de edición de vídeo que sustituyen a una persona por otra mediante la inteligencia artificial alcanzando resultados altamente realistas, que ofrecen a los cibercriminales nuevos recursos para sofisticar sus procesos de hackeo social o quebrantar contraseñas biométricas.

Observatorio de Recursos Humanos

Desde 2006 trabajamos para ofrecer contenidos e información de valor para el profesional de la gestión de RRHH, con el convencimiento de que el conocimiento, en sus vertientes de creatividad, innovación y aprendizaje continuo, es el principal valor de una dirección eficaz.



Contacta con nosotros


Nuestros Otros Proyectos


Suscríbete al boletín

* campos obligatorios
Acepto las condiciones de uso y la política de privacidad


Síguenos en Redes Sociales