La política e ideología dejaron de ser las áreas de atención favoritas de los hackers . La mirada de los ciberdelincuentes se desvía y empieza a recaer poco a poco sobre el comercio.
Uno de lo más recientes casos fue el de la cadena internacional Burger King. Desde su cuenta de Twitter, se publicaron mensajes obscenos y se sustituyó la fotografía del perfil por la de la competencia.
Solo un día después, le llegó el turno a la estadounidense Jeep. La estrategia fue la misma: mensajes obscenos y noticias falsas de una venta de la compañía.
Ambos ciberataques se suman a los casos registrados en febrero en Twitter, Facebook y Apple. Twitter reconoció públicamente que se comprometió la información de unos 250.000 usuarios.
Facebook y Apple aseguraron que no hubo indicios de que su información haya sido expuesta; sin embargo, los hechos evidencian cómo una aplicación de terceros puso en riesgo los sistemas de compañías tan consolidadas.
¿Está su empresa protegida?
Tenga en cuenta que los ciberdelincuentes siempre van a buscar oportunidades que les facilite obtener la mayor cantidad de víctimas con el menor esfuerzo.
De ahí que las campañas de bancos o empresas reconocidas se conviertan en foco de ataque, afirma Camilo Gutiérrez Amaya, especialista en Awareness & Research de ESET Latinoamérica.
Los resultados se reflejan en el robo de propiedad intelectual, información financiera y datos de identificación personal.
Lo que pasa en casa
En Costa Rica se desarrollan tres de cada 100 de los ciberataques detectados en Latinoamérica, según datos del 2011 de la empresa Symantec.
Un especial cuidado merece el uso empresarial de las redes sociales. Su popularidad se vuelve atractiva y las convierten en canales de ataques.
Los principales incidentes en las redes sociales se relacionan con empleados que comparten demasiada información en foros públicos (46%), pérdida o exposición de información confidencial (41%) y mayor exposición a litigios (37%), detalla Rodrigo Calvo, ingeniero en Sistemas de la compañía Symantec . premium
El tema, sin embargo, no debe enfocarse en analizar si la empresa va a ser atacada o no.
Para Franklin Noguera, socio de la división de Gestión de Riesgo Empresarial de Deloitte Costa Rica, la interrogante debe ser cuándo y cómo va a responder la compañía. En su criterio, una gestión efectiva de los riesgos de la seguridad informática exige de una combinación de prevención, detección temprana y respuesta rápida.
Definir inversión
Los resultados de vulnerabilidad y de desarrollo de ciberataques en Costa Rica parecieran no preocupar a los empresarios.
Datos de ESET Latinoamérica revelaron que un 43% de compañías en Costa Rica redujeron el presupuesto invertido en seguridad de la información durante el último año.
La cantidad de dinero invertido, sin embargo, no es un indicador de cuán segura está la información, pues la realidad de una compañía variará la inversión en seguridad, explica Gutiérrez, de ESET Latinoamérica.
Medidas mínimas
Realizar análisis que permita identificar las vulnerabilidades y la forma de corregirlas.
Contar con una solución de seguridad para evitar la infección con algún tipo de malware.
Utilizar una herramienta de firewall para evitar intrusiones en el sistema.
Invertir en Antispam para proteger sus buzones de correo basura, módulo antiphishing para proteger de sitios maliciosos que roben información financiera y personal e incluso herramientas de análisis de redes sociales para detectar enlaces maliciosos.
Coeducar a sus empleados para que tengan buenas prácticas de navegación y cuidado al compartir información en Internet.
Establecer políticas sobre redes sociales para que, al igual que todas las comunicaciones corporativas, se defina cómo utilizar las redes sociales y se capacite a los empleados acerca de los contenidos adecuados que se deben publicar.
Fuente ESET Latinoamérica.
Técnicas premium
Ingeniería social: Los atacantes ganan la confianza del usuario para luego solicitar datos personales y financieros. Solicitan también descargar un archivo que contiene código malicioso.
El phishing: Se trata de un engaño para que el usuario entregue sus datos personales y financieros. Algunos casos incluyen características de geolocalización para darle más credibilidad al engaño. La mayoría de los casos se relacionan con entidades financieras de toda Latinoamérica, pero también se registran casos asociados a compañías de celular, almacenes, aerolíneas y servicios en Internet, entre otros.
Tendencia drive-by-download: Basta con que el usuario visite un sitio web que ha sido vulnerado para infectarse con un código malicioso, sin la necesidad de que descargue directamente algún tipo de archivo a su dispositivo.
Ataques con malware: Se utilizan para robar datos relacionados con pagos en redes sociales y engaños para que los usuarios de redes sociales compartan detalles de sus cuentas y otros datos personales. Los ataques podrían incluir avisos y mensajes de regalos falsos que soliciten el domicilio postal u otra información personal.
Fuente Symantec y ESET Latinoamérica.