miércoles, 14 de diciembre de 2016

Cómo afecta el phishing a los negocios

El phishing solía ser una amenaza exótica, pero eso fue hace años, cuando los gusanos maliciosos tenían el control sobre las amenazas. Mucho ha llovido desde entonces y, hoy en día, el phishinggolpea con fuerza (en especial a los negocios). ¿Cómo les afecta?
¿Qué quieren?
Bueno, existen muchos métodos, pero solo un único propósito: robar algo. Normalmente información, con preferencia por la financiera y las credenciales. El phishing es un tipo de ataque definitivo de ingeniería social. Muchos de los ataques originales que hacen uso de las “debilidades de las interfaces humanas” eran ataques individuales (efectivos, pero no expansibles). El phishing sirve a los delincuentes de escala y les confiere la habilidad de ir tras cientos de miles de usuarios (a la vez).

Los ciberdelincuentes crean correos electrónicos y sitios web falsos (con la intención de que se parezcan a webs populares, como redes sociales, servicios de banca online o juegos onlinesiendo estos últimos los que más atraen a los delincuentes) y utilizan diferentes métodos de ingeniería social (toda clase de trucos posibles) para engañar a los usuarios del sitio web y hacerles rellenar formularios con sus datos personales. Si los usuarios lo hacen, ya los tienen.
Durante años, los phishers han ido incrementando sus ataques a servicios financieros, echando mano al dinero y negocios de otros y, como informamos el año pasado, el phishing en general está pasando por una especie de etapa de “comercialización”: se compran y se venden de forma activa herramientas para cometer delitos, mientras que, como refleja nuestra encuesta, “la efectividad del phishing, en combinación con su rentabilidad para los delincuentes y con la simplicidad del proceso, ha producido un alza en el número de este tipo de incidentes”.
itrisks_banner1
La tendencia continuó en 2014. Miren nuestro nuevo estudio y las cifras actualizadas sobre la evolución del phishing y sobre el daño financiero que causa.
Los negocios en el punto de mira
Por supuesto, las empresas comerciales son objetivos más interesantes, pero para llegar a sus fondos corporativos los delincuentes deben engañar a ciertos empleados, preferiblemente de alto nivel. Idealmente, los atacantes tendrían que elegir a los contables o responsables financieros (para acortar el proceso). Pero no siempre es posible, por lo que simplemente esperan a que alguien pique el anzuelo.

De acuerdo con la encuesta sobre riesgos de seguridad informática globales de 2014, el típico daño de una brecha (incluidos los costes por contratación de servicios profesionales, el tiempo de inactividad y la pérdida de oportunidades de negocio) era de 35 000 dólares para las pequeñas y medianas empresas y de 690 000 dólares para las grandes empresas.
Estas cifras son tremendas y los riesgos que corren las pequeñas empresas son mayores porque su estabilidad financiera puede verse comprometida con un solo incidente.