MADRID, 12 Ene. (Portaltic/EP) -
La evolución del 'ransomware' hasta la escala global, las vulnerabilidades, los errores básicos de seguridad y el desinterés por el Reglamento General de Protección de Datos (GDPR) por parte de las organizaciones son algunos de los acontecimientos sobre ciberseguridad más relevantes de 2017, según la compañía especializada Trend Micro.
La empresa japonesa ha recordado en un comunicado que los incidentes geopolíticos, las amenazas de 'malware' global y las brechas de datos en las que se han visto involucrados grandes nombres han sido temas "muy presentes" en el día a día de 2017. Con el arranque del nuevo año, Trend Micro ha considerado "útil" recapitular acontecimientos importantes del pasado año relacionados con la ciberseguridad, con la vista puesta en "fortalecer los sistemas para los próximos 12 meses".
Trend Micro ha destacado que el 'ransomware' ha sido utilizado en 2017 de una manera "sin precedentes" para causar el caos "a una escala global". Pese a presentar características diferentes, WannaCry y Petya/NotPetya pusieron de relieve cómo este tipo de amenazas podía emplearse en combinación con los 'exploits' estadounidenses CIA Vault7 y NSA Shadow Brokers para extenderse "de forma sorprendente" a través de las redes. Por su parte, Bad Rabbit se basó en los ataques 'watering hole' para infectar a sus víctimas.
En ese sentido, la compañía nipona ha explicado que estos incidentes han enseñado la importancia de aplicar parches para reparar las vulnerabilidades conocidas "tan pronto como se disponga de una solución". Asimismo, ha añadido, ha advertido de lo que puede suceder cuando los gobiernos "buscan socavar la seguridad de cientos de millones de usuarios investigando 'exploits' en los programas de 'software' más populares".
MÁS PÉRDIDAS POR ESTAFAS BEC
Trend Micro prevé que las pérdidas registradas desde octubre de 2013 como consecuencia del Compromiso del Email Empresarial (BEC) se incrementarán hasta los 9.000 millones de dólares --más de 7.400 millones de euros-- en 2018, a medida que las organizaciones "continúen mostrando cuán expuestos están su personal y sus procesos a la ingeniería social". Hasta diciembre de 2016, y según datos del FBI, esta cantidad superó los 5.300 millones de dólares --más de 4.300 millones de euros--, a pesar de ser uno de los riegos "más fáciles de reducir".
La compañía ha explicado que a pesar de que no haber 'malware' por medio en la mayoría de estafas BEC, es importante para las organizaciones contar con una plantilla "mejor formada y concienciada", y garantizar que dos miembros 'senior' del departamento financiero "autoricen y firmen las grandes transferencias de fondos".
BRECHAS DE SEGURIDAD
Trend Micro también ha recordado las brechas de datos e incidentes de privacidad sufridos en 2017 por empresas como Yahoo, Uber o Equifax, que "tenían los recursos, pero no la cultura corporativa correcta o la estrategia para mantener a raya a los 'hackers'". Además, configuraciones "erróneas" de la base de datos 'cloud' de otras organizaciones, a menudo en manos de un tercer 'partner', han provocado que se filtrase información sensible de clientes o de su propiedad, como sucedió con Verizon, Accenture, WWE o el Departamento de Defensa de Estados Unidos.
Estos incidentes revelan "una vez más" que las empresas "aún no tienen los conceptos básicos" en materia de ciberseguridad y están "fallando" a la hora de extender las políticas a los 'partners' y proveedores, según la empresa nipona.
DESINTERÉS GENERALIZADO POR EL GDPR
El próximo 25 de mayo entrará en vigor el Reglamento General de Protección de Datos, con implicaciones de ciberseguridad y privacidad para las empresas sin precedentes, según Trend Micro. La compañía ha lamentado "la falta generalizada" de conocimiento y aceptación por parte de las cúpulas directivas, a pesar de las altas multas que están a la vista por incumplimiento.
Una reciente investigación de la compañía japonesa reveló una "inquietante falta de interés" por parte de ejecutivos de nivel-C, que eluden la responsabilidad en el 57% de las empresas. Las compañías necesitan "entender y conocer mejor qué datos tienen, crear un plan de notificación de brechas e invertir en tecnologías más avanzadas para mantener a raya las amenazas", ha defendido Trend Micro.
ATENCIÓN A LAS VULNERABILIDADES
Por último, la compañía de ciberseguridad ha reiterado que las vulnerabilidades son "una de las mayores amenazas a las seguridad a las que se enfrentan las empresas", sin importar la procedencia o naturaleza de las mismas. Trend Micro ha recordado los casos de organizaciones como el Servicio Nacional de Salud estadounidense o Equifax, que se vieron "severamente afectadas" por sus fallos a la hora de parchear 'bugs' conocidos con rapidez.
De Devil's Ivy a KRACK, "cada mes" están saliendo a la luz nuevas vulnerabilidades y métodos de ataque, algunos con enormes implicaciones para la seguridad de los sistemas "que muchas organizaciones ejecutan", ha alertado la empresa asiática, defendiendo que los CISO deben asegurarse de contar "con un enfoque integral y automatizado para la administración de parches", y la agilidad para responder a cualquier amenaza descubierta recientemente.
