En un mundo cada vez más conectado, las amenazas en el ciberespacio van en aumento, desde el ransomware hasta los ataques de phishing. En esta nota informamos sobre los distintos tipos de ciberataques y las medidas de protección necesarias. A su vez, expertos del sector revelan cómo las empresas, especialmente las PyMEs, deben reforzar su seguridad y evaluar el rol de los ciberseguros ante las crecientes amenazas.
Escribe Lic. Aníbal Cejas

Se podría decir que todos tenemos una idea aproximada de los riesgos que entraña el uso del ciberespacio. Pero ¿cuánto conocemos sobre las amenazas que rondan en la web, tanto en el uso cotidiano, como a nivel empresarial?

Carlos Luis Avendaño Paredes, Director de la Diplomatura en Criminología Aplicada de la Universidad Abierta Interamericana, nos lo explicó así: «Cuando nos referimos a ataques informáticos, hablamos de cualquier intento de exponer, alterar, robar o destruir información mediante el acceso no autorizado a sistemas informáticos. Este tipo de crimen es peligroso porque puede causar daños financieros, pérdida de datos sensibles y comprometer la seguridad personal, empresarial y nacional.

Entre las estrategias empleadas por los cibercriminales, destacan:
• Ransomware: Actividad maliciosa mediante la cual se toma control del dispositivo y se encripta la información. En algunos casos, se exfiltra para amenazar con su publicación. A cambio de recuperar el control y los datos, se exige el pago de un rescate. Este tipo de ataque ha aumentado significativamente en los últimos años, afectando tanto a grandes corporaciones como a individuos.
• Ataques de denegación distribuida de servicio (DDoS): Ataques que sobrecargan un servidor o red mediante el envío de múltiples solicitudes desde diferentes equipos comprometidos (zombis o botnets), provocando la interrupción de sus servicios. Este tipo de ataque puede causar grandes pérdidas a empresas que dependen de la disponibilidad de sus sistemas en línea.
• Inyección SQL: Ataque dirigido a aplicaciones web que usan bases de datos SQL. Los atacantes insertan código malicioso a través de formularios o URL vulnerables, lo que puede comprometer la base de datos, permitiéndoles manipularla, extraer información o incluso borrar registros.
• Redes trampa (WiFi falsas): Creación de redes WiFi con nombres similares a redes legítimas para engañar a los usuarios y robar sus datos cuando se conectan a ellas. Este tipo de ataque es común en lugares públicos donde los usuarios buscan conectarse a internet de forma gratuita.
• Spam o correo no deseado: Envío masivo de mensajes publicitarios o fraudulentos a través de internet, generalmente con fines comerciales o maliciosos. Si bien puede parecer inofensivo, el spam puede ser utilizado para propagar malware o realizar ataques de phishing.
• Phishing: Envío de mensajes que parecen legítimos, pero que en realidad son fraudulentos, con el objetivo de engañar al destinatario para que revele información confidencial, como contraseñas o números de tarjetas de crédito. Este ataque es una forma específica de ingeniería social y se realiza mayormente a través de correos electrónicos, mensajes de texto o incluso llamadas telefónicas.

Carlos Luis Avendaño Paredes, Director de la Diplomatura en Criminología Aplicada de la Universidad Abierta Interamericana.

• Troyanos: Programas maliciosos que se disfrazan como software legítimo, pero que una vez instalados, permiten al atacante tomar el control del dispositivo infectado, robar datos, introducir otros programas maliciosos o propagarse a otros equipos.
• Anuncios maliciosos (Malvertising): Uso de anuncios en sitios web para distribuir malware o redirigir a los usuarios a sitios comprometidos. Estos anuncios suelen aparecer en sitios legítimos, lo que dificulta a los usuarios evitar el riesgo.
• Mail spoofing / suplantación de origen de correo electrónico: Técnica que consiste en falsificar la dirección de correo electrónico de origen para hacer creer al destinatario que el mensaje proviene de una fuente confiable. Este método se utiliza comúnmente en ataques de phishing o para distribuir malware.
• Zombis / Botnet: Red de dispositivos infectados que son controlados remotamente por ciberdelincuentes sin que sus propietarios lo sepan. Estos dispositivos pueden ser utilizados para realizar ataques coordinados, como los DDoS, o para distribuir spam y malware.
• Man in the middle (MitM): Ataque en el que un actor malicioso intercepta la comunicación entre dos partes, ya sea para robar información o alterar el contenido del mensaje sin que los participantes lo detecten. Este tipo de ataque es especialmente peligroso en comunicaciones cifradas, como transacciones bancarias».

Categorización

Luego de lo expuesto, Avendaño Paredes continuó especificando la categorización de los delitos cibernéticos. Explicó que desde la cibercriminología, los delitos informáticos pueden dividirse en dos grandes grupos.

El primero son los ‘ciberataques réplica’, que consisten en delitos convencionales que adquieren una nueva dimensión mediante el uso de dispositivos informáticos, servicios y aplicaciones en internet. Entre estos, encontramos el ciberfraude, phishing, ciberbullying.
El segundo grupo corresponde a los ‘ciberataques puros’, delitos que no existen en la vida física cotidiana y que son posibles únicamente gracias a las tecnologías de la información y comunicación. Ejemplos de estos delitos incluyen la distribución de virus o programas maliciosos, los ataques a sitios web y la piratería de software.

Y continuó: «Adicionalmente, los delitos cibernéticos pueden categorizarse según diferentes criterios. Entre ellos se encuentran los delitos contra la confidencialidad, integridad y disponibilidad de datos y sistemas informáticos, que incluyen el acceso ilícito, la interferencia en sistemas y la interceptación de datos.
También están los delitos informáticos, como el fraude y la falsificación digital.
Los delitos relacionados con el contenido abarcan la distribución de material ilegal y, finalmente, los delitos vinculados a infracciones de la propiedad intelectual, como la piratería de software».

Ransomware

A partir de lo comentado anteriormente, Silvia Míguez, especialista en seguros de Responsabilidad Civil, miembro de ECTTA, expuso la situación actual en nuestra región respecto a los ataques de ransomware.

Míguez expresó: «Hablamos de un riesgo relativamente nuevo, desarrollado en los últimos 15 años aproximadamente.
Si bien era esperable que se incrementara con el correr del tiempo, el último año ha tenido un crecimiento alarmante: 4 de cada 10 empresas argentinas sufrieron un ciberataque desde el año 2023 a la fecha.
El incremento se ve tanto en la frecuencia como en el grado de sofisticación con el que se llevan a cabo.
El blanco de estos ataques se concentra en algunas actividades en particular: servicios financieros, manufactura, servicios médicos y sistemas educativos. Esto no es una sorpresa, ya que se trata de sectores que manejan y concentran un alto grado de información sensible, la cual resulta sumamente apetitosa para los ciberdelincuentes que buscan obtener ganancias mediante la extorsión o venta de dicha información».

Silvia Míguez, especialista en seguros de Responsabilidad Civil, miembro de ECTTA.

Salvaguardias

En ese sentido, Avendaño Paredes compartió las medidas de protección que tanto individuos como PyMEs pueden tomar para protegerse frente a este tipo de ataques, basadas en las recomendaciones de compañías especializadas en ciberseguridad, y de los fabricantes de soluciones.

Se identifican seis niveles diferentes donde tomar acción: el nivel de prácticas generales, el de sistemas operativos; de red; de soluciones de seguridad; de copias de seguridad; y de formación y concientización.

Avendaño Paredes amplió: «En el primer nivel, se trata de seguir prácticas seguras en Internet, lo que significa no hacer clic en enlaces no seguros sin conocer su verdadero origen; no abrir archivos adjuntos de correo electrónico sospechosos; implementar o activar funciones de bloqueo de anuncios y filtros antispam; y evitar revelar información personal.
A nivel de sistemas operativos es importante mantener actualizados el sistema operativo y los programas, sobre todo a nivel de parches y actualizaciones de seguridad. Además, se recomienda utilizar la autenticación de doble factor (2FA) o multifactor (MFA); emplear contraseñas robustas y complejas, administradas mediante un gestor de contraseñas, y renovarlas periódicamente; organizar los datos y separar física y lógicamente; y disponer de un sistema de almacenamiento e indexación de logs centralizado. Una forma de separar aplicaciones o sistemas críticos es utilizar entornos virtualizados», aseguró.

Y prosiguió: «A nivel de red, se recomienda en primer lugar segmentar la LAN de la empresa en subredes y conectarlas al cortafuegos para limitar el movimiento lateral y el posible impacto del ransomware, u otros ataques, dentro de la red. Segundo, identificar los sistemas de red que están expuestos externamente, ejecutando un escaneado de puertos en las direcciones IP WAN.
Se debe identificar también cuáles de los sistemas de red están haciendo reenvío de puertos en esos puertos expuestos, y supervisar constantemente los registros de red en busca de conexiones externas entrantes y bloquee esas IP en su cortafuegos. Además, los administradores de red deben supervisar los sistemas en tiempo real para detectar cualquier comportamiento sospechoso, como un uso elevado de la CPU.
Por último, se recomienda asegurar los protocolos de red (SSH, FTP, RDP, SMB, VNC, HTTP); desactivar o limitar el RDP si no se necesita y utilizar limitación de velocidad, 2FA o una VPN»

En el nivel de soluciones de seguridad, recomienda: «Instalar software antivirus con protección contra ransomware, de ser posible multicapa; proteger con contraseña las configuraciones de las soluciones de seguridad para evitar que sean desactivadas por un ciberdelincuente; instalar un cortafuegos o firewall, y detectores de intrusos (IDS).
A esto se suma tener filtros de spam para evitar que los emails de phishing lleguen al buzón de los empleados, adquirir soluciones de seguridad DNS, garantizar el aislamiento remoto del navegador y utilizar servicios VPN en redes Wi-Fi públicas.
En el nivel de copias de seguridad, las principales acciones preventivas se basan en realizar copias de seguridad periódicas, y mantenerlas fuera de la red y en ubicaciones externas donde los atacantes no puedan encontrarlas.
En ese sentido, debe seguirse la regla 3-2-1, es decir, mantener por lo menos tres copias, en dos formatos distintos y una de las copias en otra ubicación.
Junto a esto, guardar las copias de seguridad en un lugar diferente al del servidor de ficheros, y protegerlas con autenticación de doble factor o multifactor.
También se aconseja automatizar las copias de seguridad siempre que sea posible, mantenerlas encriptadas y fuera de línea de los datos, y comprobar los dispositivos IoT o cualquier otro dispositivo de red en busca de vulnerabilidades (cámaras CCTV, servidores NAS, routers).
Finalmente, es recomendable invertir en una póliza de seguros que cubra los daños por ataques de ransomware».

El último nivel es el de formación y concientización, donde lo principal es aprender de los errores de otros, y formar a los/as empleados/as en seguridad informática, la identificación de intentos de ingeniería social y correos electrónicos de phishing.

 

Consecuencias económicas

Las consecuencias de los ataques de ransomware son diversas.

Míguez explicó: «Las pequeñas y medianas empresas conforman una parte muy importante de la infraestructura económica del país. Sin embargo, la seguridad de su información, sistemas y redes no siempre son su principal prioridad, y esto, junto a la falta de grandes inversiones en el área, las hace blanco fácil de los ciberataques.
Los ataques pueden generar daños propios y a terceros, lo que implica pérdida de dinero y de información crítica para administrar su negocio.
Permiten servir de acceso a objetivos más destacados por medio de su rol o sus productos y servicios en una cadena de suministro. Además, pueden sufrir daños reputacionales que afecten la confianza de sus clientes, así como también causar la interrupción o paralización total o parcial de su actividad.
A raíz de un presunto mal uso de la información o falta de resguardo de la misma, pueden recibir sanciones de entes de control y vigilancia, o hasta ser demandados por terceros afectados por el uso o divulgación de información confidencial y sensible.
Todo esto conduce también a la desvalorización de la marca y pérdida de posición en el mercado».

Criptomonedas y ransomware

En los ataques de ransomware, las criptomonedas juegan un papel crucial debido a su anonimato y dificultad para rastrear transacciones.

Avendaño Paredes explicó: «Los atacantes prefieren recibir pagos en criptomonedas porque estas transacciones son difíciles de rastrear y no pueden ser revertidas, lo que les proporciona una mayor seguridad y anonimato.
De todas formas, el pago del rescate solicitado en este tipo de ataques no garantiza que se puedan recuperar los datos.
Las recomendaciones en caso de recibir un ataque de este tipo es no pagar en ninguna circunstancia. Al ser un tema de oferta y demanda, el hecho de no pagar en ninguna circunstancia haría que esta actividad no sea rentable.
Es importante ponerse en contacto con las fuerzas de seguridad para denunciar el ransomware. Contactar con los proveedores que puedan ayudar y recordar a los empleados las políticas de prensa y redes sociales para mantener el control de las comunicaciones de cara al público», aconsejó.

 

Seguros cibernéticos

Un recurso de gran valor frente al ransomware son las pólizas de ciberseguro.

Varvara Rivero Moreno, Chief Information Security Officer de Galicia Seguros, señaló: «El papel de los seguros cibernéticos en la protección es esencial, pero complementario a las estrategias de ciberseguridad de una organización. No previenen directamente los ataques, pero sí mitigan las consecuencias financieras de un incidente, ayudando a cubrir los costos asociados con la recuperación (pago de rescates, gastos de recuperación de datos, análisis forense, notificación a los afectados y la reparación de la reputación de la empresa).
El seguro cibernético actúa como una red de seguridad financiera y operativa en caso de un ataque de ransomware, pero debe ser parte de una estrategia más amplia de defensa en profundidad y preparación ante incidentes».

Varvara Rivero Moreno, Chief Information Security Officer de Galicia Seguros

Luego, Míguez comentó: «El Cyberseguro brinda protección al Asegurado, ya que se transfieren las posibles erogaciones y pérdidas financieras al Asegurador. Genera un medio rápido y eficiente para hacer frente en forma inmediata y tomar acciones ante los ataques sufridos.
El alcance de la cobertura varía según la compañía y el cliente objetivo (PyME o grandes empresas). Sin embargo, en general se ofrece cobertura de gastos legales; de gastos para cubrir la defensa ante procedimientos regulatorios; para gastos de notificación a clientes sobre el incidente informático sufrido en los sistemas del asegurado y de gastos de expertos de relaciones públicas para la restitución de imagen del asegurado luego de un incidente.
También se ofrece cobertura para gastos de rescate ante un incidente de extorsión cibernética, así como las principales consecuencias nombradas anteriormente: recuperación de datos perdidos por un incidente informático; pérdida por interrupción del negocio limitada a un período de tiempo; reclamos a consecuencia de divulgación de información sensible de clientes del asegurado; reclamos derivados de responsabilidad por fallas en la seguridad de la red informática del asegurado. Por último, ofrece cobertura de reclamos por calumnias e injurias y derechos de autor en material publicado por el asegurado en la red», detalló.

Por otro lado, también marcó las exclusiones, entre las cuales se encuentran los casos de actos dolosos o intencionales; y los reclamos derivados de falla mecánica, eléctrica, de los sistemas de telecomunicaciones, de transmisión satelital o del sistema de cómputos.
Otra exclusión es en ocasión de reclamos y circunstancias anteriores o preexistentes.
«Este tipo de seguros se encuadra en Líneas Financieras. En general, se suscriben bajo la modalidad de cobertura Claims Made», especificó Míguez.

A esto, Rivero Moreno agregó: «Las pólizas cibernéticas ofrecen una cobertura financiera que ayuda a las empresas a recuperarse económicamente sin sufrir pérdidas masivas.
Puede ser que algunas también ofrezcan acceso a expertos para poder brindar soporte ante el incidente.
También es un incentivo para seguir mejorando la seguridad, ya que la exigencia a las organizaciones para que se adopten medidas de seguridad mínimas para su cumplimentación, incentiva a las empresas a mejorar sus defensas», remarcó.

Y sobre las limitaciones, puso de relieve: «A medida que los ataques cibernéticos se vuelven más frecuentes, los costos de las pólizas están en aumento.
Además, las aseguradoras exigen que las empresas cumplan con ciertos niveles de ciberseguridad para calificar para una póliza o recibir el pago de una reclamación.
Es necesario tener en cuenta que no sustituye las buenas prácticas de ciberseguridad. El seguro cibernético es una herramienta de mitigación, pero no sustituye la necesidad de una sólida estrategia de ciberseguridad. Toda aquella compañía que dependa en exceso del seguro, sin implementar medidas de protección adecuadas, seguirá siendo vulnerable».

Cibercriminales

Ya cerca del cierre, consultamos a Avendaño Paredes por las dificultades en el rastreo y detención de los cibercriminales. Al respecto, el especialista consideró: «El ciberespacio se ha convertido en la nueva escena del crimen.
Esto representa varios desafíos, tanto para la investigación como para la detención de los cibercriminales.
En primer lugar, tenemos que mencionar el anonimato. Los cibercriminales pueden ocultar su identidad de diferentes formas, la más común es utilizando redes privadas virtuales (VPN) y actividades económicas con criptomonedas. Sin embargo, los cuerpos policiales también cuentan con formas novedosas de hacer investigación, por lo que se han realizado operativos coordinados con diferentes fuerzas para desmantelar redes de cibercriminales.
Otro desafío lo representan las Jurisdicciones múltiples: los delitos cibernéticos a menudo involucran a múltiples países, lo que dificulta la cooperación internacional. De igual forma, los ataques pueden ser programados para que se ejecuten en cualquier momento, lo que significa que un ciberdelincuente puede ejecutar un ataque una vez que se ha movido físicamente del lugar.
Por último, el uso de tecnologías avanzadas son un desafío: los cibercriminales utilizan tecnologías avanzadas como la dark web y el encriptado para ocultar sus actividades. Cada vez más, los órganos de seguridad emplean estrategias para infiltrarse en entornos como la internet profunda para poder investigar actividades delictivas e identificar a los autores.
Sin embargo, rastrear y detener a los cibercriminales tiene dificultades importantes que obliga a las instituciones de control social formal a suscribir convenios de cooperación internacional y a estar en constante actualización».

Concientización

Frente a todo esto, se pone de manifiesto la importancia de la educación y concienciación sobre ciberseguridad.

Rivero Moreno lo expresó así: «Ambos son aspectos claves para proteger a las organizaciones contra una amplia gama de amenazas, desde el ransomware hasta el phishing y la ingeniería social.
Al capacitar a los empleados para que comprendan los riesgos y adopten buenas prácticas, las organizaciones refuerzan una de las defensas más importantes en su arsenal: una fuerza laboral informada y consciente. Esta inversión en formación no solo previene incidentes, sino que también mejora la capacidad de respuesta y resiliencia frente a las amenazas.
Las pólizas de seguro cibernético son una herramienta valiosa para mitigar el impacto financiero de un ataque, pero no son una solución mágica. Deben ser parte de una estrategia de seguridad integral que incluya medidas preventivas y de respuesta efectivas. Las empresas deben entender tanto los beneficios como las limitaciones para gestionar mejor sus riesgos cibernéticos», declaró.

En la misma línea, Míguez consideró: «Como en todos los aspectos de la vida, la educación y la prevención son pilares fundamentales para el normal desarrollo, el éxito y logro de objetivos.
Si bien en la actualidad la vida parece girar y desarrollarse en torno a la Red, considero sumamente importante la concientización de los peligros que acechan y a los que nos exponemos, y esto debe comenzar a inculcarse desde niños, enseñando el uso responsable y los cuidados que debemos tener.
Se debe dar charlas en los colegios e incluir contenidos de ciberseguridad dentro de la currícula escolar».

«También es muy importante realizar acciones en las empresas: desarrollar manuales de procedimiento de manejo de información, cursos obligatorios, recambio de claves, utilización de computadoras y teléfonos laborales manteniendo sistemas de protección, no utilización de redes públicas.
Puede implicar un esfuerzo e inversión, pero al fin del día estamos protegiendo lo más valioso que tenemos que es nuestro nombre y nuestra marca. Vale la pena intentarlo», finalizó.