¿Sabe cuánto le costaría a su empresa sufrir un ataque cibernético? Para poder hacerlo, se debe tomar en cuenta una serie de variables como el tamaño de su negocio, la industria en la que se desempeña y el tipo de datos que maneja.
Con los ataques informáticos perpetrados por el grupo Conti en Costa Rica, se evidenció la importancia y la magnitud de lo que puede ocasionar una brecha de seguridad.
El Centro de Operaciones de Seguridad de la firma Appgate, reportó 27.900 casos de fraude en Latinoamérica en 2022, de los cuales, el 59% corresponden a phishing; 29% al uso no autorizado de la marca, y el 7% a las aplicaciones móviles maliciosas y en la región la mayor cantidad de estafas se presentaron en: Brasil (34%), Argentina (33%); Ecuador (10%), Colombia (5%), Costa Rica (5%) y Chile (4%).
Como parte de un ejercicio de concientización, las empresas pueden calcular cuánto le costaría sufrir un ciberataque con ayuda de la calculadora desarrollada por la firma Lumu Technologies.
Para usar esta herramienta los empresarios deben:
1. Seleccionar la industria o sector en la que se desarrolla su negocio.
2. Indicar el número de empleados. La opción de empresa más pequeña que ofrece la calculadora es de menos de 500 trabajadores.
3. ¿Cuál es el costo promedio de un incidente para su organización? Puede seleccionar la opción que le calcula el promedio de la industria.
4. ¿Cuántos incidentes de seguridad ha experimentado en los últimos 12 meses?
5. ¿Cuántos indicadores de compromiso (IoC) descubrió en los últimos 12 meses? Puede seleccionar la opción que le calcula el promedio de la industria.
6. ¿Cuál es el salario promedio de un analista de ciberseguridad por mes? En caso de que lo tenga.
7. ¿Cuánto tiempo le lleva bloquear un IoC? Debe especificar la cantidad de minutos.
8. ¿Tiene su equipo un proceso automatizado para mantener y actualizar las bases de datos de IoC?
Una vez contestadas estas preguntas, la compañía le generará un reporte que le llegará al correo electrónico que indique.
En EF realizamos diversos cálculos para estimar los costos de compañías de diferentes tamaños e industrias.
Primero consultamos cuánto le costaría un ataque a una compañía que tenga menos de 500 trabajadores, que se dedique al negocio de servicios, que no cuente con un especialista en ciberseguridad y que no tenga automatizada su base de datos. El resultado fue un costo de $3.290.000 por incidente.
Veamos un segundo ejemplo:
Una firma entre 500 y 1.000 trabajadores, que está en la industria de medios de comunicación y que haya sufrido un incidente de seguridad en el último año. El daño para esta organización sería de $1.953.000.
Seleccionamos a una entidad que esté dentro del segmento de educación, con un promedio de 1.001 hasta 5.000 trabajadores, con un incidente de seguridad reportado en los últimos 12 meses. El costo de un ataque sería de $3.705.600.
Ahora ¿qué pasaría con una empresa minorista?
Un pequeño negocio que se dedica al retail, con menos de 500 trabajadores, que no tiene automatizado un proceso que le permita actualizar sus bases de datos; tendría que asumir un costo de $2.296.000 en caso de sufrir un ataque por parte de un cibercriminal.
Analicemos otro más ambicioso como un banco que es sumamente apetecido por los delincuentes informáticos.
Una entidad financiera que también tenga operaciones fuera de Costa Rica y que reporte una planilla entre 10.000 a 25.000 colaboradores, que además cuente con una base de datos automatizada y con especialistas en ciberseguridad, el costo de una brecha de seguridad sería de $7.761.000.
En este enlace puede hacer el ejercicio usted mismo.
El 60% de las pequeñas empresas cierran dentro de los seis meses posteriores a ser víctimas de una violación de datos o un ataque cibernético, según la Alianza Nacional de Seguridad Cibernética de Estados Unidos.
Fraudes más comunes
Appgate detectó que en el último año la mayoría de los ataques se caracterizaron por ser masivos y de fácil despliegue, y las temáticas más usadas por los cibercriminales fueron:
- Ofertas laborales: Los delincuentes se hacen pasar por empresas de reclutamiento para obtener información de las organizaciones y las personas.
- Tiendas falsas: Las estafas relacionadas con compras en Internet, ofertas y publicidad engañosa, son cada vez más comunes, pues representa cerca del 37% de las denuncias presentadas en el 2021, y reporta pérdidas de dinero en tres de cada cuatro víctimas. Este tipo de casos, pueden tener origen en las redes sociales o en enlaces fraudulentos.
- Cuentas bancarias: Los cibercriminales crean falsos centros de contacto para ofrecer apoyo a los usuarios con procesos de gestión de productos financieros.
- Fraudes de inversión: Este tipo de estafa tomó fuerza en la región y sucede cuando se presentan con típicos modelos piramidales con un supuesto alto nivel de rendimiento con el fin de que las víctimas inviertan en ellas.
- Falsas aplicaciones: En el 2022, el 7% de los incidentes estuvieron relacionados con aplicaciones maliciosas que fueron instaladas en los dispositivos.
- Asuntos legales o tributarios: Este tipo de fraude llegó con fuerza el año pasado a varios países de Latinoamérica. Se identificaron ataques en donde los usuarios recibían una llamada del banco para hacer devolución del Impuesto al Valor Agregado (IVA), y durante el proceso se apoderaban de las credenciales de las personas, sus redes sociales y demás información personal para luego vaciar las cuentas bancarias.
“Los atacantes analizan la huella digital de las compañías y usan diferentes máscaras para engañar al usuario con fines fraudulentos. Estos ataques son lanzados desde el correo electrónico, redes sociales, aplicaciones móviles y buscadores”, explicó David López, vicepresidente de ventas para Latinoamérica de Appgate.
¿Qué puedo hacer para defenderme?
Para las compañías es realmente abrumador estar en medio de un contexto en donde los ataques informáticos suceden todos los días y son perfeccionados para burlar los sistemas de seguridad.
Existe un sinfín de herramientas sofisticadas que a menudo no suelen ser tan efectivas como se publicitan. Todavía se observa cómo se vulneran grandes organizaciones que tienen acceso a todas las herramientas y recursos más recientes. Así que al final del día, el dinero no lo es todo.
Esto sucede principalmente porque muchas de estas tecnologías requieren una gran cantidad de tiempo y dinero para configurarlas de acuerdo con las necesidades de una empresa y los equipos de seguridad no siempre tienen el ancho de banda para seguirlas por completo.
“La ciberseguridad no tiene por qué ser complicada y no siempre se necesita algo nuevo”, afirmó Nicole Ibarra, especialista en cibserguridad de Lumu Technologies.
Para blindarse de los ataques se recomienda encontrar la tecnología que tenga capacidades automatizadas de búsqueda de amenazas. Esta debería ser capaz de identificar e informar amenazas automáticamente, proporcionando todos los detalles y el contexto necesarios para responder en tiempo real, o para futuros análisis forenses.
Otro hábito de los equipos de seguridad altamente efectivos es cuestionarse ¿esta herramienta proporciona la visibilidad que necesitamos? ¿Estas herramientas funcionan con mis soluciones existentes? Debe tener capacidades de automatización. Deben ser fáciles de usar.
Si usted tiene que compartir su información con proveedores, también es necesario consultarles a ellos si tienen soluciones de ciberseguridad. Recuerde que si ellos sufren una brecha, su compañía también estará involucrada.