En la actualidad, el mundo empresarial no se entiende exclusivamente fuera de la red. No hace tantos años era impensable para muchos confiar los datos de nuestra tarjeta de crédito a un navegador, ni siquiera de manera temporal.

El usuario medio se siente ya cómodo comprando y demandando servicios online y no solo eventualmente, sino con habitual frecuencia, y se atreve a dejar registrados todos sus datos por pura comodidad.

Dentro de poco será impensable algo tan simple como realizar la reserva de una habitación de hotel por vía telefónica. Todo está a unos cuantos clics de alcance.

Tipos de ataques informáticos

Instaurado el comercio electrónico en nuestras vidas, surgen nuevas formas de vulnerar la seguridad informática de una empresa. Hay gente que dedica mucho tiempo y esfuerzo con tal de salirse con la suya. Lo que parece ciencia ficción ya no lo es tanto: si no hay cajas fuertes que abrir para sustraer un suculento botín, ¿cuál es el siguiente paso? Al igual que una tienda física debe cumplir con unas reglas mínimas para garantizar su seguridad, una tienda online no está exenta de problemáticas similares. Solo cambia el contexto: Internet.

Se enumeran a continuación los ataques cibernéticos más frecuentes que las empresas pueden sufrir y de qué forma o formas se pueden paliar, prevenir o solucionar.

Ataques DDOS o Denegación de Servicio

Este tipo de ataque consiste en denegar el acceso a una web o servidor a su legítimo propietario. También puede provocar una pérdida sustanciosa de datos.

Habitualmente consiste en sobrecargar los puertos con un volumen excesivo de flujos de información usando una botnet (agrupación de equipos infectados bajo control dispuestos a bombardear un sistema), causando pérdida de la conectividad de ese espacio.

Imaginemos que una tienda ofrece una gama de productos rebajados en un momento crítico y que alguien de entre la competencia se considera por ello totalmente fuera de juego. ¿No sería beneficioso para ese competidor que ese comercio en línea sufriera una sobrecarga temporal de manera que le dé tiempo a encauzar una estrategia más adecuada?

En general, estos tipos de ataque han ido aumentando desde 2014 debido sobre todo a la masificación de las redes y equipos con configuraciones bajas en seguridad y a la mayor facilidad con la que se pueden orquestar.

Entre algunas de las medidas básicas que se pueden tomar para evitar un ataque DDoS contamos con deshabilitar la respuesta de ICMP en el cortafuegos y actualizar de manera periódica tanto el sistema operativo (cuanto más antigua sea la versión en uso, más vulnerable será) como el cortafuegos con la opción de ataques DoS.

Con frecuencia estos ataques se dirigen desde redes localizadas en países concretos como Rusia o China y una opción es bloquear las conexiones entrantes que procedan de allí.

De cualquier modo, siempre es conveniente hablar con el proveedor al respecto para que asesore en caso de incidencia.

La Agencia Española de Protección de Datos obliga al cumplimiento de una serie de medidas para garantizar la seguridad de los datos, evitando pérdidas, sustracciones, alteraciones y acceso no autorizado.

Phishing

El phishing no es un ataque directo contra una web o sus servidores, sino una manera de desviar el flujo de clientes, ingresos o búsquedas hacia un portal falso con fines deshonestos. Cuanto más conocida sea una tienda, portal o servicio online, mayor será el riesgo de convertirse en una víctima de este tipo de ataque. También es particularmente frecuente en sitios que ofrecen servicios financieros o en los que destaquen por mantener un flujo constante de crédito.

El phishing consiste en crear una réplica fraudulenta del negocio con la que atraer a usuarios incautos. Los delincuentes pueden acudir a anunciarse en la red e incluso pagar por aparecer primero en los buscadores con esta imitación.

Si estos anuncios falsos aparecen en un buscador, es necesario acudir de inmediato a comunicarlo al buscador responsable de ese contenido y si el ataque tiene como objetivo a la propia empresa, no dudar en dirigirse a la Guardia Civil y a presentar la denuncia correspondiente.

En Estados Unidos hay una organización que se dedica exclusivamente a estos casos y en principio basta con enviarles un aviso al correo phishing-report@us-cert.gov para dar a conocer estos casos fraudulentos.

Phising en la campaña de la Renta 2017

Otro año más, con el comienzo de la campaña para la Declaración de la Renta, Hacienda advierte sobre los fraudes a través de phising que pueden afectar a los ciudadanos.

Ya se han detectado varios intentos de fraude en los que se pretende engañar a los contribuyentes mediante el envío de comunicaciones por correo electrónico o sms. En ellas se suplanta la personalidad de Hacienda proporcionando enlaces maliciosos para la supuesta devolución de impuestos. Estos enlaces llevan a páginas web maliciosas en las que se suplanta la imagen de la Agencia Tributaria y se pide la introducción de diversos datos personales y bancarios.

La Agencia Tributaria nunca solicita por correo electrónico información confidencial, económica o personal, ni tampoco números de cuenta ni números de tarjeta de los contribuyentes. Se aconseja desconfiar de cualquier comunicación que incluya la petición de información confidencial, económica o personal o incluya cualquier enlace que no remita a la página Web o a la Sede electrónica.

Robo de Información

Los ataques enfocados hacia el robo de información como objetivo son especialmente preocupantes porque, independientemente del impacto económico directo que puedan causar a un negocio, suelen traer consigo consecuencias legales muy costosas.

Hay varios motivos por los que un atacante puede querer sustraer información de los registros. Bien para vender esos datos en el mercado negro, robar usando los datos de las tarjetas de crédito o suplantar la identidad de alguien.

Si en el caso del fishing son más vulnerables empresas u organizaciones muy conocidas, los robos de información se producen a cualquier banco de datos que no se encuentre lo suficientemente protegido.

El problema es particularmente grave si en un juicio se demuestra que los datos recabados de terceros no se encontraban protegidos o lo estaban pero con medidas insuficientes. Hablamos de multas de entre 60.000 y 300.000 euros.

¿Cómo evitar fugas de datos en la empresa?

La Agencia Española de Protección de Datos obliga al cumplimiento de una serie de medidas para garantizar la seguridad de los datos, evitando pérdidas, sustracciones, alteraciones y acceso no autorizado. Es muy importante tener esto en cuenta de cara a la apertura de un comercio en línea, por ejemplo.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) estipula en su Artículo 44, punto 3 (infracciones graves), letra h:

Artículo 44.3 LOPD
  1. Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

Estas medidas que menciona el artículo 44 se desarrollan en el Título VII del Reglamento de desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre.

El desconocimiento de esta norma no exime por supuesto de su cumplimiento. Esto quiere decir que toda aquella persona con acceso a datos de carácter personal tiene que atenerse a lo dispuesto en la LOPD y su reglamento. En el artículo 88 se concretan las medidas para la elaboración de un documento de seguridad. En este documento se verán reflejadas las medidas de seguridad de índole técnica y organizativa que se llevan a cabo para cumplir con la ley en cuestión.

Por todo lo expuesto anteriormente, se recomienda encarecidamente a las empresas hacer todo lo posible por asegurarse en el ámbito de la protección de datos acudiendo por ejemplo a una consultoría especializada sobre la materia que asesore acerca de asuntos legales, recomendaciones de seguridad y demás aspectos relacionados con la lopd y el reglamento.

Otros ataques

Hay otras formas de burlar la seguridad de empresas cuyos datos se encuentran alojados de manera informática. Entre las más comunes y no menos peligrosas se encuentra la práctica del chargeback o las brechas en la web.

¿Necesitas cumplir la LOPD?

¿Cuáles son los ataques informáticos más frecuentes que sufren las empresas?
4.7 (94.55%) 11 votos