En un mundo anterior a los medios sociales, el porcentaje de dispositivos electrónicos era minimo comparado con ahora donde la cantidad de dispositivos electronicos es mayor a la cantidad de todal de personas que existen en todo el planeta.

En los tiempos donde los dispositivos electronicos eran pocos, los ciberdelincuentes de tiendas online y los molestos virus informáticos planteaban las mayores ciberamenazas para las pequeñas empresas.

Pero en el mundo actual donde los dispositivos conectados superan a las personas, la nueva información de la National Cyber ​​Security Alliance sugiere que casi el 50% de las pequeñas empresas han experimentado un ciberataque, más del 70% de los ataques a pequeñas empresas y hasta el 60% y las medianas empresas cierran después de 6 meses.

A medida que se acerca octubre, que es el mes de la ciberseguridad, Zions Bank presentó el martes una presentación especial en el Shoshone-Bannock Hotel and Event Center destinada a ayudar a las empresas a reducir el riesgo de ciberataques con el orador principal, Dean Sapp. Funcionario de Braintrace, que cubre una variedad de temas de seguridad que van desde la prevención y el reconocimiento hasta los tipos de violaciones de seguridad y hacking de datos que prevalecen hoy en día.

“En primer lugar, aliento a las empresas a que realicen una evaluación de riesgos en la que todo el equipo ejecutivo se reúna y discuta los aspectos que generan ingresos para su negocio y cómo protege cosas como el dinero o la propiedad intelectual”, dijo Sapp. “Luego, una vez que obtenga una evaluación de riesgos, asegúrese de seguir las recomendaciones. Hemos tenido muchos clientes que han tenido una evaluación de riesgos y la han ignorado durante 6 meses y luego tuvieron una violación de datos”.

El ciberataque más común que ocurre en este momento se llama Business Email Compromise (Compromiso de correo electrónico comercial) o ataque BEC, agregó Sapp.

Un BEC es una estafa sofisticada que se dirige tanto a empresas como a individuos que realizan transferencias electrónicas y pagos de transferencia, de acuerdo con el Federal Bureau of Investigation. La estafa se lleva a cabo con frecuencia cuando un sujeto compromete cuentas de correo electrónico comerciales legítimas a través de ingeniería social o técnicas de intrusión informática para realizar transferencias de fondos no autorizadas.

“Con las estafas de BEC, los cibercriminales quieren buscar formularios de Personally Identifiable Information (Información de Identificación Personal) en sus siglas PII o Wage and Tax Statement (Declaración de Salarios e Impuestos o en sus siglas W-2, transferencias de dinero y depósitos (directos): quieren ir a cualquier cosa en la que transfiera dinero o usted tener documentos de valor material como patentes, derechos de autor o marcas comerciales “, dijo Sapp. “Vemos un montón de bufetes de abogados, inmobiliarias y compañías de títulos que están siendo atacados en este momento. Los malos quieren entrar en la bandeja de entrada de una persona para reenviar todos los mensajes a otra cuenta. Ese es un gran riesgo potencial. Luego, los malos enviarán ahora un mensaje a cada uno de sus clientes como si fueran el bufete de abogados para que puedan intentar y comprometer la bandeja de entrada de los clientes. Esta red masiva de fraude y engaño se extiende desde allí “.

Sapp dijo que los cibercriminales utilizan métodos sofisticados para crear estafas BEC, que a menudo ocultan enlaces maliciosos o páginas con sitios que se parecen a los sitios web reales. La diferencia es que en lugar de ingresar o acceder al sitio o la información, el usuario accede a una cuenta o página falsa que puede permitir que un cibercriminal instale remotamente un software dañino, como los keyloggers (registradores de pulsaciones de teclas). A partir de ahí, es solo cuestión de tiempo antes de que los cibercriminales puedan acceder a la información con nombre de usuario y contraseña.

“Hay varios pasos por los que pasan estos malos”, dijo Sapp. “En términos de planificación del ataque, hacen un reconocimiento y aprenden sobre los hábitos de las redes sociales o lo que a una persona o grupo le gusta hacer. Luego escanearán su negocio y en Internet para ver si hay debilidades que puedan señalar “.

Sapp continuó: “Luego siguen los pasos para tratar de obtener acceso a sus cuentas o falsificar la cuenta para que puedan engañarlo a usted o a sus empleados para que respondan. Una vez que están dentro, quieren mantener el acceso hasta el momento adecuado. Lo que encontrarás es que los cibercriminales son muy pacientes. Están esperando la oportunidad correcta, alguien irá de vacaciones o no estará disponible por un período de tiempo y ese es el momento en que tratan de entrar y robar cosas “.

Los datos estadísticos del FBI muestran que los fraudes BEC continúan creciendo y evolucionando, dirigiéndose a pequeñas, medianas y grandes empresas y transacciones personales. Entre diciembre de 2016 y mayo de 2018, hubo un aumento del 136% en las pérdidas expuestas globales identificadas. Este tipo de estafa se ha informado en los 50 estados y en 150 países diferentes.

Los datos del FBI sugieren que los bancos asiáticos en China y Hong Kong siguen siendo los principales destinos de los fondos fraudulentos, pero las instituciones financieras en el Reino Unido, México y Turquía también han sido identificadas como destinos destacados, según el FBI.

Aunque algunos ataques cibernéticos son inevitables, Sapp dijo que animaba a las personas a participar en varias mejores prácticas para convertirse en un objetivo más difícil para los cibercriminales.

Además de realizar una evaluación de riesgos y seguir todas las recomendaciones, Sapp dijo que es mejor no confiar siempre en el personal de tecnología de la información (TI) para hacer la mayor parte del trabajo de seguridad.

“El personal de TI a menudo se siente abrumado y reservado con cosas que hacer durante todo el día, junto con la seguridad que generalmente no es un enfoque prioritario”, dijo Sapp. “Si confías en que se conviertan en expertos en seguridad, puede ser un desafío”. En algún momento necesitas realmente buenos expertos “.

Sapp también recomendó adoptar un marco de política de seguridad. El Centro de Seguridad de Internet (CIS) Controles de seguridad críticos para la Defensa Cibernética Efectiva es una publicación de las mejores prácticas para la seguridad informática.

“El CIS 20 es mi favorito”, dijo Sapp. “En los últimos 10 a 15 años, el CIS ha recopilado datos sobre los controles que reducirían significativamente la probabilidad de una violación de datos, si se implementan. El CIS obtuvo 20 áreas en las que enfocarse y si usted es una pequeña empresa que adopta tres o cuatro de estas, tiene una oportunidad de luchar “.

Por último, Sapp recomienda usar un proceso de verificación en dos pasos, así como las bóvedas de contraseña para crear y / o almacenar contraseñas de manera que no todas las contraseñas sean las mismas.

Otra línea de defensa es Positive Pay de Zions Bank. Positive Pay es un servicio de verificación que ayuda a las empresas a identificar e informar pagos fraudulentos y no autorizados. Zions Bank tiene servicios de pago positivo tanto para cheques como para depósito directo de ACH.

“Positive Pay es un programa donde las personas envían información al banco”, dijo Cameron Cook, asesor de relaciones senior para pagos comerciales y tecnología en el Zions Bank en Idaho Falls. “El pago positivo se puede iniciar al final del cliente, donde nos envían los archivos y la información que codificamos con las transacciones, o les enviamos una lista de transacciones y ellos verifican las verificaciones de su parte”.

También puedes leer: El nuevo malware cryptojacking PowerGhost se dirige a las redes corporativas

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *