Inicio / Protege tu empresa / Blog / La jerga de la seguridad: ¿de qué hablamos cuando decimos…?

La jerga de la seguridad: ¿de qué hablamos cuando decimos…?

Publicado el 18/01/2016, por INCIBE
La jerga de la seguridad: ¿de qué hablamos cuando decimos…?

En todo barco que quiera llegar a buen puerto, la tripulación tiene que conocer la jerga náutica. Lo mismo ocurre con la ciberseguridad en la pyme. Mejor saber de qué hablamos, para entendernos entre nosotros y con los técnicos o con los proveedores de servicios.

El capitán y la tripulación tienen que llevar el barco a su destino. Hay que proteger la carga y a los pasajeros de todo tipo de adversidades, ya sean tempestades, galernas o piratas. Antes de zarpar revisaremos velas, máquinas,… ¡todo a punto! Nuestro barco será confiable para las personas y las mercancías.

Llamemos a las cosas por su nombre. Algunos cantos de sirena nos dirán lo contrario, pero sí, es cierto, las pymes están en el punto de mira de los ciberdelincuentes. Pero, ¿qué ven en las pymes?:

  • son «capturas» más fáciles que las grandes empresas, están menos protegidas
  • tienen más «suculentos» activos que los hogares: más equipos, más datos de usuarios,…

También hay piratas en el ciberespacio, con y sin pata de palo. Utilizan distintos tipos de ataques contra las pymes. En casi todos los casos persiguen robar datos que se pueden explotar, por ejemplo: tarjetas de crédito o credenciales personales (usuario y contraseña) con las que suplantar la identidad de tus empleados o tus clientes. La finalidad puede variar desde pescar toda la información posible para luego venderla en el mercado negro hasta la extorsión o la venganza en el caso de exempleados descontentos. Las tácticas evolucionan continuamente pero por lo menos tendremos que estar avisados de las que conocemos. Seguro que algunas de estas te suenan.

  • Infección con malware, es decir cualquier software malicioso que se instala en el ordenador con intención de causar daños o conseguir acceder a otros recursos. Algunos son: virus, troyanos, gusanos, spyware, adware y ransomware. Para hacernos llegar el malware, el ciberdelincuente utiliza técnicas de ingeniería social, es decir nos engañan para que lo descarguemos como si fuera algo bonito o interesante que nos envía por correo electrónico o a través de páginas web o pueden venir «de regalo» con algún pendrive que no esté inspeccionado.
  • Ataques de contraseña que son los ataques que persiguen conseguir las contraseñas con las que acceder a tus servicios internos, tus bases de datos, etc. Estos ataques se realizan principalmente por fuerza bruta (probando todos los posibles casos) o por diccionario (utilizando todas las combinaciones de palabras de diccionario). También el ciberdelincuente puede utilizar un keylogger, un programa malicioso que registra lo que tecleas.
  • Una técnica muy utilizada hoy en día es el phishing, algo así como ir a pescar. El ciberdelincuente crea un sitio web que parece legítimo (un banco, una tienda,…) y envían el enlace por email, SMS, etc. para que «piques» y hagas login, capturando así tus credenciales. Si el phishing se dirige a «peces gordos», los jefes, los de arriba, se llama whaling.
  • Para lo que no hace falta ningún software es para un ataque interno. Es el que se realiza desde dentro, es decir por alguien -digamos un marinero amotinado-, que tiene permisos de administrador de sistemas o acceso a información confidencial. Pueden ser exempleados descontentos a los que aún no se ha eliminado las cuentas que tenían. Otras veces son atacantes que suplantan a personal o colaboradores que deberían tener acceso, por ejemplo el técnico que remotamente accede a tu sistema para repararlo.
  • Si nuestra red o nuestra página web no están accesibles puede que estemos sufriendo una denegación de servicio distribuida o DDoS. Este ataque ocurre cuando el atacante lanza muchas peticiones, desde muchos sitios a la vez, a nuestros servicios y estos se bloquean. En este caso real se muestra un ejemplo.

Estas y otras técnicas de ataque están en el maletín de herramientas del ciberdelincuente para llegar a nuestros sistemas o interceptar nuestras comunicaciones sacando provecho de las vulnerabilidades que estos tengan y de nuestra negligencia e ignorancia. Nuestra tripulación y nuestra carga podrían estar en peligro.

Toda precaución es poca. ¿Qué pueden hacer las pymes para defenderse y estar preparadas?

  • concienciar a los empleados (por ejemplo con este kit de concienciación)
  • actualizar el software para evitar que tenga vulnerabilidades
  • poner en marcha políticas de seguridad y políticas de contraseñas
  • supervisar el comportamiento de los usuarios
  • planificar la recuperación
  • practicar el plan de respuesta ante incidentes

Conociendo las debilidades de nuestro barco y nuestra tripulación, nuestras vulnerabilidades, y cómo pueden atacarnos, es decir, la ingeniería social, la fuga de datos, el ransomware o el phishing sabremos mejor cómo protegernos. Y si además aplicamos algunas medidas como concienciación, cifrado, auditorías, actualizaciones o planes de continuidad, podremos zarpar seguros. ¡Viento en popa y a toda vela!

10 términos de  CIBERSEGURIDAD  que debes conocer para que  tu empresa llegue a buen puerto.  1 Vulnerabilidad:  Fallos de seguridad detectados en  programas y sistemas que aprovechan  los ciberdelincuentes para realizar  ataques. 2  Ingeniería Social:  Tácticas de persuasión que aprovechan  la buena voluntad o la falta de  precaución de los usuarios para  obtener mediante engaños información  confidencial, contraseñas o tarjetas de  crédito. 3  Fuga de datos:  La liberación deliberada o involuntaria  información  confidencial o  sensible, por ejemplo listados de  cuentas de usuarios, a un medio o  personas que no deberían conocerla.  4 Ransomware:  Es un tipo de malware que impide  —secuestra— el acceso a archivos del  sistema infectado  en ocasiones  cifrándolos, y coacciona al usuario a  pagar un rescate a cambio de su  liberación. 5  Phishing:  Estafa a través de una página web, e-mail,  fax, SMS o telefónicamente en la que se  suplanta a una persona o empresa de  confianza para obtener datos privados del  usuario, como claves de acceso o tarjetas  de crédito.  6 Concienciación:  Informar y formar al empleado para que  adopte hábitos «saludables» en el uso  de la tecnología y así evitar que por  error, descuido o desconocimiento sea  «utilizado» para atacar a la empresa.  7:  Plan de  continuidad:  Es un plan de actuación en caso de que  ocurra un incidente grave o un desastre,  para mantener en funcionamiento unos  servicios mínimos del negocio y  permitir su recuperación en el menor  tiempo y coste. 8 Auditoría:  Análisis exhaustivo de sistemas y  aplicaciones para identificar y localizar  vulnerabilidades, fallos software o  errores de configuración que pudieran  ser aprovechadas por ciberdellncuentes. 9  Actualización  de seguridad:  Aplicación de parches que corrigen  vulnerabilidades de los sistemas y  aplicaciones. Se puede automatizar. 10  Cifrado:  Proceso para garantizar la confidencialidad  e integridad de la información. Se codifica  la información con una función matemática  que utiliza una clave. Para descifrarla es  necesario conocer una clave.