10 amenazas que las empresas deben integrar en Sistemas Compliance según el decálogo elaborado por Bonatti Compliance

2020 ha sido un año para olvidar en muchos sentidos, sobre todo a nivel sanitario y de seguridad informática. Dos conceptos que, a priori, no tienen mucha relación entre sí, su unión ha causado estragos. La abrupta aparición del COVID-19 ha provocado un aumento de los ciberataques sin precedentes, obligando a tomar medidas a nivel empresarial, e incluso de organismos gubernamentales. Los riesgos a los que enfrentarse son cada vez mayores, aunque no todos aquellos que los sufren sabes cómo reconocerlos. Para que empresas/usuarios no estén siempre en la inopia, la empresa Bonatti Compliance ha elaborado un decálogo de obligada visualización. En el decálogo se muestran cinco amenazas y cinco debilidades que deben ser combatidas/protegidas a través de Sistemas Compliance. Esta herramienta ha puesto de manifiesto que es la más adecuada para formar y concienciar al personal sobre amenazas graves. 10 amenazas que las empresas deben integrar en Sistemas Compliance.

10 amenazas que las empresas deben integrar en Sistemas Compliance

Cinco amenazas que deben combatirse desde Sistemas de Compliance

1. Ransomware: el secuestro de información mediante malware que encripta el contenido de unidades, discos duros y servidores se ha convertido en uno de los riesgos estrella. La mejora de algoritmos de encriptación y el recurso a los criptoactivos como medio de pago que evita el rastreo son alicientes para los cibercriminales.
2. Estafas del CEO: la suplantación de la identidad de los directivos para engañar a los empleados con claves y códigos para realizar transferencias bancarias se ha incrementado con la pandemia.
3. Ataques a servidores y bases de datos: los delincuentes explotan brechas de seguridad para acceder a los servidores y sustraer los datos que contienen. Los datos son el petróleo del siglo XXI y es uno de los grandes tesoros que poseen las empresas.
4. Ataques Botnet: los equipos y servidores de empresa son convertidos en zombies a través de Botnets. Son gestionados por los cibercriminales para evitar ser rastreados o eludir las listas de SPAM. También para realizar transferencias económicas ilícitas, envíos masivos de correos o ataques DDoS.
5. Sustracción de las credenciales: el acceso a las credenciales y contraseñas de los empleados y directivos facilita a los cibercriminales un amplio abanico de delitos a costa de la empresa. dDsde el acceso a los fondos depositados en las cuentas bancarias hasta el robo de secretos de empresa, el acceso a la intimidad de los empleados y directivos, a las cámaras de seguridad o la sustracción de bases de datos.

Cinco debilidades que debemos proteger a través del Compliance

1. Ingeniería social: La ingeniería social es una actividad delictiva muy depurada e imprescindible para ejecutar la estafa del CEO; se debe combatir desde Compliance con sólidas acciones de formación y concienciación del personal, ayudándoles a que nunca «bajen la guardia».
2. Debilidades internas: los delincuentes aprovechan en muchas ocasiones las propias debilidades, derivadas de usos inadecuados de los equipos por los empleados, que acaban infectados por error, negligencia o ignorancia; o bien, por comportamientos maliciosos de empleados desleales o insatisfechos. El análisis de riesgos e implantación de protocolos y procedimientos de usos tecnológicos debe reforzarse para asegurar su eficaz aplicación por todos los empleados.
3. Uso de equipos personales y teletrabajo desde el hogar: una de las debilidades estrella de la pandemia procede del uso de equipos personales compartidos con el resto de la familia, que pueden desvirtuar todas las medidas de protección empresarial si los padres, hijos o pareja hacen un uso inadecuado del mismo equipo. El propio espacio familiar, como entorno de trabajo, puede ofrecer mucha información a ciberdelincuentes para diseñar ataques de ingeniería social. Lo mismo ocurre con la información que pueden obtener de las redes sociales; una vez han identificado el hogar del empleado o directivo y al resto de su familia.
4. Phishing: Las técnicas se han sofisticado, aprovechando fenómenos coyunturales como el incremento del uso de los correos electrónicos durante la pandemia o saltándose los mecanismos de protección a través de nuevos canales de phishing como son el SMS (smishing) o el uso de PDF infectados que, inconscientemente, relacionamos con una actividad empresarial.
5. Deepfakes: Se trata de técnicas de edición de vídeo que sustituyen a una persona por otra mediante la inteligencia artificial alcanzando resultados altamente realistas, que ofrecen a los cibercriminales nuevos recursos para sofisticar sus procesos de hackeo social o quebrantar contraseñas biométricas.