Las pequeñas empresas son el gran negocio de la ciberdelincuencia Una primicia de TrendLabs Las pequeñas empresas son el gran negocio de la ciberdelincuencia consideraciones sobre las amenazas Web y la ciberdelincuencia que todas las pequeñas empresas deberían tener en cuenta Para los ciberdelincuentes, ninguna empresa es demasiado pequeña para ser atacada. Si bien es cierto que son un foco de atención relativamente más pequeño que las empresas habituales, las pequeñas empresas no se pueden permitir ignorar la amenaza de la ciberdelincuencia. Abundan las leyendas sobre la seguridad de las pequeñas empresas, pero ha llegado el momento de afrontar la realidad. CONSIDERACIÓN Cualquier organización, del tamaño o tipo que sea, puede ser víctima de la ciberdelincuencia. La mayoría de las pequeñas empresas no creen que los ciberdelincuentes les pisan los talones. En una encuesta realizada por Visa Inc. y National Cyber Security Alliance a1 1.000 propietarios de pequeñas empresas, el 85 por ciento consideraba que "las empresas" son un objetivo mucho más definido que ellas. Más de la mitad (54 por ciento) confían en que están más preparadas que las grandes empresas para proteger los datos de la empresa y los clientes. Las pequeñas empresas seguramente piensan que no aparecen en el radar porque los ciberdelincuentes prefieren apuntar a empresas muy grandes o clientes. La realidad es bien distinta porque los ciberdelincuentes no distinguen entre empresas muy grandes, pequeñas empresas o clientes mientras el ataque resulte rentable y lucrativo. No hay objetivos prioritarios. Una entidad con un sistema de seguridad débil, sea una pequeña empresa o no, es el blanco perfecto de los ciberdelincuentes. 1 http://staysafeonline.mediaroom.com/index.php?s=43&item=72 1 Las pequeñas empresas son el gran negocio de la ciberdelincuencia CONSIDERACIÓN Las pequeñas empresas gestionan información que resulta de interés para los ciberdelincuentes. Las pequeñas empresas no se enfrentan a tantos riesgos de seguridad de contenidos como las grandes empresas... o al menos eso creen. El hecho es que un 7,4 por ciento de los propietarios de pequeñas empresas son víctimas de fraudes según un estudio realizado en mayo de 2010 por el Consejo de Better Business Bureaus2. Las pequeñas empresas detentan información sobre emplea­ dos y clientes, lo que las convierte en blancos principales de los ciberdelincuentes se mire por donde se mire. Los tipos de datos robados oscilan desde números de la seguridad social a credenciales de banca en línea (consulte la siguiente ilustración para ver una lista completa de informaciones y la distribución de porcentajes de información robada). Filtraciones de información personal en las empresas Dirección física 37% Número de la seguridad social 24% Comprobación del número de cuenta 23% Carné de conducir 22% PIN de la tarjeta de crédito 19% PIN para cajero automático de la tarjeta de crédito 18% Nombre de usuario y contraseña de banca por Internet 10% Información de la mutua sanitaria 7% Pasaporte 3% Historiales médicos 3% Tarjeta de identificación militar 1% 0% 10% 20% 30% 40% Fuente = todos los encuestados sobre fraude n = 393; año = 2009 Fuente: Javelin Strategy & Research 2h ttp://www.bbb.org/us/Storage/113/Documents/Cox_BBB_Presentation%20_11_ May_10.pdf 2 Las pequeñas empresas son el gran negocio de la ciberdelincuencia CONSIDERACIÓN Los ciberdelincuentes liberan 3,5 ame­ nazas nuevas dirigidas a pequeñas empresas cada segundo que pasa. El número de ataques en línea dirigidos específicamente a las pequeñas empresas aumentaron casi un 600 por ciento a principios de 2010. Los expertos de Trend Micro citan al menos dos factores como causantes de este alarmante aumento. El primero es que las grandes empresas invierten más en seguridad de Internet, lo que predispone a los ciberdelincuentes a cambiar de miras y fijarse en objetivos más pequeños pero más numerosos. El segundo es que las pequeñas empresas representan un enorme mercado para explotar. Solamente en Estados Unidos se registran más de 25 millones de pequeñas empresas. Al atractivo que presentan las pequeñas empresas para los ciberdelincuentes cabe sumar la falta de presupuesto que las caracteriza para contar con equipos de TI y mucho menos para un departamento dedicado a la seguridad. Se han dado casos en los que pequeñas empresas han perdido cientos de miles de dólares en manos de ciberdelincuentes cuya arma elegida han sido las redes robot. Las redes robot son software malicioso que se infiltra sigilosamente en los equipos de forma que los ciberdelincuentes pueden controlar remotamente, y en última instancia robar, información vital sin que los empleados ni los clientes se percaten. En enero de 2011, la Oficina Federal de Investigación (FBI)3 informó que una determinada empresa de EE.UU. perdió 150.00 $ estadounidenses por causa de transferencias de dinero no autorizadas generadas por mensajes de correo electrónico infectados por malware. El malware en cuestión pertenecía a la familia ZeuS/ZBOT de troyanos, famoso por fraudes dirigidos a pequeñas empresas. Los expertos de TrendLabs también han visto campañas de phishing y explotaciones de vulnerabilidades dirigidos específicamente contra pequeñas empresas. El fraude suele presentarse en forma de mensajes relacionados con impuestos que se apropian de nombres de organismos gubernamentales legítimos y que apelan al miedo por medio de reclamaciones de clientes o amenazas de acciones legales. Mientras, la explotación de las vulnerabilidades llega en forma de aplicaciones legítimas de uso frecuente. Las pequeñas empresas pueden reforzar la vigilancia frente a estos ataques si garantizan que cada empleado, sea o no sea técnico, esté al día de las últimas tendencias en ciberdelincuencia. Deberían estar informados sobre los últimos esquemas de fraude y se les debería exigir que siguieran recomendaciones como no abrir archivos adjuntos, no hacer clic en enlaces sospechosos ni responder a mensajes de correo electrónico no solicitados. También se recomienda a las pequeñas empresas aplicar políticas de seguridad internas y mejorar la seguridad de la red, así como los protocolos bancarios corporativos. Por último, es importante que estén siempre alerta para identificar actividades en línea sospechosas y preparar un plan de contingencia para situaciones de riesgo real. 3h ttp://ct.bbb.org/article/connecticut-bbb-issues-alert-about-cyber-criminalstargeting-small-businesses-with-malware-attacks-25028 3 Las pequeñas empresas son el gran negocio de la ciberdelincuencia CONSIDERACIÓN El cumplimiento de las normativas resul­ ta costoso pero su incumplimiento lo es mucho más y puede servir de puente de acceso a los ciberdelincuentes. No todas las pequeñas empresas son conscientes de los problemas que puede acarrear el incumplimiento de las normativas. Algunas creen incluso que las cumplen y que ya han implementado suficientes medidas de seguridad. Sin embargo, casi 1 millón de pequeñas empresas estadounidenses han acabado siendo víctimas de fraudes en la seguridad de sus datos, tal como reveló un estudio de enero de 20114 sobre seguridad de datos y estrategias de prevención contra el fraude realizado con pequeñas y medianas empresas (PYMES). El incumplimiento de las normativas puede provocar una pérdida de la productividad, interrumpir la actividad empresarial y generar elevados costes jurídicos. Los costes se estiman alrededor de 3,5 millones de dólares estadounidenses5 para organizaciones multinacionales. Se trata de un precio reducido en comparación con los costes muchísimo más elevados que el incumplimiento de las normativas supone. Las pequeñas empresas harían mal en pensar que no están obligadas a cumplir con las normativas de protección de datos. Al igual que las empresas de mayor envergadura, también operan con procesos, personas y tecnologías, aspectos que se exponen al mismo riesgo de ser víctimas de la ciberdelincuencia. 4 http://www.nacsonline.com/NACS/News/Daily/Pages/ND0113112.aspx 5h ttp://www.tripwire.com/ponemon-cost-of-compliance/pressKit/True_Cost_of_ Compliance_Report.pdf 4 Las pequeñas empresas son el gran negocio de la ciberdelincuencia CONSIDERACIÓN Las pequeñas empresas están dando el paso hacia Internet y empiezan a adop­ tar la seguridad por Internet, pero los ciberdelincuentes les pisan los talones. Las pequeñas empresas tienen que tener en mente estas cinco consideraciones conforme aumentan sus esfuerzos por mantener la seguridad de sus propios datos y los de sus clientes. La informática en Internet hace tiempo que ha dejado de ser algo que está de moda para ser una realidad. Actualmente, el mercado por Internet global de las PYMES se estima en 8.600 millones de dólares estadounidenses6 y se calcula que alcanzará los 100.000 millones de dólares7 en el año 2014. A ello cabe sumar que hasta un 74 por ciento de las PYMES tienen previsto aumentar su inversión en software basado en Internet en 2011, lo que representa una mejora notable respecto a finales del año 2010, puesto que la adopción de la informática por Internet entre las PYMES se estancó en un 14 por ciento. Adopción de la informática en Internet por parte de las PYMES 07.2010 14% 62% 32% utilizan Internet actualmente no utilizan Internet ni tienen previsto utilizarlo preocupadas por una tecnología no probada 49% 10% 38% utilizan sistemas de Internet privados o híbridos tienen previsto utilizar Internet de PYMES con entre 1 y 19 empleados utilizan Internet Fuente: Spiceworks Inc. A pesar de estos avances generales positivos, las pequeñas empresas siguen sin invertir lo necesario en seguridad de Internet. Un informe realizado por Forrester en 20108 argumenta que mientras un 84 por ciento de las PYMES consideraba la seguridad de los datos una prioridad elevada, solamente un tercio (el 36 por ciento) de los encuestados tenían previsto aumentar su inversión en seguridad de redes, y solo en un 5 por ciento. Las pequeñas empresas corren el riesgo de perder datos, ver su productividad mermada, reducir ventas e incluso que su reputación quede dañada y, sobre todo, perder miles de dólares, ante el número de amenazas que los ciberdelincuentes liberan de forma exponencial. 6h ttp://www.informationweek.com/news/smb/services/showArticle. jhtml?articleID=229219131 7h ttp://www.crn.com/news/cloud/226700149/smb-cloud-spending-to-approach100-billion-by-2014.htm?itc=refresh 8h ttp://www.eweek.com/c/a/Security/IT-Security-Spending-Expected-to-Increasefor-Enterprises-SMBs-532369/ 5 Las pequeñas empresas son el gran negocio de la ciberdelincuencia Lo que Trend Micro puede hacer para protegerle Ante el panorama actual de amenazas, ninguna organización está a salvo. Todas y cada una de ellas son un blanco importante para los ciberdelincuentes. Este es el motivo por el que Trend Micro no deja de luchar por proteger a los usuarios de sus productos de cualquier posible amenaza con la ayuda de Trend Micro™ Smart Protection Network™. Las pequeñas empresas harían muy bien en utilizar los siguientes productos para proteger sus datos y los de sus clientes: • Trend Micro™ Worry-Free™ Business Security Advanced protege equipos Windows y Mac, servidores de archivos y servidores de correo frente a virus, amenazas y sitios Web peligrosos. La edición más reciente mantiene la confidencialidad de la información empresarial mediante el bloqueo de las unidades USB y otros dispositivos de almacenamiento, además de impedir la pérdida de datos a través del correo electrónico. Asimismo, bloquea el spam antes de que se infiltre en la red y en los servidores Exchange. • Trend Micro™ Worry-Free™ Business Security Standard protege equipos Windows y servidores frente a virus, amenazas y sitios Web peligrosos. Igualmente ofrece exploraciones de seguridad que se ejecutan rápidamente y sin molestias en un segundo plano y mantiene la confidencialidad de la información empresarial mediante el bloqueo de las unidades USB y otros dispositivos de almacenamiento. • Trend Micro™ Worry-Free™ Business Security Services es una solución de seguridad basada en Internet que ofrece protección en cualquier momento y en cualquier lugar para sus datos empresariales. Protege equipos, servidores y otros dispositivos basados en Windows como máquinas de puntos de venta y tabletas. Además de ofrecer soluciones de seguridad líderes en el sector, también ponemos a su disposición información sobre las últimas amenazas y tendencias de amenazas para que los usuarios sepan lo que tienen que hacer para mantenerse protegidos en el mundo digital actual. Si desea más información sobre las amenazas referidas en este boletín, consulte nuestros materiales en los siguientes portales: • Threat Encyclopedia: nuestras entradas de malware, spam, URL maliciosas y ataques Web como “Another LinkedIn Spam Leads to ZeuS-Related Site” le brindarán más información sobre los canales que utilizan los ciberdelincuentes para infectar los sistemas de los usuarios y las redes corporativas. • TrendLabs Malware Blog: en nuestras entradas del blog, como “Malicious .RTF Files Exploit Microsoft Office Vulnerability” encontrará información y novedades sobre amenazas directamente de los expertos en la materia. ACERCA DE TRENDLABSSM ACERCA DE TREND MICRO™ TrendLabs es una red de centros de investigación, desarrollo y asistencia multinacional con una gran presencia regional cuyo objetivo es ofrecer vigilancia constante frente a amenazas, prevención de ataques y entrega oportuna de soluciones sin problemas. Con más de 1.000 expertos en amenazas e ingenieros de asistencia que ofrecen sus servicios las 24 horas del día en todo el plante, TrendLabs permite a Trend Micro: Trend Micro Incorporated es una empresa pionera en la gestión de contenidos seguros y amenazas. Fundada en 1988, Trend Micro ofrece software, hardware y servicios de seguridad galardonados tanto a usuarios individuales como a organizaciones de todos los tamaños. Con sede en Tokio y operaciones en más de 30 países, las soluciones de Trend Micro pueden adquirirse a través de distribuidores empresariales y de valor añadido así como de proveedores de servicios en todo el mundo. Para obtener más información y copias de evaluación de los productos y servicios de Trend Micro, visite nuestro sitio Web www.trendmicro.com. • Supervisar de forma permanente el panorama de las amenazas en todo el planeta • Entregar datos en tiempo real para detectar, prever y eliminar las amenazas • Investigar y analizar tecnologías que combatan las nuevas amenazas • Responder en tiempo real a las amenazas dirigidas • Ayudar a los clientes de todo el mundo a minimizar los daños, reducir los costes y garantizar la continuidad empresarial TREND MICRO Spain Pza. de las Cortes, 4 – 8 Izq. 28014 Madrid Tel.: +34 91 369 70 30 Fax: +34 91 369 70 31 www.trendmicro.com ©2011 por Trend Micro, Incorporated. Reservados todos los derechos. Trend Micro y el logotipo en forma de pelota de Trend Micro son marcas registradas o marcas comerciales de Trend Micro, Incorporated. El resto de los nombres de productos o empresas pueden ser marcas comerciales o registradas de sus respectivos propietarios.