Las pequeñas empresas son el gran negocio de la

Anuncio
Las pequeñas empresas
son el gran negocio de
la ciberdelincuencia
Una primicia de TrendLabs
Las pequeñas empresas son el gran negocio de la ciberdelincuencia
consideraciones sobre
las amenazas Web y la
ciberdelincuencia que todas
las pequeñas empresas
deberían tener en cuenta
Para los ciberdelincuentes, ninguna empresa es demasiado
pequeña para ser atacada. Si bien es cierto que son un foco
de atención relativamente más pequeño que las empresas
habituales, las pequeñas empresas no se pueden permitir
ignorar la amenaza de la ciberdelincuencia. Abundan las
leyendas sobre la seguridad de las pequeñas empresas, pero
ha llegado el momento de afrontar la realidad.
CONSIDERACIÓN
Cualquier organización, del tamaño
o tipo que sea, puede ser víctima de
la ciberdelincuencia.
La mayoría de las pequeñas empresas no creen que los
ciberdelincuentes les pisan los talones. En una encuesta
realizada por Visa Inc. y National Cyber Security Alliance a1
1.000 propietarios de pequeñas empresas, el 85 por ciento
consideraba que "las empresas" son un objetivo mucho más
definido que ellas. Más de la mitad (54 por ciento) confían
en que están más preparadas que las grandes empresas
para proteger los datos de la empresa y los clientes. Las
pequeñas empresas seguramente piensan que no aparecen
en el radar porque los ciberdelincuentes prefieren apuntar
a empresas muy grandes o clientes. La realidad es bien
distinta porque los ciberdelincuentes no distinguen entre
empresas muy grandes, pequeñas empresas o clientes
mientras el ataque resulte rentable y lucrativo. No hay
objetivos prioritarios. Una entidad con un sistema de
seguridad débil, sea una pequeña empresa o no, es el
blanco perfecto de los ciberdelincuentes.
1 http://staysafeonline.mediaroom.com/index.php?s=43&item=72
1
Las pequeñas empresas son el gran negocio de la ciberdelincuencia
CONSIDERACIÓN
Las pequeñas empresas gestionan
información que resulta de interés para
los ciberdelincuentes.
Las pequeñas empresas no se enfrentan a tantos riesgos de
seguridad de contenidos como las grandes empresas... o al
menos eso creen. El hecho es que un 7,4 por ciento de los
propietarios de pequeñas empresas son víctimas de fraudes
según un estudio realizado en mayo de 2010 por el Consejo
de Better Business Bureaus2.
Las pequeñas empresas detentan información sobre emplea­
dos y clientes, lo que las convierte en blancos principales de
los ciberdelincuentes se mire por donde se mire. Los tipos
de datos robados oscilan desde números de la seguridad
social a credenciales de banca en línea (consulte la siguiente
ilustración para ver una lista completa de informaciones y la
distribución de porcentajes de información robada).
Filtraciones de información personal en las empresas
Dirección física
37%
Número de la seguridad social
24%
Comprobación del número de cuenta
23%
Carné de conducir
22%
PIN de la tarjeta de crédito
19%
PIN para cajero automático de la tarjeta de crédito
18%
Nombre de usuario y contraseña de banca por Internet
10%
Información de la mutua sanitaria
7%
Pasaporte
3%
Historiales médicos
3%
Tarjeta de identificación militar
1%
0%
10%
20%
30%
40%
Fuente = todos los encuestados sobre fraude
n = 393; año = 2009
Fuente: Javelin Strategy & Research
2h
ttp://www.bbb.org/us/Storage/113/Documents/Cox_BBB_Presentation%20_11_
May_10.pdf
2
Las pequeñas empresas son el gran negocio de la ciberdelincuencia
CONSIDERACIÓN
Los ciberdelincuentes liberan 3,5 ame­
nazas nuevas dirigidas a pequeñas
empresas cada segundo que pasa.
El número de ataques en línea dirigidos específicamente a
las pequeñas empresas aumentaron casi un 600 por ciento a
principios de 2010. Los expertos de Trend Micro citan al menos
dos factores como causantes de este alarmante aumento.
El primero es que las grandes empresas invierten más en
seguridad de Internet, lo que predispone a los ciberdelincuentes
a cambiar de miras y fijarse en objetivos más pequeños pero
más numerosos. El segundo es que las pequeñas empresas
representan un enorme mercado para explotar. Solamente en
Estados Unidos se registran más de 25 millones de pequeñas
empresas. Al atractivo que presentan las pequeñas empresas
para los ciberdelincuentes cabe sumar la falta de presupuesto
que las caracteriza para contar con equipos de TI y mucho
menos para un departamento dedicado a la seguridad.
Se han dado casos en los que pequeñas empresas han perdido
cientos de miles de dólares en manos de ciberdelincuentes
cuya arma elegida han sido las redes robot. Las redes robot
son software malicioso que se infiltra sigilosamente en los
equipos de forma que los ciberdelincuentes pueden controlar
remotamente, y en última instancia robar, información vital
sin que los empleados ni los clientes se percaten. En enero
de 2011, la Oficina Federal de Investigación (FBI)3 informó
que una determinada empresa de EE.UU. perdió 150.00 $
estadounidenses por causa de transferencias de dinero no
autorizadas generadas por mensajes de correo electrónico
infectados por malware. El malware en cuestión pertenecía a
la familia ZeuS/ZBOT de troyanos, famoso por fraudes dirigidos
a pequeñas empresas.
Los expertos de TrendLabs también han visto campañas
de phishing y explotaciones de vulnerabilidades dirigidos
específicamente contra pequeñas empresas. El fraude suele
presentarse en forma de mensajes relacionados con impuestos
que se apropian de nombres de organismos gubernamentales
legítimos y que apelan al miedo por medio de reclamaciones de
clientes o amenazas de acciones legales. Mientras, la explotación
de las vulnerabilidades llega en forma de aplicaciones legítimas
de uso frecuente.
Las pequeñas empresas pueden reforzar la vigilancia frente
a estos ataques si garantizan que cada empleado, sea o
no sea técnico, esté al día de las últimas tendencias en
ciberdelincuencia. Deberían estar informados sobre los últimos
esquemas de fraude y se les debería exigir que siguieran
recomendaciones como no abrir archivos adjuntos, no hacer
clic en enlaces sospechosos ni responder a mensajes de
correo electrónico no solicitados. También se recomienda a las
pequeñas empresas aplicar políticas de seguridad internas y
mejorar la seguridad de la red, así como los protocolos bancarios
corporativos. Por último, es importante que estén siempre alerta
para identificar actividades en línea sospechosas y preparar un
plan de contingencia para situaciones de riesgo real.
3h
ttp://ct.bbb.org/article/connecticut-bbb-issues-alert-about-cyber-criminalstargeting-small-businesses-with-malware-attacks-25028
3
Las pequeñas empresas son el gran negocio de la ciberdelincuencia
CONSIDERACIÓN
El cumplimiento de las normativas resul­
ta costoso pero su incumplimiento lo es
mucho más y puede servir de puente de
acceso a los ciberdelincuentes.
No todas las pequeñas empresas son conscientes de los
problemas que puede acarrear el incumplimiento de las
normativas. Algunas creen incluso que las cumplen y que
ya han implementado suficientes medidas de seguridad. Sin
embargo, casi 1 millón de pequeñas empresas estadounidenses
han acabado siendo víctimas de fraudes en la seguridad de
sus datos, tal como reveló un estudio de enero de 20114 sobre
seguridad de datos y estrategias de prevención contra el fraude
realizado con pequeñas y medianas empresas (PYMES).
El incumplimiento de las normativas puede provocar una
pérdida de la productividad, interrumpir la actividad empresarial
y generar elevados costes jurídicos. Los costes se estiman
alrededor de 3,5 millones de dólares estadounidenses5 para
organizaciones multinacionales. Se trata de un precio reducido
en comparación con los costes muchísimo más elevados que
el incumplimiento de las normativas supone. Las pequeñas
empresas harían mal en pensar que no están obligadas a
cumplir con las normativas de protección de datos. Al igual
que las empresas de mayor envergadura, también operan con
procesos, personas y tecnologías, aspectos que se exponen al
mismo riesgo de ser víctimas de la ciberdelincuencia.
4 http://www.nacsonline.com/NACS/News/Daily/Pages/ND0113112.aspx
5h
ttp://www.tripwire.com/ponemon-cost-of-compliance/pressKit/True_Cost_of_
Compliance_Report.pdf
4
Las pequeñas empresas son el gran negocio de la ciberdelincuencia
CONSIDERACIÓN
Las pequeñas empresas están dando el
paso hacia Internet y empiezan a adop­
tar la seguridad por Internet, pero los
ciberdelincuentes les pisan los talones.
Las pequeñas
empresas tienen
que tener en
mente estas cinco
consideraciones
conforme aumentan
sus esfuerzos
por mantener la
seguridad de sus
propios datos y los
de sus clientes.
La informática en Internet hace tiempo que ha dejado de ser
algo que está de moda para ser una realidad. Actualmente,
el mercado por Internet global de las PYMES se estima en
8.600 millones de dólares estadounidenses6 y se calcula que
alcanzará los 100.000 millones de dólares7 en el año 2014.
A ello cabe sumar que hasta un 74 por ciento de las PYMES
tienen previsto aumentar su inversión en software basado
en Internet en 2011, lo que representa una mejora notable
respecto a finales del año 2010, puesto que la adopción de
la informática por Internet entre las PYMES se estancó en un
14 por ciento.
Adopción de la informática en Internet
por parte de las PYMES
07.2010
14%
62%
32%
utilizan Internet
actualmente
no utilizan Internet ni
tienen previsto utilizarlo
preocupadas por una
tecnología no probada
49%
10%
38%
utilizan sistemas
de Internet privados
o híbridos
tienen previsto utilizar
Internet
de PYMES con entre
1 y 19 empleados
utilizan Internet
Fuente: Spiceworks Inc.
A pesar de estos avances generales positivos, las pequeñas
empresas siguen sin invertir lo necesario en seguridad
de Internet. Un informe realizado por Forrester en 20108
argumenta que mientras un 84 por ciento de las PYMES
consideraba la seguridad de los datos una prioridad elevada,
solamente un tercio (el 36 por ciento) de los encuestados
tenían previsto aumentar su inversión en seguridad de redes,
y solo en un 5 por ciento.
Las pequeñas empresas corren el riesgo de perder datos,
ver su productividad mermada, reducir ventas e incluso
que su reputación quede dañada y, sobre todo, perder
miles de dólares, ante el número de amenazas que los
ciberdelincuentes liberan de forma exponencial.
6h
ttp://www.informationweek.com/news/smb/services/showArticle.
jhtml?articleID=229219131
7h
ttp://www.crn.com/news/cloud/226700149/smb-cloud-spending-to-approach100-billion-by-2014.htm?itc=refresh
8h
ttp://www.eweek.com/c/a/Security/IT-Security-Spending-Expected-to-Increasefor-Enterprises-SMBs-532369/
5
Las pequeñas empresas son el gran negocio de la ciberdelincuencia
Lo que Trend Micro puede hacer para protegerle
Ante el panorama actual de amenazas, ninguna organización está a salvo. Todas y cada una
de ellas son un blanco importante para los ciberdelincuentes. Este es el motivo por el que
Trend Micro no deja de luchar por proteger a los usuarios de sus productos de cualquier
posible amenaza con la ayuda de Trend Micro™ Smart Protection Network™.
Las pequeñas empresas harían muy bien en utilizar los
siguientes productos para proteger sus datos y los de
sus clientes:
• Trend Micro™ Worry-Free™ Business Security
Advanced protege equipos Windows y Mac,
servidores de archivos y servidores de correo frente
a virus, amenazas y sitios Web peligrosos. La
edición más reciente mantiene la confidencialidad
de la información empresarial mediante el bloqueo
de las unidades USB y otros dispositivos de
almacenamiento, además de impedir la pérdida de
datos a través del correo electrónico. Asimismo,
bloquea el spam antes de que se infiltre en la red
y en los servidores Exchange.
• Trend Micro™ Worry-Free™ Business Security
Standard protege equipos Windows y servidores
frente a virus, amenazas y sitios Web peligrosos.
Igualmente ofrece exploraciones de seguridad que
se ejecutan rápidamente y sin molestias en un
segundo plano y mantiene la confidencialidad de
la información empresarial mediante el bloqueo
de las unidades USB y otros dispositivos de
almacenamiento.
• Trend Micro™ Worry-Free™ Business Security
Services es una solución de seguridad basada
en Internet que ofrece protección en cualquier
momento y en cualquier lugar para sus datos
empresariales. Protege equipos, servidores y otros
dispositivos basados en Windows como máquinas
de puntos de venta y tabletas.
Además de ofrecer soluciones de seguridad
líderes en el sector, también ponemos a su
disposición información sobre las últimas
amenazas y tendencias de amenazas
para que los usuarios sepan lo que tienen
que hacer para mantenerse protegidos
en el mundo digital actual. Si desea más
información sobre las amenazas referidas
en este boletín, consulte nuestros materiales
en los siguientes portales:
• Threat Encyclopedia: nuestras
entradas de malware, spam, URL
maliciosas y ataques Web como “Another
LinkedIn Spam Leads to ZeuS-Related
Site” le brindarán más información
sobre los canales que utilizan los
ciberdelincuentes para infectar los
sistemas de los usuarios y las redes
corporativas.
• TrendLabs Malware Blog: en nuestras
entradas del blog, como “Malicious
.RTF Files Exploit Microsoft Office
Vulnerability” encontrará información y
novedades sobre amenazas directamente
de los expertos en la materia.
ACERCA DE TRENDLABSSM
ACERCA DE TREND MICRO™
TrendLabs es una red de centros de investigación,
desarrollo y asistencia multinacional con una gran
presencia regional cuyo objetivo es ofrecer vigilancia
constante frente a amenazas, prevención de ataques y
entrega oportuna de soluciones sin problemas. Con más
de 1.000 expertos en amenazas e ingenieros de asistencia
que ofrecen sus servicios las 24 horas del día en todo el
plante, TrendLabs permite a Trend Micro:
Trend Micro Incorporated es una empresa pionera en la
gestión de contenidos seguros y amenazas. Fundada en
1988, Trend Micro ofrece software, hardware y servicios
de seguridad galardonados tanto a usuarios individuales
como a organizaciones de todos los tamaños. Con sede en
Tokio y operaciones en más de 30 países, las soluciones de
Trend Micro pueden adquirirse a través de distribuidores
empresariales y de valor añadido así como de proveedores
de servicios en todo el mundo. Para obtener más información
y copias de evaluación de los productos y servicios de
Trend Micro, visite nuestro sitio Web www.trendmicro.com.
•
Supervisar de forma permanente el panorama de las
amenazas en todo el planeta
•
Entregar datos en tiempo real para detectar, prever
y eliminar las amenazas
•
Investigar y analizar tecnologías que combatan las
nuevas amenazas
•
Responder en tiempo real a las amenazas dirigidas
•
Ayudar a los clientes de todo el mundo a minimizar
los daños, reducir los costes y garantizar la
continuidad empresarial
TREND MICRO Spain
Pza. de las Cortes, 4 – 8 Izq.
28014 Madrid
Tel.: +34 91 369 70 30
Fax: +34 91 369 70 31
www.trendmicro.com
©2011 por Trend Micro, Incorporated. Reservados todos los derechos. Trend Micro y el logotipo en forma de
pelota de Trend Micro son marcas registradas o marcas comerciales de Trend Micro, Incorporated. El resto de los
nombres de productos o empresas pueden ser marcas comerciales o registradas de sus respectivos propietarios.
Descargar