La ciberseguridad se refiere a cualquier tecnología, medida o práctica para prevenir ciberataques o mitigar su impacto. La ciberseguridad tiene como objetivo proteger los sistemas, las aplicaciones, los dispositivos informáticos, los datos confidenciales y los activos financieros de personas y organizaciones contra virus informáticos simples y molestos, ataques de ransomware sofisticados y costosos, y todo lo demás.
Los ataques cibernéticos tienen el poder de interrumpir, dañar o destruir las empresas y el costo para las víctimas sigue aumentando. Por ejemplo, según el informe Costo de una filtración de datos 2023 de IBM,
- El costo promedio de una filtración de datos en 2023 fue de 4.45 millones de dólares, un 15 por ciento más que en los últimos años;
- El costo promedio de una filtración de datos relacionada con ransomware en 2023 fue aún mayor, de 5.13 millones de dólares. Esto no incluye el costo del pago del rescate, que promedió en otros 1,542,333 dólares, un 89 por ciento más que el año anterior.
Según una estimación, la ciberdelincuencia le costará a la economía mundial USD 10.5 billones al año para 2025.1
Las tendencias de las tecnologías de la información (TI) de los últimos años (aumento de la adopción de la computación en nube, la complejidad de las redes, el trabajo remoto y desde casa, los programas "bring your own device" (BYOD) y los dispositivos y sensores conectados en todo tipo de dispositivos, desde timbres hasta coches y cadenas de montaje) han dado lugar a enormes ventajas empresariales y al progreso humano, pero también han creado exponencialmente más formas de ataque para los delincuentes cibernéticos.
Tal vez no sea sorprendente que un estudio reciente haya encontrado que la brecha global de trabajadores de ciberseguridad (la brecha entre los trabajadores de ciberseguridad actuales y los empleos de ciberseguridad que deben cubrirse) es de 3.4 millones de trabajadores en todo el mundo.2 Los equipos de seguridad con pocos recursos se están centrando en el desarrollo de estrategias integrales de ciberseguridad que aprovechen los analytics avanzados, la inteligencia artificial y la automatización para combatir las ciberamenazas de manera más eficaz y minimizar el impacto de los ciberataques cuando se producen.
Lea las últimas tendencias de detección y respuesta ante amenazas cibernéticas compiladas de 1,000 integrantes del equipo del centro de operaciones de seguridad (SOC) en todo el mundo.
Suscríbase al boletín de IBM
Una estrategia de ciberseguridad sólida protege todas las capas o dominios relevantes de la infraestructura de TI contra las ciberamenazas y la ciberdelincuencia.
La seguridad de la infraestructura crítica protege los sistemas informáticos, las aplicaciones, las redes, los datos y los recursos digitales de los que depende una sociedad para la seguridad nacional, la integridad económica y la seguridad pública. En Estados Unidos, el Instituto Nacional de Normas y Tecnología (NIST) ha elaborado un marco de ciberseguridad para ayudar a los proveedores de TI en este ámbito, y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) del Departamento de Seguridad Nacional ofrece orientaciones adicionales.
La seguridad de la red evita el acceso no autorizado a los recursos de red, y detecta y detiene los ciberataques y las violaciones de seguridad de la red en curso, al mismo tiempo que garantiza que los usuarios autorizados tengan acceso seguro a los recursos de red que necesitan, cuando los necesitan.
Los endpoints (servidores, computadoras de escritorio, computadores portátiles, dispositivos móviles) siguen siendo el principal punto de entrada de los ciberataques. La seguridad de endpoints protege estos dispositivos y a sus usuarios contra ataques, y también protege la red contra los adversarios que aprovechan los endpoints para lanzar ataques.
La seguridad de las aplicaciones protege las aplicaciones que se ejecutan on premises y en la nube, evitando el acceso y el uso no autorizados de aplicaciones y datos relacionados, y evitando fallas o vulnerabilidades en el diseño de aplicaciones que los hackers pueden utilizar para infiltrar la red. Métodos modernos de desarrollo de aplicaciones, p. ej. DevOps y DevSecOpsincorporan seguridad y pruebas de seguridad en el proceso de desarrollo.
La seguridad en la nube protege los servicios y activos basados en la nube de una organización y las aplicaciones, los datos, el almacenamiento, las herramientas de desarrollo, los servidores virtuales y la infraestructura en la nube. En términos generales, la seguridad en la nube opera según el modelo de responsabilidad compartida: el proveedor de la nube es responsable de proteger los servicios que ofrece y la infraestructura utilizada para prestarlos, mientras que el cliente es responsable de proteger sus datos, su código y otros activos que almacena o ejecuta en la nube. Los detalles varían en función de los servicios en la nube utilizados.
La seguridad de la información (InfoSec) se refiere a la protección de toda la información importante de una organización: archivos y datos digitales, documentos en papel, medios físicos, incluso el habla humana, contra el acceso, la divulgación, el uso o la alteración no autorizados. La seguridad de los datos, la protección de la información digital, es un subconjunto de seguridad de la información y el enfoque de la mayoría de las medidas de InfoSec relacionadas con la seguridad cibernética.
La seguridad móvil abarca una serie de disciplinas y tecnologías específicas para teléfonos inteligentes y dispositivos móviles, incluida la gestión de aplicaciones móviles (MAM) y la gestión de la movilidad empresarial (EMM). Más recientemente, la seguridad móvil está disponible como parte de las soluciones de gestión unificada de endpoints (UEM, por sus siglas en inglés) que permiten la configuración y la administración de seguridad para todos los endpoints (no solo dispositivos móviles, sino también computadoras de escritorio, computadoras portátiles y más) desde una única consola.
El malware, abreviatura de "software malicioso" en inglés, es cualquier código de software o programa de computadora de escrito intencionalmente para dañar un sistema de computación o a sus usuarios. Casi todos los ciberataques modernos implican algún tipo de malware.
Los hackers y los delincuentes cibernéticos crean y utilizan malware para obtener acceso no autorizado a sistemas informáticos y datos confidenciales, secuestrar sistemas informáticos y operarlos de forma remota, interrumpir o dañar los sistemas informáticos, o retener datos o sistemas como rehenes por grandes sumas de dinero (ver Ransomware, más abajo).
El ransomware es un tipo de malware que cifra los datos o dispositivos de una víctima y amenaza con mantenerlos cifrados, a menos que la víctima pague un rescate al atacante. Según el IBM Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17 por ciento de todos los ciberataques en 2022.
"O peor" es lo que distingue al ransomware actual de sus predecesores. Mientras que los primeros ataques de ransomware exigían un único rescate a cambio de la clave de cifrado, hoy en día la mayoría de los ataques de ransomware son ataques de doble extorsión, que exigen un segundo rescate para impedir que se compartan o publiquen los datos de las víctimas; algunos son ataques de triple extorsión que amenazan con lanzar un ataque de denegación distribuida del servicio (véase más abajo) si no se pagan los rescates.
Los ataques de phishing son mensajes de correo electrónico, texto o voz que engañan a los usuarios para que descarguen malware, compartan información confidencial o envíen fondos a las personas equivocadas. La mayoría de los usuarios están familiarizados con las estafas de phishing masivas: mensajes fraudulentos enviados masivamente que parecen ser de una marca grande y confiable, pidiendo a los destinatarios que restablezcan sus contraseñas o vuelvan a ingresar la información de su tarjeta de crédito. Pero las estafas de phishing más sofisticadas, como el phishing selectivo y el compromiso del correo electrónico de una empresa (BEC, por sus siglas en inglés), se dirigen a personas o grupos específicos para robar datos especialmente valiosos o grandes sumas de dinero.
El phishing es solo un tipo de ingeniería social, una clase de tácticas y ataques de “hackeo humano” que utilizan la manipulación psicológica para tentar o presionar a las personas para que tomen acciones imprudentes.
Las amenazas internas son amenazas que se originan de usuarios autorizados (empleados, contratistas, socios de negocio) que intencional o accidentalmente hacen mal uso del acceso legítimo, o cuyas cuentas son secuestradas por delincuentes cibernéticos. Las amenazas internas pueden ser más difíciles de detectar que las amenazas externas porque tienen las marcas de actividad autorizada y porque son invisibles para el software antivirus, los cortafuegos y otras soluciones de seguridad destinadas a bloquear ataques externos.
Uno de los mitos de ciberseguridad más persistentes es que todos los delitos cibernéticos provienen de amenazas externas. De hecho, según un estudio reciente, el 44 % de las amenazas internas son causadas por actores maliciosos, y el costo promedio por incidente de usuario interno en 2022 fue de 648,062 dólares.3 Otro estudio concluyó que, aunque la amenaza externa promedio pone en riesgo alrededor de 200 millones de registros, los incidentes que involucran a un actor de amenazas interno han resultado en la exposición de mil millones de registros o más.4
Un ataque DDoS intenta bloquear un servidor, sitio web o red sobrecargándolos con tráfico, generalmente desde una botnet, una red de múltiples sistemas distribuidos que un delincuente cibernético secuestra mediante malware y opera a través del control remoto.
El volumen global de ataques DDoS se disparó durante la pandemia de COVID-19. Cada vez más, los atacantes combinan ataques DDoS con ataques de ransomware o simplemente amenazan con lanzar ataques DDoS a menos que el objetivo pague un rescate.
A pesar de un volumen cada vez mayor de incidentes de ciberseguridad en todo el mundo, y volúmenes cada vez mayores de lecciones aprendidas de ellos, persisten algunos conceptos erróneos muy peligrosos.
Las contraseñas seguras por sí solas son una protección adecuada. Las contraseñas seguras marcan la diferencia. Por ejemplo, en igualdad de condiciones, una contraseña de 12 caracteres tarda 62 billones de veces más en descifrarse que una contraseña de 6 caracteres. Pero, como los delincuentes cibernéticos pueden robar contraseñas (o pagar a empleados descontentos u otros usuarios internos para que las roben), no pueden ser la única medida de seguridad de una organización o una persona.
Los principales riesgos de ciberseguridad son bien conocidos. De hecho, la superficie de riesgo está en constante expansión. Cada año se informan miles de nuevas vulnerabilidades en aplicaciones y dispositivos nuevos y antiguos. Y las oportunidades de error humano, en particular, por parte de empleados o contratistas negligentes que involuntariamente causan una filtración de datos, siguen aumentando.
Todos los vectores de ciberataques están contenidos. Los delincuentes cibernéticos encuentran constantemente nuevos vectores de ataque, incluidos sistemas Linux, tecnología operativa (OT), dispositivos de Internet de las cosas (IoT) y entornos de nube.
"Mi industria es segura". Cada industria tiene su parte de riesgos de ciberseguridad, con ciberadversarios que explotan las necesidades de las redes de comunicación en casi todas las organizaciones gubernamentales y del sector privado. Por ejemplo, los ataques de ransomware (véase más abajo) se dirigen a más sectores que nunca, como los gobiernos locales, las organizaciones sin fines de lucro y los proveedores de atención médica, las amenazas a las cadenas de suministro, sitios web ".gov" y a las infraestructuras críticas también han aumentado.
Los delincuentes cibernéticos no atacan a las pequeñas empresas. Sí, lo hacen. Por ejemplo, en 2021 el 82 % de los ataques de ransomware se dirigieron a empresas con menos de 1,000 empleados; el 37 por ciento de las empresas atacadas con ransomware tenían menos de 100 empleados.5
Las siguientes mejores prácticas y tecnologías pueden ayudar a su organización a implantar una ciberseguridad sólida que reduzca su vulnerabilidad a los ataques cibernéticos y proteja sus sistemas de información críticos, sin interferir en la experiencia del usuario o del cliente.
Muchos usuarios no entienden cómo acciones aparentemente inofensivas (desde utilizar la misma contraseña para varios inicios de sesión hasta compartir demasiado en las redes sociales) aumentan su propio riesgo de ataque o el de su organización. La capacitación en concientización sobre seguridad, combinada con políticas de seguridad de datos bien pensadas, puede ayudar a los empleados a proteger los datos confidenciales, tanto personales como los de la organización. También puede ayudarlos a reconocer y evitar ataques de phishing y malware.
La gestión de identidad y acceso (IAM, por sus siglas en inglés) define los roles y privilegios de acceso para cada usuario, así como las condiciones bajo las cuales se le otorgan o niegan sus privilegios. Las tecnologías de IAM incluyen autenticación multifactor, que requiere al menos una credencial además del nombre de usuario y la contraseña, y autenticación adaptativa, que requiere credenciales adicionales según el contexto.
La gestión de superficies de ataque (ASM, por sus siglas en inglés) es el descubrimiento, análisis, corrección y monitoreo continuos de las vulnerabilidades de ciberseguridad y los posibles vectores de ataque que conforman la superficie de ataque de una organización. A diferencia de otras disciplinas de defensa cibernética, ASM se hace completamente desde la perspectiva de un hacker, en lugar de la perspectiva del defensor. Identifica los objetivos y evalúa los riesgos en función de las oportunidades que presentan a un atacante malicioso.
Debido a que es imposible detener todos los ataques cibernéticos, las organizaciones confían en las tecnologías impulsadas en analytics e IA para identificar y responder a posibles ataques o a ataques reales en curso. Estas tecnologías pueden incluir (entre otras) gestión de eventos e información de seguridad (SIEM), orquestación, automatización y respuesta de la seguridad (SOAR) y detección y respuesta de endpoints (EDR). Normalmente, estas tecnologías se utilizan junto con el plan formal de respuesta ante incidentes.
Si bien no se utiliza tecnología de ciberseguridad, las capacidades de recuperación ante desastres suelen desempeñar un papel clave en el mantenimiento de la continuidad de negocio en caso de un ciberataque. Por ejemplo, la capacidad de derivar a una copia de seguridad alojada en una ubicación remota puede permitir que una empresa reanude las operaciones rápidamente después de un ataque de ransomware (y en algunos casos sin pagar un rescate).
Supere los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar está integrada con IA de nivel empresarial y ofrece productos integrados para seguridad de endpoint, administración de registros, SIEM y SOAR, todo con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
La búsqueda proactiva de amenazas, el monitoreo continuo y una investigación profunda de amenazas son solo algunas de las prioridades que enfrentan un departamento de TI ya ocupado. Tener un equipo de respuesta a incidentes confiable en espera puede reducir el tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarlo a recuperarse más rápido.
La gestión unificada de endpoints (UEM) impulsada por IA protege sus dispositivos, aplicaciones, contenidos y datos, para que pueda escalar rápidamente su fuerza laboral remota y sus iniciativas bring your own device (BYOD) mientras construye una estrategia de seguridad de confianza cero.
Implementadas localmente o en una nube híbrida, las soluciones de seguridad de datos de IBM le ayudan a obtener mayor visibilidad e información estratégica para investigar y remediar las amenazas cibernéticas, aplicar controles en tiempo real y administrar el cumplimiento regulatorio.
Al comprender las causas y los factores que aumentan o reducen los costos de las filtraciones, usted estará mejor preparado para enfrentarlas. Aprenda de las experiencias de más de 550 organizaciones que se vieron afectadas por una filtración de datos.
SIEM (gestión de eventos e información de seguridad) es un software que ayuda a las organizaciones a reconocer y abordar posibles amenazas y vulnerabilidades de seguridad antes de que puedan interrumpir las operaciones comerciales.
Conozca la amenaza para vencerla: obtenga información práctica que le ayude a comprender cómo los actores de las amenazas están llevando a cabo los ataques y cómo proteger de forma proactiva a su organización.
Comprenda su panorama de ciberseguridad y priorice iniciativas junto con arquitectos y consultores senior de seguridad de IBM en una sesión de pensamiento de diseño de 3 horas, virtual o presencial, sin costo.
La gestión de amenazas es un proceso que utilizan los profesionales de ciberseguridad para prevenir ataques cibernéticos, detectar amenazas cibernéticas y responder a incidentes de seguridad.
Encuentre insights estratégicos para repensar sus defensas contra ransomware y desarrollar su capacidad de remediar una situación de ransomware en curso más rápidamente.
Notas de pie de página
1 Cybercrime threatens business growth. Take these steps to mitigate your risk. (enlace externo a ibm.com)
2Bridging the 3.4 million workforce gap in cybersecurity (enlace externo a ibm.com)
3 2022 Ponemon Cost of Insider Threats Global Report (enlace externo a ibm.com)
4 Verizon 2023 Data Breach Investigations Report (enlace externo a ibm.com)
5 82% of Ransomware Attacks Target Small Businesses, Report Reveals (enlace externo a ibm.com)