La ciberseguridad se refiere a cualquier tecnología, medida o práctica para prevenir ciberataques o mitigar su impacto. La ciberseguridad tiene como objetivo proteger los sistemas, aplicaciones, dispositivos informáticos, datos confidenciales y activos financieros de personas y organizaciones contra virus informáticos simples y molestos, ataques sofisticados y costosos de ransomware y todo lo demás.
Los ciberataques tienen el poder de interrumpir, dañar o destruir las empresas, y el coste para las víctimas sigue aumentando. Por ejemplo, según el informe Cost of a Data Breach 2023 de IBM,
- El coste medio de una filtración de datos en 2023 fue de 4,45 millones de dólares, un 15 por ciento más que en los últimos años;
- El costo promedio de una violación de datos relacionada con el ransomware en 2023 fue aún mayor, con 5,13 millones de dólares. Esto no incluye el costo del pago del rescate, que ascendió en promedio a 1 542 333 dólares adicionales, un 89 por ciento más que el año anterior.
En una estimación, la ciberdelincuencia costará a la economía mundial 10,5 billones de dólares al año en 2025.1
Las tendencias de las tecnologías de la información (TI) de los últimos años (el aumento de la adopción de la computación en nube, la complejidad de las redes, el trabajo a distancia y desde casa, los programas "traiga su propio dispositivo" (BYOD) y los dispositivos y sensores conectados en todo tipo de dispositivos, desde timbres hasta coches y cadenas de montaje) han dado lugar a enormes ventajas empresariales y al progreso humano, pero también han creado exponencialmente más formas de ataque para los ciberdelincuentes.
Tal vez no sorprenda que un estudio reciente revelara que la brecha mundial de trabajadores en ciberseguridad, la brecha entre los trabajadores de ciberseguridad existentes y los puestos de ciberseguridad que necesitan cubrirse, era de 3,4 millones de trabajadores en todo el mundo.2 Los equipos de seguridad, con recursos limitados, se están centrando en desarrollar estrategias integrales de ciberseguridad que aprovechen la analítica avanzada, la inteligencia artificial y la automatización para luchar contra las ciberamenazas con mayor eficacia y minimizar el impacto de los ciberataques cuando se producen.
Lea las últimas tendencias en detección y respuesta a ciberamenazas recopiladas por 1000 miembros de equipos de centros de operaciones de seguridad (SOC) de todo el mundo.
Suscríbase al boletín de IBM
Una estrategia de ciberseguridad sólida protege todas las capas o dominios relevantes de la infraestructura de TI contra las ciberamenazas y la ciberdelincuencia.
La seguridad crítica de la infraestructura protege los sistemas informáticos, las aplicaciones, las redes, los datos y los activos digitales que una sociedad depende de la seguridad nacional, la salud económica y la seguridad pública. En Estados Unidos, el Instituto Nacional de Normas y Tecnología (NIST) ha elaborado un marco de ciberseguridad para ayudar a los proveedores de TI en este ámbito, y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) del Departamento de Seguridad Nacional ofrece orientaciones adicionales.
La seguridad de red evita el acceso no autorizado a los recursos de red y detecta y detiene los ataques cibernéticos y las violaciones de seguridad de la red en curso, mientras que, al mismo tiempo, garantiza que los usuarios autorizados tengan acceso seguro a los recursos de red que necesitan.
Los puntos finales, servidores, ordenadores de escritorio, portátiles, dispositivos móviles, siguen siendo el principal punto de entrada de los ciberataques. La seguridad de los endpoints protege a estos dispositivos y a sus usuarios contra ataques, y también protege la red contra adversarios que aprovechan los endpoints para lanzar ataques.
La seguridad de las aplicaciones protege las aplicaciones que se ejecutan en las instalaciones y en la nube, evitando el acceso no autorizado y el uso de aplicaciones y datos relacionados, y evitando fallos o vulnerabilidades en el diseño de aplicaciones que los piratas informáticos pueden utilizar para infiltrarla. Métodos de desarrollo de aplicaciones modernas. DevOps y DevSecOps: incorpore la seguridad y las pruebas de seguridad en el proceso de desarrollo.
Seguridad en la nube protege los servicios basados en la nube de una organización y los ensamblajes de aplicaciones, datos, almacenamiento, herramientas de desarrollo, servidores virtuales e infraestructura en la nube. En términos generales, la seguridad en la nube opera según el modelo de responsabilidad compartida: el proveedor de la nube es responsable de proteger los servicios que ofrece y la infraestructura utilizada para prestarlos, mientras que el cliente es responsable de proteger sus datos, código y otros activos que almacena o ejecuta en la nube. Los detalles varían dependiendo de los servicios en la nube utilizados.
La seguridad de la información (InfoSec) se refiere a la protección de toda la información importante de una organización (archivos y datos digitales, documentos en papel, medios físicos, incluso la expresión humana) contra el acceso, la divulgación, el uso o la alteración no autorizados. La seguridad de los datos, la protección de la información digital, es un subconjunto de la seguridad de la información y el enfoque de la mayoría de las medidas de Infosec relacionadas con la ciberseguridad.
La seguridad móvil abarca una serie de disciplinas y tecnologías específicas para teléfonos inteligentes y dispositivos móviles, incluida la gestión de aplicaciones móviles (MAM) y la gestión de movilidad empresarial (EMM). Más recientemente, la seguridad móvil está disponible como parte de las soluciones de administración unificada de terminales (UEM) que permiten la configuración y la administración de seguridad para todos los terminales (no solo dispositivos móviles, sino también ordenadores de escritorio, portátiles y más) desde una única consola.
El malware, abreviatura de "software malicioso", es cualquier código de software o programa informático escrito de manera intencionada para dañar un sistema informático o a sus usuarios. Casi todos los ciberataques modernos implican algún tipo de malware.
Los piratas informáticos y los ciberdelincuentes crean y utilizan malware para obtener acceso no autorizado a sistemas informáticos y datos confidenciales, secuestrar sistemas informáticos y operarlos de forma remota, interrumpir o dañar sistemas informáticos, o mantener datos o sistemas como rehenes a cambio de grandes sumas de dinero (consulte Ransomware, a continuación).
El ransomware es un tipo de malware que encripta los datos o el dispositivo de una víctima y amenaza con mantenerlos encriptados, o algo peor, a menos que la víctima pague un rescate al atacante. Según el IBM® Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17 % de todos los ciberataques en 2022.
"O peor" es lo que distingue al ransomware actual de sus predecesores. Si bien los primeros ataques de ransomware exigían un único rescate a cambio de la clave de cifrado, en la actualidad la mayoría de los ataques de ransomware son ataques de doble extorsión, que exigen un segundo rescate para evitar que se compartan o publiquen los datos de las víctimas; algunos son ataques de triple extorsión que amenazan con lanzar un ataque de denegación de servicio distribuido (ver más abajo). Los rescates no se pagan.
Los ataques de phishing son mensajes de correo electrónico, texto o voz que engañan a los usuarios para que descarguen malware, compartan información confidencial o envíen fondos a las personas equivocadas. La mayoría de los usuarios están familiarizados con las estafas de phishing masivo: mensajes fraudulentos enviados por correo masivo que parecen proceder de una marca grande y de confianza, en los que se pide a los destinatarios que restablezcan sus contraseñas o vuelvan a introducir los datos de sus tarjetas de crédito. Pero las estafas de phishing más sofisticadas, como el spear phishing y el correo electrónico empresarial comprometido (BEC), se dirigen a personas o grupos específicos para robar datos especialmente valiosos o grandes sumas de dinero.
El phishing es solo un tipo de ingeniería social. Una clase de tácticas y ataques de "hacking humano" que utilizan la manipulación psicológica para tentar o presionar a las personas a tomar acciones poco sabias.
Las amenazas internas son amenazas que tienen su origen en empleados, contratistas, contratistas, socios comerciales, etc., que, de forma intencionada o accidental, hacen un uso indebido de su acceso legítimo, o cuyas cuentas son secuestradas por ciberdelincuentes. Las amenazas internas pueden ser más difíciles de detectar que las amenazas externas porque tienen las marcas de actividad autorizada y porque son invisibles para el software antivirus, los firewalls y otras soluciones de seguridad destinadas a bloquear ataques externos.
Uno de los mitos de ciberseguridad más persistentes es que todos los delitos cibernéticos provienen de amenazas externas. De hecho, según un estudio reciente, el 44 % de las amenazas internas son causadas por actores maliciosos, y el coste medio por incidente por incidentes internos maliciosos en 2022 fue de 648 062 dólares.3 Otro estudio descubrió que, si bien la amenaza externa promedio compromete unos 200 millones de registros, los incidentes que involucran a un actor de amenazas interno han provocado la exposición de mil millones de registros o más.4
Un ataque DDoS intenta bloquear un servidor, un sitio web o una red sobrecargándolos de tráfico, normalmente desde una botnet, una red de varios sistemas distribuidos que un ciberdelincuente secuestra mediante malware y que opera mediante control remoto.
El volumen global de ataques DDoS se ha disparado durante la pandemia de COVID-19. Cada vez más, los atacantes combinan ataques DDoS con ataques de ransomware, o simplemente amenazan para lanzar ataques DDoS a menos que el objetivo pague un rescate.
A pesar de un volumen cada vez mayor de incidentes de ciberseguridad en todo el mundo, y de un volumen cada vez mayor de aprendizajes impulsados por ellos, persisten algunas ideas erróneas muy peligrosas.
Las contraseñas seguras por sí solas son una protección adecuada. Las contraseñas seguras marcan la diferencia. Por ejemplo, en igualdad de condiciones, una contraseña de 12 caracteres tarda 62 billones de veces más en descifrarse que una de 6 caracteres. Pero como los ciberdelincuentes pueden robar contraseñas (o pagar a empleados descontentos u otras personas con información privilegiada para que las roben), no pueden ser la única medida de seguridad de una organización o un individuo.
Los principales riesgos de ciberseguridad son bien conocidos. De hecho, la superficie de riesgo está en constante expansión. Cada año se notifican miles de nuevas vulnerabilidades en aplicaciones y dispositivos nuevos y antiguos. Y las oportunidades de cometer errores humanos, específicamente por parte de empleados o contratistas negligentes que, sin querer, provocan una violación de datos, siguen aumentando.
Todos los vectores de ciberataque están contenidos. Los ciberdelincuentes encuentran nuevos vectores de ataque todo el tiempo, incluidos los sistemas Linux, la tecnología operativa (OT), los dispositivos de Internet de las cosas (IoT) y los entornos en la nube.
"Mi sector está seguro". Cada sector tiene su parte de los riesgos de ciberseguridad y los ciberadversarios aprovechan las necesidades de las redes de comunicación en casi todas las organizaciones gubernamentales y del sector privado. Por ejemplo, los ataques de ransomware (ver a continuación) se dirigen a más sectores que nunca, incluidos gobiernos locales, organizaciones sin ánimo de lucro y proveedores sanitarios; amenazas en las cadenas de suministro, ".gov" Los sitios web y la infraestructura crítica también han aumentado.
Los ciberdelincuentes no atacan a las pequeñas empresas. Sí, sí. Por ejemplo, en 2021 el 82 % de los ataques de ransomware se dirigieron a empresas con menos de 1000 empleados; El 37 por ciento de las empresas atacadas con ransomware tenían menos de 100 empleados.5
Las siguientes mejores prácticas y tecnologías pueden ayudar a su organización a implementar una ciberseguridad sólida que reduzca su vulnerabilidad a los ataques cibernéticos y proteja sus sistemas de información críticos, sin entrometerse en la experiencia del usuario o del cliente.
Muchos usuarios no entienden cómo acciones aparentemente inofensivas, desde utilizar la misma contraseña para varios inicios de sesión hasta compartir demasiado en las redes sociales, aumentan su propio riesgo de ataque o el de su organización. La formación sobre conciencia de seguridad, combinada con políticas de seguridad de datos bien pensadas, puede ayudar a los empleados a proteger los datos personales y organizativos confidenciales. También puede ayudarles a reconocer y evitar ataques de phishing y malware.
Gestión de identidad y acceso (IAM) define los roles y privilegios de acceso para cada usuario, así como las condiciones en las que se conceden o deniegan sus privilegios. Las tecnologías de IAM incluyen la autenticación multifactor, que requiere al menos una credencial, además de un nombre de usuario y una contraseña, y la autenticación adaptable, que requiere credenciales adicionales según el contexto.
La gestión de superficies de ataque (ASM) es el descubrimiento, el análisis, la corrección y la supervisión continuos de las vulnerabilidades de ciberseguridad y posibles vectores de ataque que conforman la superficie de ataque de una organización. A diferencia de otras disciplinas de ciberdefensa, la ASM se lleva a cabo completamente desde la perspectiva de un hacker, en lugar de desde la perspectiva del defensor. Identifica objetivos y evalúa los riesgos en función de las oportunidades que presentan a un atacante malicioso.
Debido a que es imposible detener todos los ataques cibernéticos, las organizaciones confían en las tecnologías basadas en análisis e IA para identificar y responder a ataques potenciales o reales en curso. Estas tecnologías pueden incluir (entre otras) información de seguridad y gestión de eventos (SIEM), orquestación de seguridad, automatización y respuesta (SOAR) y detección y respuesta de endpoints (EDR). Normalmente, estas tecnologías se utilizan junto con el plan formal de respuesta ante incidentes.
Si bien no es una tecnología de ciberseguridad per se, las capacidades de recuperación ante desastres a menudo desempeñan un papel clave para mantener la continuidad del negocio en caso de un ciberataque. Por ejemplo, la capacidad de realizar una conmutación por error a una copia de seguridad alojada en una ubicación remota puede permitir que una empresa reanude sus operaciones rápidamente después de un ataque de rescate (y en algunos casos sin pagar un rescate).
Supere los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar está integrada con IA de nivel empresarial y ofrece productos integrados para seguridad de puntos finales, administración de registros, SIEM y SOAR, todo con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
La investigación proactiva de amenazas, la supervisión continua y el examen en profundidad de las mismas son sólo algunas de las prioridades a las que se enfrenta un departamento de TI ya de por sí muy ocupado.Contar con un equipo de respuesta a incidentes de confianza puede reducir su tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarle a recuperarse más rápidamente.
La gestión unificada de puntos finales basada en IA (UEM) protege sus dispositivos, aplicaciones, contenido y datos, para que pueda escalar rápidamente sus iniciativas de personal remoto y de dispositivos propios (BYOD) mientras crea una estrategia de seguridad de confianza cero.
Tanto si se implementan en las instalaciones como en una nube híbrida, las soluciones de seguridad de datos de IBM le ayudan a obtener visibilidad y conocimientos para investigar y remediar las ciberamenazas, aplicar controles en tiempo real y gestionar la conformidad normativa.
Prepárese mejor para las vulneraciones comprendiendo sus causas y los factores que aumentan o reducen los costes. Conozca las experiencias de más de 550 organizaciones afectadas por una vulneración de datos.
SIEM (información de seguridad y gestión de eventos) es un software que ayuda a las organizaciones a reconocer y abordar posibles amenazas y vulnerabilidades de seguridad antes de que puedan interrumpir las operaciones empresariales.
Conozca las amenazas para acabar con ellas: obtenga información práctica que le ayude a comprender cómo los actores de las amenazas están llevando a cabo los ataques y cómo proteger de forma proactiva a su organización.
Comprenda su panorama de ciberseguridad y priorice iniciativas con la colaboración de expertos arquitectos y consultores de seguridad de IBM, sin coste, en una sesión de "design thinking" virtual o presencial de tres horas.
La gestión de amenazas es un proceso empleado por los profesionales de la ciberseguridad para prevenir ataques, detectar ciberamenazas y responder a incidentes de seguridad.
Obtenga información para replantearse sus defensas contra el ransomware y aumentar su capacidad para remediar más rápidamente una situación de ransomware en evolución.
Notas a pie de página
1 El cibercrimen amenaza el crecimiento del negocio. Sigue estos pasos para mitigar tus riesgos. (enlace externo a ibm.com)
2Reduciendo la brecha de personal de 3,4 millones en ciberseguridad (enlace externo a ibm.com)
3 Informe global Ponemon Cost of Insider Threats de 2022 (enlace externo a ibm.com)
4 Informe de investigaciones de violación de datos de Verizon 2023 (enlace externo a ibm.com)
5 Un informe revela que el 82 % de los ataques de ransomware se dirigen a pequeñas empresas (enlace externo a ibm.com)