Ciberriesgos: definición, tipos más habituales o cómo protegerse de ellos

En un entorno en rápida expansión como el nuestro, todas las organizaciones tienen operaciones, ingresos, datos y una reputación que podrían estar expuestos a un ciberataque. Las pequeñas y medianas empresas deben centrarse en la superficie de ciberataque y en gestionar los ciberriesgos sin dejar de adaptarse a los cambios en el mercado ni de satisfacer las necesidades de sus clientes.

Se trata sin duda de una tarea compleja, así que analicemos más detalladamente los ciberriesgos y los tipos a los que se enfrentan los equipos de seguridad con más frecuencia. Además, te proporcionaremos cinco consejos que ayudarán a tu organización a darle la vuelta a la situación y mantenerte protegido de los ciberdelincuentes.

¿Qué son los ciberriesgos?

Los ciberriesgos miden las probabilidades de que un ciberdelincuente aproveche una ciberamenaza. Además, analiza el impacto que tendría un posible incidente, como la pérdida de la confidencialidad, integridad y disponibilidad de la información de una organización. Ten en cuenta que el impacto total en una organización puede incluir factores tangibles e intangibles:

• Los impactos tangibles suelen provocar pérdidas económicas para la organización. Algunos ejemplos son el coste de pagar un rescate, la pérdida de ingresos por la interrupción de las operaciones comerciales, los gastos de respuesta a incidentes, los honorarios legales y las multas por incumplimiento de normativas.
• Los impactos intangibles no son tan evidentes a primera vista, lo que provoca que se tarde más en detectarlos y cuantificarlos. Algunos ejemplos son los daños a la confianza en la marca, la reducción del nivel de captación de nuevos clientes y pérdidas de clientes.

En la última década, los ciberriesgos del mercado han aumentado de manera constante, tanto en número como en nivel de sofisticación. De hecho, los investigadores estiman que, en 2023, los ciberdelincuentes habrán robado más de 33 000 millones de registros, lo que supone un aumento de un 175 % con respecto a 2018.¹ ¿A qué se debe este aumento tan notable? Fundamentalmente a dos factores: las tensiones geopolíticas y un aumento generalizado de la ciberdelincuencia.

La sociedad moderna está inundada por Internet y las tecnologías de la información. Ante el aumento de las tensiones geopolíticas entre Estados y comunidades, la infraestructura informática se presenta como una nueva arma. Para los atacantes patrocinados por Estados y los hacktivistas, los ciberataques son parte del arsenal que utilizan para cumplir sus objetivos (como espiar, desarticular infraestructuras críticas o influir en campañas).

La ciberdelincuencia es un negocio muy lucrativo, lo que motiva enormemente a los atacantes a mantener sus esfuerzos y técnicas de ataque para obtener recompensas económicas. De hecho, genera tantos ingresos que, según el Foro Económico Mundial (WEF), si fuera un país, actualmente sería la tercera potencia económica a nivel mundial, solo por detrás de EE. UU. y China. De acuerdo con los datos proporcionados por Cybersecurity Ventures, se prevé que la ciberdelincuencia le cueste al mundo 8 billones de € en 2023 y 10,5 billones en 2025.²

Comparación entre ciberriesgos externos e internos

Los ciberriesgos pueden proceder de organizaciones externas (riesgos externos) o de dentro la misma (fuentes internas de ciberriesgos).

Algunas fuentes externas que generan ciberriesgos son los hackers solitarios, los grupos de ciberdelincuencia organizada y las entidades gubernamentales, así como eventos medioambientales como las condiciones meteorológicas adversas y los terremotos.

Las fuentes de amenaza internas suelen ser empleados, contratistas o socios con permisos de acceso a la red de las empresas que abusan de sus privilegios y actúan de manera maliciosa para obtener algún beneficio, por ejemplo, a través del espionaje, el fraude, el robo de propiedad intelectual y el sabotaje.

Cada tipo de ciberriesgo trae consigo un conjunto de retos únicos. La transformación digital es uno de los factores que más favorece la expansión de los riesgos, lo que dificulta a las organizaciones las tareas de gestión de ataques externos. Sin embargo, es fundamental que se anticipen a las numerosas técnicas a las que pueden recurrir los atacantes para acceder a la empresa. Los exploits internos también suponen un problema, porque los usuarios maliciosos se autentifican en el dominio y utilizan herramientas legítimas que pueden dificultar la detección temprana de este tipo de amenazas.

Si bien la gravedad del impacto de un ataque efectivo es similar independientemente de que derive de una fuente interna o externa, lo que está claro es a cuál de los tipos se enfrentan más habitualmente las organizaciones. Según Verizon, existe un 75 % más de posibilidades de que una filtración de datos provenga de una fuente externa que de una interna.³

Tipos más habituales de ciberriesgos

En la última década, determinadas innovaciones rápidas, como la adopción de la nube, la interacción digital y los puntos de contacto con los clientes multicanal, así como otras tecnologías emergentes, han transformado la forma en la que operan las empresas. Asimismo, la evolución de las operaciones comerciales ha aumentado la superficie de ataque de las organizaciones, lo que permite que se produzcan rápidos avances en el panorama de ciberamenazas, donde las tácticas y métodos de ataque cambian y se mejoran casi a diario.

Los atacantes internos y externos acceden a la red y a los datos de la empresa de diferentes formas. A estas formas también se las conoce como "vectores de ataque". Algunos de los ataques más habituales son:

Riesgos internos

Cuando piensas en los ciberriesgos internos a los que se enfrenta tu organización, es importante que tengas en cuenta las actividades (maliciosas) intencionadas y accidentales.

Independientemente de que sean intencionadas o accidentales, los ciberriesgos internos más habituales se producen como consecuencia de superficies de ataque desprotegidas, como:

• Recursos expuestos no gestionados: Cuando los usuarios no están correctamente desaprovisionados o no se ha eliminado el acceso a la red de recursos informáticos desmantelados, las organizaciones se exponen a riesgos de seguridad. Estos riesgos no autorizados pueden surgir en cualquier momento, ya que el panorama empresarial está en constante cambio.
• Vulnerabilidades sin parches: En un mundo de constante aprovechamiento de vulnerabilidades, una gestión de parches constante es fundamental a la hora de protegerse de los ciberriesgos. Sin embargo, un 71 % de los profesionales informáticos y de seguridad consideran que la aplicación de parches es un proceso complejo y largo.⁴
• Higiene de identidades y contraseñas: Los sistemas corporativos reciben innumerables intentos de inicio de sesión a lo largo del día que requieren que se verifique la identidad de humanos y equipos. Además, es necesario gestionar un flujo constante de activación y desactivación de contraseñas y accesos de usuario a medida que los empleados se unen a la organización o la abandonan. Lamentablemente, tanto la higiene de contraseñas como los equipos pueden representar eslabones débiles para las organizaciones, ya que el 80 % de las brechas de datos a nivel mundial derivan de problemas relacionados con la seguridad de las contraseñas. 5  Asimismo, el número de identidades de los equipos (como los certificados SSL, las claves SSH o los certificados de firma) también aumenta a un ritmo sin precedentes. La proliferación de identidades y la mala gestión de las claves exponen a las organizaciones a altos riesgos.
• Protección insuficiente: A medida que las organizaciones adoptan tecnologías que facilitan el trabajo a las empresas, como las iniciativas de migración a la nube, es posible que la implementación de medidas de protección adaptadas a las nuevas superficies de ataque se deje ligeramente de lado (o no se lleve a cabo en absoluto). En estos casos, las organizaciones no cuentan con las medidas de seguridad suficientes y existen muchas más posibilidades de que se produzca una brecha de datos con un alto impacto.
• Formación y concienciación de usuarios en materia de seguridad: Normalmente, tus empleados son la última línea de defensa, cuando todo se reduce a si deciden o no hacer clic en un enlace. Enseñar a los empleados lo que se debe y no se debe hacer en materia de seguridad puede marcar la diferencia a la hora de reducir la exposición de tu organización a ciberriesgos internos.

Riesgos externos

Los riesgos externos pueden provenir de diferentes grupos de adversarios, como atacantes patrocinados por Estados, grupos de ciberdelincuencia y hacktivistas. A lo largo de 2022, estos atacantes demostraron una vez más su capacidad de adaptarse, separarse, reagruparse y lograr sus objetivos a pesar de las medidas defensivas.

Un motivo que explica la agilidad de los atacantes externos es su uso de los sofisticados marketplaces clandestinos para comprar y vender kits de ataque listos para usar. Los kits de phishing, los exploits preempaquetados y las herramientas de clonación de sitios web, entre otros, han conseguido que a los atacantes les resulte más sencillo organizar y perpetrar ataques perfectamente diseñados. Algunas de las técnicas de ataque más habituales son:

• Phishing y phishing selectivo: Los atacantes crean mensajes de voz, correos electrónicos o sitios falsos para aprovecharse de la mente humana y engañar a los usuarios para que compartan sus credenciales o lleven a cabo una tarea determinada. Una vez que han obtenido las credenciales, los atacantes las venden en foros clandestinos, y pueden utilizarse para implantar redes de bots, realizar nuevas suplantaciones de identidad o extorsionar a las víctimas.
• Malware: El malware es cualquier programa o código creado con la intención de dañar un equipo, una red o un servidor. Es el tipo más común de ciberataque; principalmente, porque este término engloba muchos subconjuntos, como ransomware, troyanos, spyware, virus y cualquier otro tipo de ataque de malware que aproveche el software de forma maliciosa.
• Kit de exploits: Un kit de exploits es un conjunto de herramientas que los ciberdelincuentes utilizan para atacar vulnerabilidades específicas en un sistema o código. Una vez que aprovechan estas vulnerabilidades, realizan otras actividades maliciosas, como distribuir malware o ransomware. Estos kits de herramientas se denominan así porque utilizan exploits: código que aprovecha fallos de seguridad y vulnerabilidades del software. Si bien los equipos de seguridad pueden escribir exploits para demostrar una amenaza potencial, lo habitual es que sean obra de ciberdelincuentes.
• Ataque de denegación de servicio distribuido (DDoS): Un ataque de DDoS es un ataque malicioso que inunda una red con solicitudes falsas para interrumpir las operaciones comerciales. Como consecuencia, los usuarios no pueden realizar tareas rutinarias y necesarias, como acceder al correo electrónico, navegar por sitios web o consultar cuentas en línea u otros recursos operados por un dispositivo o una red comprometidos. Aunque normalmente estos ataques no ocasionan pérdidas de datos, le cuestan a la organización tiempo, dinero y recursos para restaurar operaciones comerciales críticas.
• Inyección SQL: Un ataque de inyección SQL aprovecha las vulnerabilidades del sistema para inyectar instrucciones SQL maliciosas en una aplicación basada en datos, lo que luego permite al hacker extraer información de una base de datos.

Cinco consejos para protegerse de los ciberriesgos

La creencia de que solo las empresas grandes están expuestas a los ciberataques está muy extendida; sin embargo, las pequeñas y medianas empresas son las víctimas más habituales de los atacantes. De hecho, entre 2021 y 2022, el mercado experimentó un aumento del 200 % en el número de incidentes en organizaciones de menos de 1000 empleados.⁶

Esta situación nos enseña que, a medida que los adversarios cambian su modus operandi, las empresas (sean grandes o pequeñas) no deben dejar de lado sus prácticas de seguridad. A continuación, te presentamos cinco consejos que pueden ayudar en esta tarea.

1. Haz un inventario de tus recursos digitales

Los inventarios de recursos son fundamentales para el programa de seguridad de cualquier empresa. Sin un inventario actualizado y completo, se generan brechas de seguridad críticas y se aumenta el riesgo de que se produzcan brechas de datos, puesto que es imposible que defiendas un recurso que no sabes que tienes.

El mantenimiento de una buena higiene informática con inventarios de tus recursos digitales actualizados en tiempo real le aporta a tu organización una gran visibilidad sobre los sistemas, las aplicaciones y las cuentas en uso en tu entorno. Esta visibilidad ayudará a tus equipos informáticos y de seguridad a desarrollar un programa de seguridad integral que proteja todos tus recursos digitales.

2. Mantente al tanto sobre cualquier posible amenaza

La velocidad, el volumen y el nivel de sofisticación de los atacantes combinados con una superficie de amenaza en rápida expansión requieren de un enfoque en el que el primer paso consiste en identificar a los atacantes y sus capacidades. Esta estrategia de gestión de riesgos, también conocida como "defensa basada en inteligencia", se basa en los adversarios y en su capacidad para amenazar el entorno de tecnología de la información de tu organización.

Identificar a los atacantes no tiene por qué ser una tarea compleja y larga, siempre que se utilice la inteligencia sobre amenazas correcta. Dado que el universo de adversarios es inmenso y que sus técnicas cambian rápidamente, tus herramientas de inteligencia sobre amenazas deben ser capaces de clasificar rápidamente todos los datos disponibles para proporcionar actualizaciones sobre las actividades más recientes de los adversarios. El uso de inteligencia sobre amenazas que te permita crear listas de adversarios priorizadas es la base para mantenerte al tanto sobre cualquier posible amenaza en el cambiante entorno de amenazas actual.

3. Diseña un plan de respuesta a incidentes

Contar con una planificación de respuesta a incidentes es importante, ya que ayudará a tu organización a reaccionar rápidamente cuando se produzca un incidente de seguridad a fin de minimizar eficazmente el impacto y mejorar el tiempo de recuperación. A la hora de diseñar un plan de respuesta a incidentes y de buscar una base sobre la que hacerlo, es recomendable seguir el sólido marco diseñado por el Instituto Nacional de Estándares y Tecnología (NIST). Este marco te ofrece un enfoque sólido para garantizar que las principales partes interesadas sepan cuál es su papel y puedan actuar con rapidez y determinación cuando sea necesaria una respuesta. De acuerdo con el marco, el proceso de respuesta a incidentes consta de cuatro fases:

• Paso 1: Preparación
• Paso 2: Detección y análisis
• Paso 3: Contención, erradicación y recuperación
• Paso 4: Acciones posteriores al incidente

Asegúrate de documentar por escrito el plan y de compartirlo con las principales partes interesadas. Asimismo, deberás actualizarlo periódicamente. Todas las personas a las que concierne alguna parte del plan deben tener acceso a este y ser notificadas siempre que se modifique. Para garantizar un proceso de mejora continua, tu organización también debería iniciar un bucle de retroalimentación tras cada incidente significativo. De este modo, podrás obtener datos clave de aquello que salió bien y las áreas en las que todavía puedes implementar cambios para mejorar la coordinación de respuesta a incidentes del equipo en el futuro.

4. Implementa un programa exhaustivo de formación en ciberseguridad

El personal es el recurso más valioso de una empresa, pero, a menudo, también es el eslabón más débil en lo que a protección contra ciberamenazas respecta. El factor humano (caer en ataques de phishing, hacer clic en enlaces maliciosos o un simple error humano) sigue provocando incidentes de seguridad. Tanto es así que, en 2022, estuvo implicado en un 82 % de las brechas.⁷ Está en tu mano gestionar esos eslabones débiles y reducir los riesgos. Tan solo debes implementar un programa de formación en materia de ciberseguridad que le proporcione al personal formación continua. Sus resultados son evidentes: las empresas que han ofrecido cursos de formación periódicos a sus empleados afirman haber reducido los ciberriesgos internos de un 60 a un 10 % en los primeros 12 meses.⁸

El programa que implementes debe formar a tus empleados en materia de riesgos de seguridad habituales, promover comportamientos en línea responsables y describir los pasos que se deben seguir si se cree que se puede estar produciendo un ataque. Además, la formación debe ser de carácter obligatorio para todo el personal, independientemente de su rango, su ubicación o sus funciones. Así pues, lo más recomendable sería adaptar los programas de formación en función del tipo de trabajo, el nivel de experiencia y la ubicación.

5. Asóciate con los profesionales de ciberseguridad correctos

Proteger a una organización de la amplia gama de ciberriesgos que existen no es una tarea sencilla: requiere personal y herramientas especializadas que protejan el entorno de intrusiones de seguridad y brechas de datos (incluidas las superficies de ataque internas y externas). Para conseguir la combinación idónea de personal, procesos y tecnología en materia de operaciones de seguridad para tu organización, debes asociarte con proveedores de recursos y servicios fiables en las áreas que más lo necesites.

Independientemente de si necesitas asociarte con un proveedor de ciberseguridad o de servicios de seguridad gestionada (MSSP), asegúrate de escoger a uno con una buena reputación, que tenga buenas reseñas y que mantenga altos niveles de satisfacción del cliente de manera constante. Lo ideal es que mantengas una relación duradera con el proveedor de ciberseguridad que escojas, por lo que será necesario llevar a cabo un largo y exhaustivo proceso de documentación sobre los diferentes socios antes de tomar una decisión. De este modo, te asegurarás de que sea una buena opción para tu empresa en la actualidad y en el futuro.

1 TechTarget. 34 cybersecurity statistics to lose sleep over in 2023 (34 estadísticas de ciberseguridad de 2023 que te quitarán el sueño). Enero de 2023

2 Cybernews. Cybercrime is world's third-largest economy thanks to booming black market (La ciberdelincuencia se ha convertido en la tercera potencia económica mundial gracias al auge del mercado negro). Febrero de 2023.

3 Verizon. Data Breach Investigations Report (informe Investigaciones de brechas de datos). 2022.

4 Dark Reading. 71% of Security Pros Find Patching to be Complex and Time Consuming, Ivanti Study Confirms (Un estudio de Ivanti confirma que el 71 % de los profesionales de seguridad considera la aplicación de parches una tarea compleja y larga). 2021.

5 Verizon. Data Breach Investigations Report (informe Investigaciones de brechas de datos). 2022.

6 Verizon. Data Breach Investigations Report (informe Investigaciones de brechas de datos). 2022.

7 Verizon. Data Breach Investigations Report (informe Investigaciones de brechas de datos). 2022.

8 Usecure. How often should employees really receive security awareness training? (¿Con qué frecuencia debería recibir el personal formación sobre concienciación en materia de seguridad?)