Cualquiera en seguridad sabe que es muy fácil sentirse listo para lo que venga. Después de todo, hemos pasado innumerables horas estudiando el campo… sabemos a qué atenernos, hemos apagado muchos incendios antes, y estamos preparados para la próxima gran amenaza. Pero la realidad es que el objetivo al que apuntamos no es estacionario, y lo que sea que clavemos como la principal amenaza hoy en día, a menudo es barrido por una nueva en cuestión de días, a veces incluso horas. Así que, ¿podemos definir realmente los principales riesgos en el mundo de hoy? Tal vez. Pero para hacerlo, primero tenemos que reconocer los riesgos más peligrosos.
Riesgos comunes para la seguridad
En el momento de escribir este artículo, una simple búsqueda de «lista de los principales riesgos de seguridad» arroja la friolera de 167.543 respuestas. Si usted es un gerente o propietario de un negocio que busca encontrar la bala mágica para proteger su infraestructura, puede sentir que necesita leer todas estas respuestas para asegurarse de que está cubierto. Pero hay un par de cosas a considerar primero. Antes de sumergirse en toda esa investigación adicional, tómese un momento para reconocer que tal vez no pueda definir lo que más le preocupa. No sólo es un ejercicio inútil, sino que te garantizo que si te concentras en esa única cosa, te perderás muchos otros riesgos en el proceso. Además de eso, puede que necesites cambiar tu enfoque; a veces el peligro no está necesariamente ahí fuera… en cambio, puede estar más cerca de lo que piensas.
Riesgos de la informática móvil
Por el momento, la informática móvil encabeza la lista de los riesgos más probables, y con razón. En los buenos tiempos de la informática, la mayoría – si no todos – de nuestros recursos eran estáticos e internos. Ya fuera la gran computadora central y las terminales, o la multitud de servidores y los diversos sabores de las computadoras de escritorio en nuestro entorno, todo era local. Podíamos sacar parches de seguridad con sólo pulsar un botón y, suponiendo que usáramos buenas prácticas de seguridad (y que nos ocupáramos del segundo mayor riesgo en materia de seguridad proporcionando un mecanismo de inventario sólido y fiable), podíamos incluso ver lo que había en ellos y controlar nuestras líneas de base.
Pero ahora la informática es más que móvil. Es casi omnipresente. Los teléfonos inteligentes, las tabletas y los ordenadores portátiles, por nombrar sólo algunos, proporcionan a nuestra fuerza laboral la libertad de ocuparse de las necesidades de la empresa en cualquier lugar y en cualquier momento. Sin embargo, controlar esos dispositivos es casi imposible a tan gran escala (a menudo, incluso a pequeña escala). Y si consideramos también la Internet de las Cosas (IoT), donde nuestros aparatos de todo tipo tienen ahora direcciones IP y procesan datos, la tarea puede parecer francamente abrumadora. Realmente es el clásico concepto de seguridad vs. usabilidad en macro.
Otros factores que aparecen en casi todas las listas son el software de rescate (que a menudo está vinculado al phishing y a la ingeniería social), el doxing y el hacking con fines de lucro. Dada la prevalencia del software de rescate, es muy probable que usted conozca a alguien de su familia inmediata que ya haya sido víctima. Pero no empiece a pensar que esto es sólo un problema para las personas que están sentadas en casa, abriendo enlaces de correo electrónico o haciendo clic en enlaces de sitios que no deberían visitar en primer lugar. El Ransomware es ingeniería social en el corazón, y si tus usuarios internos tienen acceso al mundo externo, estás en riesgo.
Doxing
Para los que no están familiarizados, el doxing es el arte de buscar y luego publicar información privada (u otra), a veces con el propósito de avergonzar públicamente y extorsionar. Para decirlo de forma simple, el doxing está típicamente destinado a derribar a alguien. Y es otra cuestión que la gente parece pensar que está reservada sólo para individuos y gente famosa. Pero sería negligente ignorar esto. Se sorprendería de la información sobre su negocio, y la gente que trabaja en él, está disponible para un doxer dedicado. Y si no crees que la opinión pública puede cambiar por la publicación de información que querías mantener en secreto, entonces tienes que empezar a prestar atención.
El hackeo siempre ha tenido una mentalidad de beneficio, aunque ese beneficio fuera la notoriedad y la fama. El hacking moderno es mucho más sofisticado de lo que se podría pensar. Los grupos de hackers criminales organizados pueden apuntar su enfoque a cualquier persona o negocio, y a menudo lo utilizan para obtener beneficios económicos. No estamos hablando sólo de grupos de adolescentes acurrucados en sótanos buscando tiempo extra en las consolas de juego. Son grupos altamente cualificados, a menudo patrocinados por el estado, que se dedican a tareas y se toman sus responsabilidades muy en serio.
Para llevar
Podríamos pasar todo el día hablando de todos los riesgos potenciales, grandes y pequeños, de los que deberías ser consciente. Pero cuando se trata de la mayor amenaza a la seguridad, ¿a dónde deberías dirigir tu atención? Averígüelo con nuestra guía: Las grandes amenazas a la seguridad que su organización debe tomar en serio ahora.