Os traemos la primera entrega de Ciberseguridad en la Correduría Inteligente – Paso a Paso I, la línea de contenido consistente en la publicación de los textos que forman parte de los ebooks de nuestra Biblioteca de la Correduría Inteligente. Creemos que es una forma complementaria (a la descarga del Ebook entero) para continuar guiando y acompañando a la mediación en este proceso.
Vamos publicando, en forma de capítulos, los contenidos completos de nuestros ebooks que estamos seguros que cubren todas aquellas áreas donde la innovación y la tecnología están aportando una nueva visión en la forma de entender nuestro negocio.
Ciberseguridad en la Correduría Inteligente – Paso a Paso I
Índice Primera Parte
1.- Qué son los ciberriesgos
- Definición de ciberriesgos
- El porqué de su importancia
2.- Los riesgos y la seguridad de la información
- A) Riesgo cibernético (tipos de riesgo cibernético)
- Tipos de riesgos cibernéticos
- Ámbitos en los que inciden los ciberriesgos
- B) Tipos de ataques cibernéticos y herramientas para hacerlos
- Tipos de ataques cibernéticos
En el siguiente texto queremos hablarte de algunos de los ciber riesgos más comunes, de su propia definición, así como de las formas en las que podemos protegernos de ellos tanto para el caso particular como para el caso de las empresas. Esperamos que te sirva de ayuda para poder beneficiarte de todo lo que la tecnología puede aportar a cada una de las tareas que el humano desempeña sin sufrir las consecuencias perniciosas que dicho uso puede suponer. Queremos adelantar que dichos ciber riesgos tienen suma importancia y están en aumento: para protegerse, es necesario contar con un seguro contra ciberriesgos y soluciones informáticas propias como las de MPM Software para protegerse.
1.- Qué son los ciberriesgos
Primero de todo queremos ofrecer una definición de ciberriesgos que puede ayudar a entender qué suponen estos y qué conceptos quedan incluidos bajo dicha definición.
Definición de ciberriesgos
Podríamos definir el riesgo en general como el peligro potencial que se experimenta a causa de las características o condicionantes de una determinada acción. Es decir, sería el peligro al que nos exponemos cuando realizamos determinada tarea. Por lo mismo, podemos definir el ciberriesgo como el peligro potencial o latente que existe a la hora de hacer uso de la informática en general y de la informática interconectada a redes en particular.
Naturalmente, existen riesgos de diferentes tipos de riesgos que podrían afectar de formas muy distintas y con diferentes técnicas a nuestra red o nuestro equipo informático en particular. Si bien generalmente los usuarios asocian los ciberriesgos a los ciberataques que se producen por Internet, estos no son los únicos ya que entendemos que ciberriesgos son todas las acciones que suponen un peligro potencial para dichos dispositivos.
El porqué de su importancia
A continuación, queremos explicar a través de una serie de puntos por qué son importantes los ciberriesgos y por qué deben ser tenidos en cuenta en cualquier compañía o dispositivo.
Son muy trasversales
Una de las primeras características por las que los ciberriesgos tienen una enorme importancia es por la gran trasversalidad de la que disponen. Eso quiere decir que pueden hacer susceptible a cualquier tipo de sector empresarial, así como cualquier tipo de empresa independientemente de su funcionamiento y actividad.
Están en continua actualización
Exactamente igual que las propias infraestructuras informáticas y las redes para luchar contra ellos, los ciberriesgos están en continua evolución y por lo mismo suponen una amenaza continua para cualquier red. Se trata de técnicas de un gran dinamismo e inventiva que requieren de una protección continua a lo largo del tiempo y mucho más precisa y eficaz que la que las amenazas tradicionales fuera del campo de la informática.
Están en continua expansión
Hay que decir, además, que los ciberriesgos no solo están en continua actualización sino también en continua expansión. Es así que su número no para de crecer y de hecho tienen un impacto cada vez más grande en las diferentes industrias. Especialmente relevante para el caso específico (del que hablaremos más adelante) de las corredurías de seguros y empresas financieras.
La mayor conectividad e interconexión supone una mayor exposición
Además de la evolución e incremento de los ciberriesgos, la necesidad de interconexión entre sistemas ha hecho que aumente la vulnerabilidad del conjunto. Es así que la propia cadena de suministro de información está expuesta no solo por parte de la propia compañía o dispositivo sino también de sus propios colaboradores.
Los perjuicios no son solo para la compañía
Los ciberriesgos tienen consecuencias negativas a causa de revelar, alterar o cortar el acceso a información importante y confidencial que no solo afectan a la empresa o compañía que sufre dicho ataque sino a terceros a los que dicha información afecta. Es por ello que sufrir las consecuencias de esos ciberriesgos se traduce en muchas ocasiones en sanciones administrativas, civiles o penales y muy especialmente con la nueva Ley Orgánica de Protección de Datos.
Pueden suponer un importante coste
Otro de los factores por los que debemos entender la importancia de los ciberriesgos consiste en el elevado coste que estos pueden tener para una compañía. En efecto, la reparación de sus daños puede ser muy elevada por tener en algunos casos un gran impacto y consecuencias irreversibles.
Son inevitables
Todos los anteriores factores quedan acrecentados a consecuencia de una característica propia de los ciberriesgos: son inevitables. Tal y como su propio nombre indica, estos son el riesgo que debemos asumir por utilizar la tecnología informática y, por lo tanto, no pueden nunca reducirse por completo, aunque sí existen herramientas específicas que pueden protegernos en gran medida de ellos.
Están en auge
Igualmente, hay que destacar como apuntábamos antes que los ciberriesgos no son solo una realidad que no va a desaparecer o que sea imposible mitigar por completo, sino que de hecho está en aumento. Se trata de una nueva modalidad de fraude y de perjuicios que sigue creciendo con el tiempo de forma paralela a la que lo hace la propia informática. Esta es la que ofrece nuevas posibilidades también para los ciberriesgos.
Igualmente, la aparición de las criptomonedas ha implementado notablemente este tipo de ataques que han encontrado en dichas divisas una forma segura y confidencial para la práctica de sus «rescates».
2 .- Los riesgos y la seguridad de la información
Queremos centrarnos a continuación en la relación que existe entre los ciberriesgos y la seguridad de la información. Por ello, hablaremos de los diferentes tipos de riesgo cibernético que existen y sus principales ámbitos de influencia.
2.1 ➡️ Riesgo cibernético
Un riesgo cibernético es aquel que es capaz de producir un daño en un sistema de información o base de datos de una empresa, grupo de trabajo o individuo. Su origen y causa puede estar en diferentes fuentes que van desde dispositivos hasta las propias comunicaciones o aplicaciones mediante las cuales funciona.
También puede tener diferentes causas u orígenes según el tipo de herramienta o método empleado para realizarse como podrían ser los ataques informáticos de piratas o hackers o por fallos no intencionados. Estos riesgos cibernéticos pueden tener varias consecuencias que van desde la pérdida o modificación de información hasta provocar un acceso no autorizado a la misma o trastocar el servicio que de forma regular debería ofrecerse a través de esa red.
➡️➡️ Tipos de riesgos cibernéticos
Queremos sintetizar ahora los principales riesgos cibernéticos que existen y a los que deben hacer frente las compañías independientemente del sector al que pertenezcan o las tareas que desempeñen.
1.- Riesgos cibernéticos financieros
Son aquellos riesgos relacionados con el capital de una persona asegurada.
Aquellos que se relacionan con la capacidad económica del asegurado, en relación con el capital asegurado.
2.- Riesgos cibernéticos legales
Son aquellos riesgos relacionados con la legalidad, así como con la regulación y los acuerdos contractuales y que suponen un perjuicio para los objetivos de la compañía. Pueden darse a consecuencia de actos u omisiones de sus obligaciones tanto por parte de terceros como de accionistas y están expuestos a recibir sanciones.
3.- Reputacionales
Son todos los riesgos que pueden suponer un menoscabo o daño a la propia imagen de una organización o de la visión que de ella pueda tener un grupo de interés.
4.- Patrimonial
Todos los riesgos que pueden suponer una pérdida o deterioro del patrimonio de una compañía.
5.- De responsabilidad civil
Todos los daños que sean causados a terceras personas a consecuencia de la negligencia o por la realización de una actividad de riesgo sin culpa y que necesita indemnizar o reparar el daño que a esos terceros se haya hecho.
6.- Riesgos personales
Los que afectan a la integridad física o psíquica de la persona, así como su capacidad de trabajo o condición general. Por ejemplo, se incluirían aquí los daños provocados por un dispositivo controlado por un ordenador defectuoso o que pudiera dar lugar a estos riesgos.
➡️➡️ Ámbitos en los que inciden los ciberriesgos
Estos riesgos a través de distintos ataques pueden influir en diferentes áreas empresariales que tienen que ver con el desempeño de su actividad, así como su propio funcionamiento interno. Podríamos sintetizar dichos campos de influencia de los ciberriesgos en los siguientes tres puntos:
- Confidencialidad
Los ataques informáticos tienen una influencia directa sobre la confidencialidad de la empresa y generalmente buscan tener acceso fraudulento a información para lo que no disponen de autorización para acceder a ella. Aquí se incluiría la realización de copias no autorizadas de ficheros, visualización de información sin los permisos correspondientes, difusión de la información, etc.
- Integridad
Supone el ámbito en el que una persona que no dispone de la autorización necesaria modifica la disposición o dotación de un sistema añadiendo, por ejemplo, nuevos campos o modificando algunos programas, alternando datos o en general no respetando la integridad de dicho sistema de información.
- Disponibilidad o accesibilidad
En este ámbito que es el tercero vulnerable y predilecto al ciberriesgo y los ataques por los que se manifiesta, se impide a los usuarios tener disposición de su sesión o de la información relacionada con ella, se puede encriptar información para quitarle legibilidad o acceso, se puede saturar la capacidad que tiene el procesador, etc.
Por todas estas razones y teniendo en cuenta todo lo dicho hasta ahora, una correduría de seguros inteligente y funcional a la hora de asumir los retos propios de la actualidad debe incluir seguros contra ciberriesgos a causa del gran impacto que todas sus prácticas pueden tener sobre el funcionamiento de una empresa, así como el perjuicio que puede suponer en muchos sentidos para ellas. En términos específicos los ciberriesgos tienen la misma entidad que cualquier riesgo que pudiera sufrir una empresa de tipo físico pero trasladado al ámbito digital.
El robo de información, el secuestro completo de plataformas, la devastación de sus bases de datos o, en general, los perjuicios a su actividad que pudieran producirse deben ser incluidos por las compañías aseguradoras exactamente igual que cualquier actividad que pudiera afectar a su correcto funcionamiento o reputación.
2.2 ➡️Tipos de ataques cibernéticos y herramientas para hacerlos
Hablaremos ahora de los tipos de ataques cibernéticos y de las principales herramientas que se emplean para ejecutarlos. Primero hablaremos de los tipos de ataques cibernéticos que existen.
➡️➡️ Tipos de ataques cibernéticos
‘Carding’
El ‘carding’ es una técnica por la que se obtienen números secretos que están asociados a tarjetas de crédito. Gracias a ello pueden realizarse compras a través de Internet.
‘Defacement’
Este término hace referencia a la deformación de una página web el cambio de su forma de una manera intencionada para dañar su prestigio o bien incluir mensajes de tipo distintos a los del propósito de la propia web.
Ataque de fuerza bruta
Se trata de la técnica por la que se extraen contraseñas a través de la prueba de todas las posibilidades hasta obtener la correcta. Se trata de un método muy rudimentario y básico que si no hay seguridad en las contraseñas puede ser muy exitoso por utilizar todos los términos de un diccionario.
Denegación de servicio
Se trata de un ataque por el que se busca dejar inoperativo el conjunto de recursos de una red u ordenador. Es así que queda saturado el sistema mediante el envío de miles de peticiones de forma simultánea que finalmente lo desbordan.
Denegación distribuida de servicios (DOS)
Se trata de otra variante del anterior en la que existen decenas o cientos de equipos de una red que están infectados y controlados para realizar el ataque desde múltiples orígenes.
Desbordamiento de búfer
Con este ataque se consigue desbordar un sistema y hacer que sus datos se derramen sobrescribiéndose en otros puntos de la memoria. El atacante, de esa manera, puede calcular la cantidad de datos necesaria para hacer rebosar al sistema y averiguar dónde reescribirá dicha información para extraerla.
‘Phishing’
La técnica del ‘phishing’ vendría a ser la «pesca» de contraseñas. Se consigue mediante la suplantación de la personalidad de una empresa o persona de confianza de un usuario para con ello hacer que dicho usuario crea estar recibiendo notificación de ella y así obtener información relevante sobre él. Se hace, por ejemplo, pidiendo una actualización de los datos o una petición de que verifique los mismos. Puede hacerse a través de SMS y en ese caso se llama ‘smishing’, puede hacerse con voz sobre IP y sería entonces ‘vishing’. Por último, se trataría de ‘spear phising’ si se hace a través de correo electrónico.
Ingeniería social
La ingeniería social es un método por el que se hace a los usuarios realizar determinados actos que tendrán consecuencias negativas. Para ello se les engaña y puede hacerse a través de la descarga de un ‘malware’ o la divulgación de información.
‘Ransomware’
En el ataque del ‘ransomware’, se toma el control de un equipo infectado y se toma de él información que se cifra. Es por ello que resulta ilegible para su propietario ya que se necesita una clave para descifrarla. Es entonces cuando se produce una petición de un «rescate» a cambio de las claves. Dicho rescate se pide generalmente en forma de criptomonedas como Bit Coin.
‘Pharming’
El ‘pharming’ se basa en el principio de manipular los nombres de un dominio para que el usuario, cuando accede a él acceda en realidad a un sitio falso que imita al verdadero. Con ello, se puede obtener información personal y confidencial de los usuarios: desde sus propias contraseñas hasta el número de sus tarjetas de crédito.
Suplantación de identidad
Exactamente igual que en el mundo físico, es una técnica de ataque por la que quien la realiza se hace pasar por otra persona para realizar un fraude, acoso, extorsión, etc. Es muy común en páginas web y en redes sociales.
‘Spoofing’
Es una técnica de suplantación de la identidad que se hace generalmente por un proceso de investigación o bien por el uso de malwares especializados. Puede suplantarse la dirección IP, la tabla de Advanced Resolution Protocol (ARP), el correo electrónico o el nombre del dominio (DNS). Así, se pone en riesgo no solo la integridad de los datos de un sistema, sino también la privacidad de los propios usuarios.
Continuará en la segunda entrega – Ciberseguridad en la Correduría Inteligente – Paso a Paso II
Consulta y descarga todos los ebooks de la Biblioteca de la Correduría Inteligente
¿Nos ayudas a mejorar? Valora nuestros artículos, por favor
¿Quieres seguirnos en Linkedin?
