En la actualidad, los riesgos de seguridad cibernética son cada día más amplios. Diariamente, vulnerabilidades son identificadas y explotadas en dispositivos que luego se transmite a todo el entorno de las empresas y detiene las operaciones.

Sin embargo, aún muchas empresas no toman la seguridad cibernética como prioridad, por lo que no existe un presupuesto para estos asuntos y prefieren trabajarlos en el camino donde en muchos casos no toman acción hasta verse afectados.

Muchas de estas empresas son muy activas en redes sociales y con la nueva ola de aplicaciones diseñadas para “facilitar el trabajo “con la utilización de inteligencia artificial, comienzan a incentivar al personal a experimentar donde al final no solo se exponen como corporación si no que exponen a sus clientes dependiendo la información que albergan de ellos.

¿Qué podemos hacer si la tecnología es cambiante y las vulnerabilidades son crecientes?

Resumimos todo en  - PREVENCIÓN, MONITOREO Y MITIGACIÓN DE RIESGOS.

Podemos implementar varias herramientas, políticas y procesos que nos ayuden a mitigar los riesgos, no obstante, una de las mayores inversiones es la capacitación de nuestros empleados. Cuando mencionamos la capacitación nos dirigimos a brindarles conocimiento de tendencias, identificación y sobre todo control (si no lo se y/o tengo duda me dirijo al personal de informática al instante).

Me gusta siempre preguntar lo siguiente:

¿Cuándo fue su ultimo adiestramiento al personal sobre riesgos de seguridad cibernética en conjunto con un análisis de riesgos y vulnerabilidades?

Si fue hace un año le recomiendo que tome acción a la mayor brevedad. Si fue hace mucho mas tiempo y/o no sabe la respuesta debo decirle que posiblemente puede perder su empresa en cualquier momento.

El reporte de delitos cibernéticos de 2023 publicado por el FBI (de crímenes reportados) revela un aumento del 22% en las pérdidas informadas en comparación con el año 2022. Esto alcanza un récord de $12,500 millones. El total de denuncias presentadas en el 2023 al FBI fue de 880,000 que es un 10% más que en el 2022.

Para que tengan una imagen de lo preocupante que esto es, vean los reportes y pérdidas de los pasados 5 años:

Una idea de unos de los más efectivos:

- PHISHING (continúa siendo el líder –esto luego evoluciona a un ransomware).

- SPOOFING

- DEEPFAKE (Inteligencia artificial)

- Non-Payment/Non-Delivery

- Credit Card/Check Fraud

Muchos podrían pensar que Puerto Rico es pequeño y debe ser de los menos afectados, pues lamento informar que Puerto Rico se encuentra entre los 20 países con mayores pérdidas provocadas por ataques cibernéticos donde un estudio realizado por Internet Compliant Center indica que el 0.21% de las querellas (los que reportaron) proceden de Puerto Rico que, aunque parece poco se resume en muchas pérdidas y cierres de corporaciones por no lograr restablecer su operación.

Debemos contar con:

1. Políticas y procesos que nos ayuden a mitigar los riesgos, esto incluye contraseñas robustas

2. Antivirus robusto (Enpoint Protection)

3. Firewall donde podamos segmentar nuestra red y aislar los equipos más vulnerables (ejemplo – IoT)

4. Conozca su entorno incluyendo todos sus activos

5. Activar la utilización de autenticación de dos factores (multifactor autenticator) para las cuentas de los usuarios

6. Mantener los equipos actualizados (cuidados con los fuera de soporte (ejemplo Windows Server 2012 R2 y anteriores – Windows 8 y anteriores)

7. Capacitación de empleados

Entre otras recomendaciones que se puedan determinar luego de evaluar su infraestructura.