Skip to content
map-marker-alt icon

👋 Guadalajara | Ciudad de México

1

Blog de Innevo

Empresa sufre ciberataque, ciberdelito. Proteger a las empresas contra ciberdelicuentes.

Protege tu Empresa de los Delitos Informáticos

​De acuerdo con un estudio del FBI los delitos relacionados con el hurto de información alcanzarán los 10,500 millones de dólares en el año 2025. Por lo tanto, la pregunta para cualquier empresa es ¿qué puedo hacer?

El delito cibernético representa una amenaza masiva para las pequeñas empresas y los datos de sus clientes; sin embargo, muchas de ellas no tienen los recursos ni el tiempo para dedicarse a fortalecer la seguridad de la información. Como resultado, sus procesos, usos y costumbres y sistemas digitales son vulnerables a ataques, a menudo con consecuencias de gravedad legal o financiera.

En esta entrada haremos una inspección general de los aspectos más importantes de los delitos de información y saber cuál es la información que debe ser protegida.

¿Qué encontrarás en este artículo?

  1. ¿Qué son los delitos informáticos?
  2. ¿Qué tipo de información prefieren los delincuentes informáticos?
  3. ¿Cómo realizan los ataques los ciberdelincuentes?
  4. ¿Qué actividades básicas debes realizar tener la información protegida?
  5. Las consecuencias de sufrir delitos informáticos

1. ¿Qué son los delitos informáticos?

Con delitos informáticos fundamentalmente nos referimos al ciberdelito, es decir la actividad delictiva que involucra computadoras, redes y otros canales digitales.

2. ¿Qué tipo de información prefieren los delincuentes informáticos?

Cuando atacan, los ciberdelincuentes suelen apuntar a estos cinco activos de valor, por lo tanto, esta es la información de tu empresa que debes proteger.

  • Datos comerciales
  • Base de datos de clientes
  • Información financiera
  • Información tecnológica de la empresa

Veamos a que nos referimos con cada uno de estos tipos:

Datos comerciales

Es la información de tu empresa relativa a sus ventas y compras que con frecuencia es confidencial como contratos con clientes y proveedores, adquisiciones y criterios de rentabilidad.

Base de datos de clientes

La información de tarjetas de crédito y débito son los más lucrativos para la delincuencia, pero también datos de cuentas de cheques, de facturación, de montos y frecuencia de compras y domicilio, son los que obligatoriamente deben estar protegidos contra el robo. Con frecuencia abren cuentas con minoristas y bancos para obtener préstamos o realizar compras a nombre de ellos.

Mature male patient looking at female receptionist using landline phone and computer at reception in dentists clinic

Información financiera

Información de saldos y cuentas de cheques, préstamos, balances contables, rentabilidad, préstamos, claves de acceso a sistemas bancarios, presupuestos e inversiones. Esta información es la más apetecible de los delincuentes, es la que debes proteger con la mayor prioridad.

Información social de la empresa

Estos datos pueden ser utilizados para extorsionar, fundamentalmente a directivos de alguna forma, o inclusive para planear algún secuestro personal o secuestrar su información.

Por lo tanto, la información de nombres, puestos, salarios y datos personales de tus colaboradores deben ser de uso confidencial sólo para el área de personal y considerada como secreta.

Información tecnológica de la empresa

Los datos de tus equipos informáticos, licencias, bases de datos, proveedores de tecnología y el grupo de trabajo de TI debe ser también confidencial y mantenida en secreto tanto dentro como fuera de la empresa.

Te recomendamos leer también: "Cómo hacer una política de seguridad de la información".


3. ¿Cómo realizan los ataques los ciberdelincuentes? 

Realizan ataques de tres maneras principales:

  1. Manipulación tecnológica. Ingresan a la infraestructura tecnológica de la empresa, la conocen, identifican las bases de datos objetivo, descubren claves o criterios de acceso y finalmente se apoderan de equipos y sistemas. En general ya no roban información, lo que hacen es que una vez identificada toda la infraestructura secuestran la información y la empresa ya no puede hacer absolutamente nada con equipos y sistemas porque pierde el control sobre los mismos y si no paga un rescate entonces no se le da el control o se deteriora toda la información que ellos quieran. Esta es la forma más común, quizá el 50% de los casos.
  2. Manipulación de personal. La manipulación de algún colaborador en forma de ingeniería social aprovecha los atajos típicos de toma de decisiones. Por ejemplo, si el “jefe” le envía un correo electrónico pidiéndole que transfiera dinero, es poco probable que verifique su identidad porque no percibe que la situación sea riesgosa.
  3. Robo de información privilegiada. Por ejemplo, si un miembro del personal lleva su base de datos de clientes a un nuevo empleador, podría perder ingresos significativos para su competidor.

El caso 2 suele deberse a los usos y costumbres de la empresa motivados por la ausencia de procesos rigurosos de manejo de información. Mientras que el caso 3 se debe a la ausencia de valores éticos del personal.

Por lo tanto, puedes ver que proteger la información de tu empresa no es un asunto exclusivamente tecnológico y consecuentemente puedes hacer mucho sin invertir en tecnología atendiendo inicialmente a la implementación de políticas y procesos que regulen el comportamiento de tu personal y el cuidado que deben tener cuando accedan y utilicen información.

Proficient young male employee with eyeglasses and checkered shirt, explaining a business analysis displayed on the monitor of a desktop PC to his female colleague, in the interior of a modern office

4. ¿Qué actividades básicas debes realizar para tener la información mejor protegida?

Como vimos en el punto anterior, no solo se trata de implementar medidas de seguridad tecnológicas, sino de políticas y procesos.

Aquí te doy las principales recomendaciones para proteger tu empresa de los delitos informáticos:

1. Desconfía de todo lo que se haga fuera de lo común o fuera de las políticas de la empresa.

Por ejemplo, si el director general llama a cuentas por pagar exigiendo dinero para una factura, el colaborador debe notificarlo a su gerente de inmediato. Anima a tu personal a hablar con sus supervisores si reciben solicitudes atípicas de quien sea y por el medio que sea.

2. No supongas que el Wi-Fi público es seguro.

Pide al personal que se conecten a la oficina mediante una VPN encriptada o señales 4G o 5G cuando estén fuera de la oficina.

 

3. Ten cuidado con lo que le dices a los demás. 

Muchos gerentes y personal en general usan la marca de la empresa a través de plataformas sociales. Exígeles que no compartan información de la empresa ni de sus actividades en la misma por ningún medio o red personal ya que alguien podría usar esa información para hacerse pasar por ellos. Elimina la publicación de cumpleaños, ascensos y demás datos a través de redes sociales o páginas de internet de las que no confíes.

4. Comprueben las solicitudes de acceso a escritorio remoto.

Los equipos de TI a menudo se conectan a las computadoras de los compañeros de trabajo a través de software de acceso remoto para solucionar problemas. Los piratas informáticos lo saben y pretenderán ser parte de tu personal de TI. Obliga a tu equipo que verifique directamente con el administrador de TI para asegurarse de que las solicitudes de acceso sean válidas.

5. Asegúrate de que todos entiendan los riesgos. 

La mayoría del personal no saben cuán devastadores pueden ser los daños financieros y de reputación de una violación de datos. Capacítalos sobre lo que deben tener en cuenta y cuándo hablar. Supervisa su desempeño, pruébalos regularmente y reconoce al personal que da la alarma.

Puedes evaluar tus riesgos de información usando este Autodiagnóstico:

Nueva llamada a la acción

6. Da el ejemplo

El primero que debe acatar cabalmente y con absoluta disciplina y rigor los procesos y políticas que tengas sobre seguridad, eres tú. Sí, ya sea que seas el dueño o el director general, tu ejemplo logrará que la seguridad de la empresa sea mucho más efectiva y fácil de cumplir.

7. Implementación de un SGSI basado en ISO 27001

Si deseas tomar en serio la protección de la información tanto digital como física de tu empresa y no solo protegerla de delitos informáticos, es altamente recomendable que consideres la implementación de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001, el estándar internacional para la protección de la información en las empresas.

Las consecuencias de sufrir delitos informáticos

Una filtración de datos puede dañar tu reputación y hacer que tus clientes no estén dispuestos a confiarte sus datos. Incluso puedes enfrentar una demanda de los clientes afectados por la infracción.

Las amenazas a la información de tu empresa son demasiado grandes para que las pequeñas empresas las ignoren, así que comienza a prepararte ahora mismo, no importa qué presupuesto tengas, será mejor hacerlo, aunque sea paulatinamente que no hacer algo.

Adolfo Mota

Adolfo Mota | Sobre el autor

Consultor en Calidad y Procesos

¿Qué te pareció el contenido?