Objetivos principales para delincuentes cibernéticos

cyber criminals

Objetivos principales para delincuentes cibernéticos

Los ciberdelincuentes de hoy en día ahora tienen acceso a herramientas avanzadas y estrategias sofisticadas. Sin embargo, podría decirse que sus armas más poderosas son paciencia y persistencia a montar un ataque sostenido en su organización si terminas en su punto de mira. Si quieren acceder a los datos en tu red, encontrarán la manera. Su motivación, en la mayoría de los casos, es el ingreso que pueden generar a partir de tu información confidencial. ¿Pero quiénes son sus principales objetivos y qué los hace tan atractivos para los cibercriminales?

Conversations That Matter presenta a Dominic Vogel
“Los hackers van donde está el dinero, centran su atención en las cinco aplicaciones principales en uso”.
Según Vogel, el programa #1 bajo amenaza es el correo electrónico.

Tres objetivos comunes para el delito cibernético son: Firmas de abogados, Servicios financieros y Empresas físicas. Dentro de cada una de estas categorías, esto es lo que persiguen los ciberdelincuentes:

BUFETES DE ABOGADOS
Los ciberdelincuentes buscan detalles ocultos valiosos y jugosos dentro de los archivos del cliente. Si logran acceder a la red de un bufete de abogados, no se van a decepcionar. Obtendrán datos que pueden monetizar directamente o que luego pueden usar para una campaña más amplia de ingeniería social. Los bufetes de abogados tienen todo tipo de información financiera confidencial (números de cuenta y otra información confidencial de la cuenta, información de tarjetas de crédito), información personal sobre ellos mismos y sus clientes, e información privilegiada del negocio. Los ciberdelincuentes pueden averiguar sobre un trato comercial pendiente y luego: a) hacerse pasar por una parte en un trato con otra parte o, b) chantajear a una persona o compañía con esa información. Los ciberdelincuentes pueden monetizar cualquier dato confidencial, ya sea directa o indirectamente, de forma específica.

PROVEEDORES DE SERVICIOS FINANCIEROS
Es casi innecesario decirlo (pero nosotros nos encargamos de decirlo) que cuando los clientes de los proveedores de servicios financieros brindan sus datos personales a sus asesores, esperan que la información sea salvaguardada al más alto grado. ¿Quién de nosotros no insistiría en tener el más alto estándar de seguridad cibernética para una inversión privada o información de cuenta bancaria? Los servicios profesionales reciben información financiera, números de seguro social, información confidencial de empresas e información privada sobre la familia y la salud. Los ciberdelincuentes pueden monetizar directamente esta información si la venden en el mercado negro o si obtienen acceso a esas cuentas. Alternativamente, pueden enviar correos electrónicos de phishing haciéndose pasar por instituciones financieras y compañías de administración de inversiones diciendo que necesitan ‘restablecer su contraseña’. Así, los ciberdelincuentes obtienen acceso a su cuenta. De una forma menos directa, la información se puede agregar para decir más acerca de una persona y esa información puede usarse posteriormente en un ataque. La creatividad de un adversario determinado no tiene fin para poner sus manos sobre su valiosa información, ya sea directa o indirectamente.

NEGOCIOS FÍSICOS
Para los ciberdelincuentes que apuntan a los negocios físicos, cosas como la información financiera de sus clientes, listas de clientes, información de cuentas de empresas, procesos y planes comerciales, listas de proveedores de empresas y propiedad intelectual les son particularmente de interés. Los proveedores y socios comerciales pueden tener credenciales de inicio de sesión en sus redes que pueden abrir un punto de entrada significativo para un ciberataque cuidadosamente diseñado. Incluso datos aparentemente inofensivos puede ser usado en contra de la compañía. Estos atacantes cibernéticos profesionales bucan algo que puedan usar en un ataque de phishing para hacer que el ataque suene más legítimo y luego, después de ingresar a la red de una organización, monetizarán los datos indirectamente.

Las tres categorías que hemos explorado en este artículo son solo la punta del iceberg. La lista de servicios profesionales, desde corredores de hipotecas hasta consultores de negocios, es extensa. Las empresas de contabilidad, por ejemplo, tienen amplios registros financieros comerciales y personales, y tienen información similar a los bufetes de abogados. Los negocios físicos son otra categoría amplia que podría ser cualquier cosa, desde cadenas de restaurantes , fabricantes , hasta tiendas minoristas. Desde hoteles hasta corretaje de seguros, la lista de objetivos principales para los ciberdelincuentes es larga y con muchas subcategorías. Nos sumergiremos más en estos y otros blancos cibernéticos clave en futuros artículos y videos.

CONSEJO PRACTICO
Si te preocupa la posibilidad de un ciberataque en tu organización, aquí hay seis pasos fundamentalmente importantes que puedes tomar:

Haz un inventario de todos tus activos valiosos (activos intangibles que necesitas proteger)
Crea tu registro de riesgo
Selecciona qué riesgos deberían tratarse y en qué orden los riesgos deben ser tratados
Selecciona opciones de tratamiento de riesgo (controles) para cada riesgo en las siguientes categorías:
a. Gente
b. Procesos
c. Tecnología
Implementa los controles
Regularmente monitorea y revisa la efectividad de tus controles
Implementa estas medidas para comenzar a construir tu marco de gestión de riesgos cibernéticos y endurecer tu posición de seguridad cibernética. Con el fin de gestionar con éxito tus ciberamenazas, debes hacer bien las cosas básicas.

“Prime Targets for Cyber Criminals” es un artículo del autor invitado Dominic Vogel