Mantenga su negocio ciberseguro este Black Friday- ISMS.online

Mantenga su negocio ciberseguro este Black Friday

Por Rebecca Harper • 19 November 2022

El Black Friday ya casi está aquí y, con él, los titulares sobre los minoristas en línea registran su "mejor día" (desde el año pasado) y artículos titulados "10 de las mejores ofertas en productos eléctricos este Black Friday".

Junto con esta avalancha de titulares y ofertas, vendrán consejos y herramientas para mantener seguros a los consumidores. Por ejemplo, el Centro Nacional de Seguridad Cibernética (NCSC), en asociación con Action Fraud, publicó su Campaña cibernética este mes. La campaña insta a los compradores festivos a "reforzar su ciberseguridad" después de que nuevas cifras revelaran que las víctimas de estafas de compras en línea perdieron un promedio de £1,000 por persona en el mismo período del año pasado.

Lo que aparece en los titulares con menos frecuencia es cómo las empresas pueden mantenerse seguras durante este período. Si bien el Black Friday brinda oportunidades para los negocios, también genera un mayor riesgo de ciberataque para muchas organizaciones.

Los riesgos de ciberseguridad que enfrentan las empresas este Black Friday

Phishing

Los ataques de phishing constituyen la base de muchos ciberataques y son un problema durante todo el año; sin embargo, durante eventos como el Black Friday, las tasas de éxito de los ciberdelincuentes aumentan.

Los estafadores aprovecharán la oportunidad que ofrece el aumento de transacciones y acuerdos por parte de clientes de phishing, enviando correos electrónicos promocionales cada vez más sofisticados que apenas se distinguen de los correos electrónicos legítimos y, por lo tanto, capturarán con éxito datos de clientes, información de pagos y más.

Y no son sólo los clientes los que están en riesgo. Su personal también aumenta su perfil de riesgo; son consumidores y pueden utilizar dispositivos de la empresa cuando buscan esas ofertas del Black Friday, incluido el envío de correos electrónicos de phishing.

Contraseñas débiles

Más de la mitad de los consumidores en línea utilizan regularmente las mismas combinaciones de contraseñas para cuentas personales y laborales, según CifasEl Black Friday es el momento perfecto para que los ciberdelincuentes prueben ataques de fuerza bruta a gran escala. En un ataque de fuerza bruta, los estafadores intentan millones de posibles combinaciones de contraseñas hasta obtener el resultado correcto.

Una vez que los ciberdelincuentes tienen estos detalles, no sólo tienen acceso a la cuenta inicial comprometida, sino que potencialmente tienen acceso a muchas más, incluidas redes corporativas y sistemas comerciales, lo que aumenta drásticamente el perfil de riesgo de una organización.

Sitios web falsos

Otro riesgo cibernético al que se enfrentan las empresas es la suplantación de sitios web. Los ciberdelincuentes crean sitios web falsos con ofertas excepcionales para intentar comprometer los datos financieros y los datos de los consumidores.

Los estafadores redirigen el tráfico de los consumidores desde los sitios web genuinos de la empresa a sitios web maliciosos que se hacen pasar de manera convincente por la marca legítima. Por lo general, lo logran "agregando palabras al nombre de la empresa, deletreando las palabras de manera diferente o centrándose en la presencia de una marca en un país en particular", según una investigación de Empuje silencioso.

Los estafadores también instalarán certificados SSL en estos sitios falsos, creando una apariencia de seguridad y confianza para los usuarios desprevenidos que presentan HTTPS y el símbolo del candado para sugerir legitimidad.

No se puede subestimar el daño a la reputación de las marcas a las que se dirige de esta manera.

Ingeniería social

La ingeniería social es otro vector de ataque que las empresas deben tener en cuenta. Por ejemplo, las empresas de comercio electrónico probablemente verán aumentar drásticamente las consultas de servicio al cliente durante el Black Friday, lo que los ciberdelincuentes pueden intentar aprovechar.

Normalmente, este método de ataque tendrá como objetivo obtener datos del cliente o cometer fraude de reembolso, pero los estafadores ambiciosos también intentarán evitar bloqueos utilizando este método.

Las estafas en las redes sociales también son frecuentes, con ofertas y anuncios dirigidos a los usuarios con productos y servicios falsos centrados enteramente en comprometer los datos de las tarjetas de débito o cometer fraude en línea.

Aplicaciones antiguas

Un evento como el Black Friday ofrece la cobertura perfecta para que los ciberdelincuentes prueben las vulnerabilidades de software y aplicaciones populares, mientras la atención se desvía hacia garantizar que las aplicaciones puedan manejar el repentino aumento de la demanda en lugar de la seguridad.

De repente, muchos consumidores utilizarán aplicaciones que no han utilizado ni actualizado en meses, lo que brindará a los ciberdelincuentes rutas accesibles para explotar y obtener acceso a redes comerciales, datos de clientes o credenciales de inicio de sesión.

¿Cómo pueden las empresas adelantarse a los riesgos de ciberseguridad del Black Friday?

Concientización y educación sobre ciberseguridad

Implementar buenas prácticas y capacitación en ciberseguridad sobre los métodos y procesos mediante los cuales los malos actores intentan comprometer los sistemas e influir en el comportamiento de las personas es esencial para estar un paso por delante de los atacantes. Estos comportamientos incluyen:

Usar contraseñas seguras y un administrador de contraseñas

Todos sus empleados deben utilizar contraseñas complejas y autenticación de dos factores y cambiar las contraseñas periódicamente. Configurar una contraseña política con estos requisitos y garantizar que todos los cumplan.

Reconocer y denunciar el phishing

Garantizar que sus empleados se sientan seguros de cómo informar y señalar posibles intentos de phishing es esencial para abordar este vector de ataque. Empoderar al personal a través de políticas, procesos y capacitación periódica claros proporcionará una mejor seguridad y gestión de la información.

Tecnología robusta y gestión de seguridad de la información

Las prácticas sólidas de ciberseguridad también repercuten en los sistemas que las organizaciones y los individuos utilizan y, en el caso de las organizaciones, en las políticas que implementan para promover procesos sólidos de seguridad y gestión de la información.

Las empresas deben considerar lo siguiente:

Protección de Datos – Son esenciales procesos y controles técnicos adecuados para identificar, clasificar y manejar de forma segura los datos organizacionales en todas sus formas. Herramientas como sistemas o marcos de gestión de la información puede ayudar a las organizaciones a evitar que los ciberdelincuentes accedan a datos corporativos a través del correo electrónico, configuraciones incorrectas y comportamientos de seguridad deficientes.

Configuración segura – Siempre que sea posible, las organizaciones deberían centrarse en soluciones de ingeniería seguras desde el principio en lugar de añadirlas más tarde. Este enfoque reduce sustancialmente los puntos de entrada débiles a las redes empresariales que los ciberdelincuentes pueden aprovechar.

Gestión de Acceso – La gestión eficaz de los derechos y privilegios de los usuarios y el uso de controles como la autenticación multifactor en las cuentas del personal pueden ser una defensa fundamental contra el uso de credenciales robadas y el acceso no autorizado.

Parches y actualizaciones de software – Garantice la instalación periódica de actualizaciones y parches para el software en su organización y en los dispositivos de sus empleados. Considere sus políticas y controles de "traiga su propio dispositivo" (BYOD) para garantizar el nivel de seguridad más sólido.

Garantizar controles efectivos y proporcionales para gestionar los datos y la información organizacional permitirá a las empresas estar un paso por delante de los mayores riesgos cibernéticos este Black Friday.

Demostrar credenciales sólidas en gestión de la información y gestión de riesgos también aumentará la confianza del cliente y el éxito de su negocio.

Fortalezca su gestión de la información y su postura ante el riesgo hoy

Si está buscando comenzar su viaje hacia una mejor información y seguridad cibernética, podemos ayudarlo.

Nuestra solución ISMS permite un enfoque simple, seguro y sostenible para la gestión de la información con ISO 27001,, NIST y otros marcos. Descubra su ventaja competitiva hoy.

Demo

rebeca harper

Rebecca es la directora de marketing de contenidos de ISMS.online. Con más de 12 años en la industria de la información y la ciberseguridad, Rebecca se dedica a educar, crear conciencia y empoderar a las empresas para que logren objetivos de gestión de cumplimiento, información y ciberseguridad.