Transcript
La Pequeña Empresa es un Gran Negocio para el Cybercrimen Un manual de TrendLabs
�La Pequeña Empresa es un Gran Negocio para el Cybercrimen
Cosas que toda empresa debe saber sobre las Amenazas Web y el Cybercrimen
Para los criminales, ninguna empresa es demasiado pequeña para aprovecharse de ella. Si bien es cierto que no ocupan el centro de atención como las corporaciones típicas, las pequeñas empresas no pueden darse el lujo de ignorar la amenaza que representan los cybercriminales. Abundan los mitos respecto a la seguridad para ellas pero es hora de enfrentar los hechos.
HECHO
Cualquier organización, sin importar su tamaño o tipo, puede ser víctima del cybercrimen.
La mayoría de las empresas no están convencidas de que los cybercriminales las están acechando. De acuerdo con una encuesta1 aplicada por Visa Inc. y la National Cyber Security Alliance a 1,000 propietarios de pequeñas empresas, 85 por ciento creían que las grandes empresas eran objetivos más atractivos que las suyas. Más de la mitad (54 por ciento) están seguros de que están más preparados que las grandes empresas para proteger los datos de la compañía y los clientes. Las pequeñas empresas pueden pensar que no están bajo el radar porque los criminales optan por atacar a las empresas muy grandes o a los clientes. Sin embargo hoy en día, los criminales no discriminan entre las empresas muy grandes, las pequeñas y los clientes, siempre y cuando sean rentables y lucrativos para ellos. No existen prioridades. Cualquier entidad con un sistema de seguridad débil, pequeña o no, es un blanco para el cybercrimen.
1
http://staysafeonline.mediaroom.com/index.php?s=43&item=72
1
�La Pequeña Empresa es un Gran Negocio para el Cybercrimen
HECHO
Las pequeñas empresas manejan información de interés para los cybercriminales.
Las pequeñas empresas no enfrentan tantos riesgos para la seguridad del contenido como las grandes – o eso es lo que creen. La realidad es que 7.4 por ciento de los propietarios de pequeñas empresas son víctimas de fraudes, de acuerdo con un estudio de Council of Better Business Bureaus realizado en mayo de 20102. Las pequeñas empresas tienen en su poder información de sus empleados y sus clientes, lo que las hace blancos importantes para el cybercrimen de varias formas. Los tipos de datos robados van desde los números de seguridad social hasta información para realizar transacciones bancarias en línea (consulte en la gráfica de abajo la lista completa y la distribución porcentual de la información robada).
Brechas de la información Personal en las empresas
Dirección Física Número de seguro social Número de cuenta de cheques Número de licencia de manejo NIP de tarjeta de crédito NIP de tarjeta de crédito para cajero automático Usuario y contraseña de banca en línea Información del seguro de salud Pasaporte Registros Médicos Cartilla del Servicio Militar
Base = todos los demandados por fraude; n = 393 año: 2009 Fuente: Fabelin Strategy & Research
http://www.bbb.org/us/Storage/113/Documents/Cox_BBB_Presentation%20_11_ May_10.pdf
2
2
�La Pequeña Empresa es un Gran Negocio para el Cybercrimen
HECHO
Los Cybercriminales lanzan 3.5 nuevas amenazas dirigidas a Pequeños Negocios cada segundo.
El número de ataques en línea que se dirige específicamente pequeñas empresas aumentó casi 600 por ciento a principios del 2010. Expertos de Trend Micro citan por lo menos dos factores que explican este alarmante crecimiento. Primero, las compañías más grandes están invirtiendo más en la seguridad de Internet, motivando a los criminales a buscar a las más pequeñas, pues son blancos más abundantes. Segundo, las pequeñas empresas presentan un enorme mercado para explotar, ya que hoy tan solo en Estados Unidos son más de 25 millones. A la atracción que los criminales sienten por las pequeñas empresas se suma la falta de presupuesto para el equipo de TI y la falta de un departamento dedicado a mantener la seguridad. Ha habido casos en los que las pequeñas empresas perdieron cientos de miles de dólares a causa de los cybercriminales, cuya arma preferida son los bots. Un bot es software malicioso que se infiltra sigilosamente a las computadoras personales, permitiendo que los criminales las controlen remotamente y roben datos críticos sin el conocimiento de los empleados y los clientes. En enero de 2011, la Oficina Federal de Investigación (FBI)3 reportó que cierta compañía norteamericana perdió $150 mil dólares a través de una transferencia de dinero no autorizada la cual fue realizada por mensajes de correo electrónico cargados de código malicioso. El código malicioso en cuestión pertenecía a la familia de troyanos ZeuS/ZBOT, que es famosa por defraudar a las pequeñas empresas. Los expertos de TrendLabs también han visto campañas de phishing y explotaciones de vulnerabilidades dirigidas específicamente a las pequeñas empresas. A menudo el fraude se realiza a través de mensajes sobre temas fiscales que usan los nombres de organizaciones gubernamentales legítimas, provocando miedo a través de quejas de los clientes o amenazas de acciones legales. Mientras que las explotaciones llegan a través de aplicaciones legítimas usadas con frecuencia. Las pequeñas empresas pueden estar más atentas a estas amenazas si se aseguran que cada empleado – técnico o no – esté al día de lo que sucede en mundo del cybercrimen. Debe informárseles respecto a los esquemas de fraude más recientes y urgirlos a emplear las mejores prácticas como es no abrir archivos adjuntos o dar clic a links sospechosos contenidos en los mensajes de correo electrónico no solicitado. Asimismo, se recomienda a las pequeñas empresas aplicar políticas de seguridad internas y fortalecer la seguridad de su red y sus protocolos de banca corporativa. Finalmente, necesitan buscar constantemente actividades en línea sospechosas y preparar un plan de contingencia para casos de ataques reales.
http://ct.bbb.org/article/connecticut-bbb-issues-alert-about-cyber-criminals-targetingsmall-businesses-with-malware-attacks-25028
3
3
�La Pequeña Empresa es un Gran Negocio para el Cybercrimen
HECHO
Es costoso cumplir las regulaciones, pero no cumplirlas es aún más costoso y puede servir como una puerta para el cybercrimen.
No todas las pequeñas empresas están conscientes de los problemas de cumplimiento de regulaciones. Algunas incluso creen que las están cumpliendo y que tienen medidas de seguridad suficientes. Sin embargo, casi 1 millón de pequeñas empresas en Estados Unidos ya han sido víctimas de fraudes relacionados con la seguridad de los datos, reveló un estudio4 realizado en enero de 2011 sobre las estrategias de seguridad de datos y prevención de fraudes practicadas por las pequeñas y medianas empresas (PyMEs). Finalmente, no cumplir puede derivarse en la pérdida de productividad, la interrupción del negocio y costos legales altos. Las organizaciones multinacionales invierten alrededor de $3.5 millones de dólares5 en cumplir con las regulaciones, lo que es un precio relativamente bajo en comparación con el costo mucho más alto de no hacerlo. Se recomienda a las pequeñas empresas no pensar que están exentas de cumplir con las regulaciones de protección de datos. Como las grandes empresas, también trabajan con procesos, gente y tecnologías, que son vistos con los mismos ojos por el cybercrimen.
http://www.nacsonline.com/NACS/News/Daily/Pages/ND0113112.aspx http://www.tripwire.com/ponemon-cost-of-compliance/pressKit/True_Cost_of_ Compliance_Report.pdf
4 5
4
�La Pequeña Empresa es un Gran Negocio para el Cybercrimen
HECHO
Las pequeñas empresas están moviéndose hacia la nube y adoptando la seguridad en la nube pero los cybercriminales no se están quedando atrás.
El cómputo en la nube ha pasado de ser un eslogan para convertirse en una realidad. El mercado de nube para PyMEs de hoy está valorado en $8,600 millones de dólares6 y se prevé que en 2014 llegue a los $100,000 millones de dólares. Además, más de 74 por ciento de las PyMEs planean aumentar su inversión en software basado en la nube en 2011 – un avance considerable desde finales de 2010 cuando la adopción del cómputo en la nube entre las PyMEs era apenas del 14 por ciento.
Las pequeñas empresas deben considerar estos cinco hechos cuando fortalezcan sus esfuerzos de mantener seguros sus propios datos y los de sus clientes.
A pesar de estos avances positivos, las pequeñas empresas aún no están invirtiendo lo suficiente en seguridad en la nube. Un reporte8 de Forrester de 2010 dice que mientras 84 por ciento de las PyMEs consideró la seguridad de los datos como una prioridad alta, sólo una tercera parte (36 por ciento) de los encuestados planeaba elevar su inversión en la seguridad de la red y sólo por un factor de 5 por ciento. Las pequeñas empresas corren el riesgo de perder datos, productividad, ventas e incluso su reputación – y más que nada, dólares –debido al número exponencialmente mayor de amenazas que desatan los criminales.
http://www.informationweek.com/news/smb/services/showArticle. jhtml?articleID=229219131 7 http://www.crn.com/news/cloud/226700149/smb-cloud-spending-to-approach-100billion-by-2014.htm?itc=refresh 8 http://www.eweek.com/c/a/Security/IT-Security-Spending-Expected-to-Increase-forEnterprises-SMBs-532369/
6
5
�La Pequeña Empresa es un Gran Negocio para el Cybercrimen
¿Qué puede hacer Trend Micro para protegerlo?
Ninguna organización está segura en el actual entorno de las amenazas. Todas las organizaciones son un blanco posible para el cybercrimen. Es por eso que Trend Micro se esfuerza siempre por proteger a los usuarios de sus productos contra cualquier posible amenaza con la ayuda de la Trend Micro™ . Smart Protection Network™.
Las pequeñas empresas pueden utilizar los siguientes productos para proteger sus datos y los de sus clientes: • Trend Micro™ Worry-Free™ Business Security Advanced protege las computadoras Windows, Macs,
servidores de archivos y de correo contra virus, amenazas y sitios internet peligrosos. La edición más reciente mantiene privada la información comercial al bloquear las unidades USB y otros dispositivos de almacenamiento así como prevenir la pérdida de datos a través del correo electrónico. Asimismo, bloquea el spam antes de que llegue a los Servidores Exchange y mientras está en ellos.
Además de ofrecer soluciones de seguridad líderes de la industria, también brindamos información sobre las amenazas más recientes y las tendencias de amenazas para informar a los usuarios sobre qué pueden hacer para estar protegidos en el mundo digital de hoy. Para consultar más información sobre las amenazas incluidas en este manual, consulte nuestros materiales en los siguientes portales:
• Enciclopedia de Amenazas: Nuestros artículos
• Trend Micro™ Worry-Free™ Business Security Standard protege las computadoras Windows y los ser-
vidores de archivos y de correo contra virus, amenazas y sitios de internet peligrosos. Incluye análisis de seguridad que se ejecutan de manera rápida y silenciosa en el segundo plano y mantiene privada la información comercial al bloquear las unidades USB y otros dispositivos de almacenamiento.
sobre código malicioso, spam, URLs maliciosos y ataques Web como “otro spam de LinkedIn lleva a sitio relacionado con ZeuS”, ofrecen más información sobre los vectores que los criminales utilizan para infectar los sistemas de los usuarios y las redes corporativas.
• Trend Micro™ Worry-Free™ Business Security Services es una solución de seguridad basada en la nube
que brinda protección en cualquier momento y en cualquier lugar para su datos. Asegura a las computadoras, los servidores y otros dispositivos basados en Windows como las máquinas de punto de venta (POS) y tablets.
• Blog sobre código malicioso de TrendLabs: Las entradas de nuestro blog, como “Archivos .RTF Maliciosos Explotan Vulnerabilidad de Microsoft Office”, ofrecen noticias e información
sobre amenazas directamente de los expertos.
ACERCA DE TRENDLABS SM TrendLabs es un centro multinacional de investigación, desarrollo y soporte con amplia presencia regional, comprometido con vigilar las amenazas las 24 horas del día, los 7 días de la semana y prevenir los ataques entregándo soluciones de forma oportuna y directa. Con más de 1,000 expertos en amenazas e ingenieros de soporte ubicados en laboratorios alrededor del mundo, TrendLabs permite que Trend Micro: • • • • • Monitoree continuamente el panorama de amenazas alrededor del mundo Entregar datos en tiempo real para detectar, anticipar y eliminar las amenazas Investigar y analizar tecnologías para combatir a las nuevas amenazas Responder en tiempo real a las amenazas dirigidas Ayudar a los clientes de todo el mundo a minimizar los daños, reducir los costos y asegurar la continuidad del negocio
ACERCA DE TREND MICRO ™ Trend Micro Incorporated es pionero en asegurar contenido y administrar amenazas. Fundado en 1988, Trend Micro ofrece a individuos y organizaciones de todos los tamaños software, hardware y servicios de seguridad. Con oficinas corporativas en Tokio, y operaciones en más de 30 países, las soluciones de Trend Micro se venden a través de distribuidores y proveedores de servicio corporativos y de valor agregado en todo el mundo. Para consultar información adicional y copias de evaluación de los productos y servicios de Trend Micro, visite nuestro sitio en www.trendmicro.com
TREND MICRO LATINOAMERICA
Insurgentes Sur No. 688 piso 6 Col. del Valle C.P. 03100 México, D.F. Tel. (55) 3067-6000
www.trendmicro.com
©2011 by Trend Micro, Incorporated. Todos los derechos reservados. Trend Micro, el logotipo de Trend Micro t-ball son marcas comerciales o marcas registradas de Trend Micro, Incorporated. El resto de los nombres de productos y compañías pueden ser marcas comerciales o marcas registradas de sus propietarios.
�