Un informe de la empresa de seguridad Trend Micro ha predicho que, dado que los ciberdelincuentes ahora se están enfocando más en maximizar el rendimiento financiero, la introducción de GDPR este año podría brindarles oportunidades de extorsión potencialmente lucrativas.

¿Cómo?

El punto que destaca este informe es que con la perspectiva de multas masivas bajo GDPR, por ejemplo, multas de hasta 20 millones de euros, o el 4% de su facturación global, los delincuentes podrían extorsionar grandes sumas de dinero a las empresas con la amenaza de un ciberataque. eso podría dar lugar a una violación de la seguridad de los datos, lo que, a su vez, podría dar lugar a una multa en virtud del RGPD. Se ha sugerido que los delincuentes podrían determinar primero la sanción según el RGPD que podría resultar de un ataque y luego exigir un rescate ligeramente inferior a esa multa.

¿Qué esta pasando?

Las tendencias recientes en el delito cibernético son las que han llevado a esta última predicción escalofriante. Por ejemplo, el hecho de que los ciberdelincuentes parecen estar abandonando los kits de explotación y los ataques indiscriminados en favor de ataques más estratégicos con ganancias financieras maximizadas es una tendencia que se ha vuelto más evidente. Esta tendencia, junto con el hecho de que, aunque la cantidad de infracciones informadas en 2017 fue menor que en 2016, la cantidad de datos comprometidos por los ataques cibernéticos aumentó, ha llevado a los comentaristas de seguridad a creer que los delincuentes buscarán explotar GDPR como una forma de hacer dinero. arma.

Las predicciones comenzaron el año pasado

Las predicciones de que la amenaza de las multas del RGPD podrían ser explotadas por delincuentes aparecieron por primera vez en los medios de comunicación en noviembre pasado cuando el investigador Mikko Hypponen señaló que las cifras de las multas del RGPD podrían dar a los ciberdelincuentes que usan ransomware o piratas informáticos que roban datos un precio a establecer. el rescate en porque ahora saben cuánto dinero deberían pedir.
Hypponen argumentó que debido a que los delincuentes saben cuánto valen los datos / cuánto puede valer encubrir una violación de datos para algunas empresas (probablemente grandes y conocidas), estas empresas pueden estar dispuestas a pagar cualquier cosa menos que la cantidad total de la multa para evitar daños graves a su reputación, pérdida de clientes y más.

Según Hypponen, los rescates podrían, por lo tanto, establecerse en hasta el 2% o el 3% de la facturación anual global de la organización objetivo. Esto podría equivaler a millones de dólares en algunos casos.

Amenaza de informar también

Además de la amenaza de un rescate para evitar un ataque directo y deliberado que daría lugar a una multa, los comentaristas de seguridad también han sugerido que los piratas informáticos/estafadores podrían robar datos con ransomware avanzado y luego chantajear a las víctimas con la amenaza de denunciarlas ante el comisionado de protección de datos. Esto se debe a que el ransomware puede afectar la disponibilidad, el acceso y la recuperación de datos personales.

Otras Tendencias

Otras tendencias descubiertas en el reciente Trend Micro Report incluyen:

• Un aumento del 32 % en las nuevas familias de ransomware entre 2016 y 2017.
• Una duplicación de los intentos de compromiso de correo electrónico comercial (BEC) entre la primera y la segunda mitad de 2017.
  Tasas en rápido aumento de malware de minería de criptomonedas (100,000 detecciones en octubre).
• Un aumento del 22 % con respecto a 2016 en los intentos de BEC de engañar a los empleados de la empresa para que aprueben transferencias de dinero a cuentas delictivas, principalmente dirigidas al director financiero (CFO).
• Más ataques a dispositivos vulnerables de Internet de las cosas (IoT), con vulnerabilidades de software, también continuaron siendo el objetivo (1,009 nuevas fallas descubiertas y divulgadas en 2017).

¿Qué significa esto para tu negocio?

Además de ser una oportunidad para poner en orden la casa (de datos) y mejorar la competitividad (es más probable que las empresas que cumplen con GDPR quieran tratar con otras empresas que cumplen), el tamaño de las multas y ahora las actividades potenciales de los extorsionadores son riesgos. para los próximos años para las empresas del Reino Unido. Aunque estas predicciones se relacionan con delitos más atrevidos y sofisticados, las empresas deben asegurarse de estar al menos cubiertas contra intentos más básicos, por ejemplo, manteniéndose al día con parches de software y cubriendo todas las vulnerabilidades conocidas.

Las formas en que las empresas podrían protegerse contra las amenazas de piratería / ransomware incluyen solo dar acceso a los usuarios a lo que necesitan y quitarles los privilegios de administrador, hacer una copia de seguridad de todos los archivos críticos de manera efectiva y segura, y probar esas copias de seguridad para asegurarse de que la información se pueda restaurar en una forma utilizable. formulario. La capacitación del personal, por ejemplo, directores financieros (CFO) o cualquier persona involucrada en el pago, y el establecimiento de un proceso claro para la verificación y la cadena de mando podría reducir el riesgo de intentos de BEC y ataques de ingeniería social. Las empresas también deberían asegurarse de que sus Planes de Continuidad Comercial y Recuperación ante Desastres se mantengan actualizados a la luz de las amenazas emergentes.