Como lectores habituales de TechCrunch sabrán, 2024 estuvo, al igual que los años anteriores, lleno de brechas de datos, ataques de ransomware y hackeos masivos aprovechando algunas de las vulnerabilidades de software más triviales. Incluso las organizaciones mejor dotadas de recursos fallaron en mantener a los hackers fuera de sus sistemas durante los últimos doce meses. AT&T experimentó su segunda brecha masiva del año, esta vez afectando 'casi a todos los clientes'; Ticketmaster tuvo unos presuntos 560 millones de registros robados en el hackeo al gigante del almacenamiento en la nube Snowflake; y el gigante de seguros de salud Change Healthcare fue golpeado por un equipo de ransomware que accedió a los detalles médicos sensibles de al menos un tercio de todos los estadounidenses.
Tu startup no tiene por qué sufrir el mismo destino en 2025. Algunas de las cosas más simples en seguridad pueden ayudar a mantener a raya a los hackers malintencionados.
Aquí tienes algunas resoluciones simples, pero efectivas, de ciberseguridad que debes hacer a medida que avanzamos hacia el nuevo año.
Almacena de forma segura las contraseñas de tu empresa
Los administradores de contraseñas almacenan de forma segura todas las contraseñas de tu empresa, para que tus empleados no tengan que preocuparse por recordarlas. Los administradores de contraseñas también ayudan a crear y guardar contraseñas únicas y complejas para todas tus cuentas. Esto puede ayudar a prevenir intrusiones en cuentas causadas por la reutilización de contraseñas, donde los hackers aprovechan que las personas usan el mismo nombre de usuario y contraseña en varias cuentas en línea. Tan pronto como una contraseña se ve comprometida, los hackers pueden acceder a otras cuentas de la persona utilizando la misma contraseña. Algunas empresas están abandonando por completo las contraseñas y confiando en contraseñas de un solo uso, que son resistentes a ataques de phishing y otras tecnologías sin contraseña.
Implementa la autenticación multifactor
Las contraseñas por sí solas no son suficientes para defender tus cuentas más importantes contra amenazas maliciosas. Los hackers robaron al menos 1 mil millones de registros personales en 2024, ayudados en gran medida por el uso de credenciales robadas para cuentas corporativas que quedaron desprotegidas sin autenticación multifactor.
La AMF, una función de seguridad que requiere que los usuarios proporcionen un código adicional además de solo una contraseña al iniciar sesión, hace que sea mucho más difícil para los ciberdelincuentes hackear cuentas en línea. En el caso del gigante de la computación en la nube Snowflake, exigir el uso de AMF podría haber evitado que un par de hackers robaran datos altamente sensibles de AT&T y más de cien otros clientes corporativos.
La mayoría de los expertos en seguridad recomendarán el uso de aplicaciones de autenticación que generan códigos de inicio de sesión en el dispositivo, en lugar de códigos enviados por mensaje de texto SMS, que en algunos casos pueden ser interceptados.
Mantén tu software actualizado
Algunas de las brechas más dañinas de 2024 fueron causadas por un problema de hace años: vulnerabilidades no parcheadas en software de terceros. Un objetivo principal del hacking en los últimos años son las herramientas de transferencia de archivos gestionadas, el software utilizado por grandes empresas y corporaciones para transferir a menudo grandes archivos de datos por Internet. Algunos productos de transferencia de archivos y otras tecnologías empresariales han existido durante años (o más), y son objetivo por su propensión a almacenar montones de datos sensibles de la empresa.
Aunque algunos errores son explotados como de día cero, una vulnerabilidad que sale a la luz antes de que esté disponible un parche, lo mejor que pueden hacer las empresas es asegurar que su software interno esté actualizado y que se apliquen parches de seguridad lo antes posible.
Haz copias de seguridad de los datos de tu empresa
Los ataques de ransomware tuvieron otro año de récord en 2024, con empresas pagando a los hackers sumas enormes de dinero para recuperar sus datos (y evitar que se filtren en línea). Hacer copias de seguridad periódicas de los datos de tu empresa es una línea de defensa crítica contra los ataques de cifrado de datos y robo de datos. Las copias de seguridad también pueden ser objetivo de los hackers por su capacidad de ayudar a las víctimas a restaurar de manera efectiva sus operaciones comerciales sin una pérdida significativa de datos. Tener copias de seguridad cifradas fuera del sitio puede ayudar en caso de desastres de seguridad o datos.
Deja de contestar el teléfono
Aunque los hackers han confiado durante años en señuelos de correo electrónico con malware como su arma de elección contra víctimas desprevenidas, algunos grupos de hackers se están volcando en llamadas telefónicas fraudulentas como su principal forma de hackear organizaciones. Una sola llamada telefónica al centro de ayuda de TI del gigante del entretenimiento MGM supuestamente condujo a su brecha masiva en 2023, que le costó al gigante del entretenimiento al menos $100 millones.
Como escribe perfectamente Zack Whittaker de TechCrunch aquí: Siempre se debe ser escéptico de llamadas inesperadas, incluso si provienen de un contacto que parece legítimo, y nunca se debe compartir información confidencial por teléfono sin verificarla a través de otro medio de comunicación primero.
Sé transparente
Incluso si haces todo correctamente, no hay garantías de que tu startup no sea blanco de los hackers. Las startups son un objetivo principal para los hackers, gracias a sus recursos limitados en comparación con las empresas más grandes. Si tu empresa es víctima de un ciberataque, ser sincero sobre el incidente puede marcar una verdadera diferencia en términos de resultados. La transparencia puede ayudar a que tus clientes tomen cualquier acción que sea necesaria, y compartir información puede ayudar a otros a defenderse contra ataques similares en el futuro.
No solo mantener una violación de datos en secreto puede causar daño reputacional y potencialmente costarte significativamente en multas, sino que también podría hacerte merecedor de un lugar en la recopilación anual de violaciones mal manejadas de TechCrunch.
