CIBERSEGURIDAD PARA

MICROEMPRESAS Y
AUTÓNOMOS DEL SECTOR
DE ASOCIACIONES
Unidad 2.
Conoce a tu enemigo
Parte teórica

1
CONTENIDOS

11 PRINCIPALES AMENAZAS

2 ACTORES

3 AMENAZAS INTERNAS

4 FORMACIÓN A LOS EMPLEADOS

Unidad 2
Conoce a tu enemigo
2
 OBJETIVOS
Los principales objetivos de esta unidad son:

• Conocer las principales amenazas que pueden afectar a mi negocio.

• Identificar a los distintos actores que realizan ciberataques:
• Clasificación.
• Cuáles son sus objetivos.
• Cuáles son sus motivaciones.
• Distinguir y prevenir los ataques internos realizados por usuarios internos.
• Fomentar la formación y concienciación a empleados.

Unidad 2
Conoce a tu enemigo
3
1 PRINCIPALES AMENAZAS

Unidad 2
Conoce a tu enemigo
4
1 PRINCIPALES AMENAZAS

Primeramente, vamos a recordar el concepto de

amenaza que ya hemos mencionado en la unidad
anterior. En la siguiente página veremos un resumen de
los tipos de amenazas más habituales.

Una amenaza es una circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias
negativas sobre los activos, provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor. El origen
de las amenazas puede deberse a causas naturales o accidentales, o ser intencionada. Si esta circunstancia
desfavorable acontece a la vez que existe una vulnerabilidad o debilidad de los sistemas, o aprovechando su
existencia, puede derivar en un incidente de seguridad.

Unidad 2
Conoce a tu enemigo
5
1 PRINCIPALES AMENAZAS

SOFTWARE MALICIOSO
También llamado malware o código malicioso. Incluye virus, gusanos, troyanos, etc.

EXPLOIT
Se trata de una secuencia de comandos que se aprovechan de un fallo o vulnerabilidad en el
sistema, provocando un comportamiento no deseado o imprevisto. Los objetivos pueden ser: tener
acceso al sistema de forma ilegítima, obtener permisos de administrador en el sistema accedido o
causar un ataque de denegación de servicio a un sistema.

Unidad 2
Conoce a tu enemigo
6
1 PRINCIPALES AMENAZAS

PHISHING
Este tipo de ataque se realiza comúnmente a través de correos electrónicos, donde se intenta convencer
a un usuario para que confíe en el contenido del mismo, con la intención de obtener información (por
ejemplo, contraseñas o claves de acceso). Este tipo de ataques también pueden realizarse a través de
servicios de mensajería instantánea. Ejemplo de ello es el fraude suplantando a Cáritas [1].

ATAQUES DE DENEGACIÓN DE SERVICIO (DoS)

Se entiende como denegación de servicio un conjunto de métodos que se utilizan con el fin de inhabilitar
un servidor (por ejemplo, la web de una empresa).
Un ataque de denegación de Servicio distribuido (DDoS) es más complejo y permite enviar solicitudes en
paralelo entre equipos diferentes a un mismo servidor para inhabilitarlo.
Unidad 2
Conoce a tu enemigo
7
1 PRINCIPALES AMENAZAS
AMENAZA PERSISTENTE AVANZADA (APT)
Amenazas complejas avanzadas y persistentes, a través de ataques coordinados, dirigidos a una
entidad u organización específica. Como el caso del ciberataque sufrido por Cruz Roja en enero de 2022
[2]

RANSOMWARE
Se define como tipo de malware que secuestra la información del dispositivo de la víctima, solicitando
un rescate, normalmente en criptomonedas, para poder recuperar la información.

FUGAS DE INFORMACIÓN
Acción que se produce cuando la información de la empresa es publicada o difundida en Internet por
descuido o por un atacante, quedando expuesta al acceso o visualización de terceros, conteniendo esta
información datos personales. Un caso es el de Oxfam Australia, que tras un ciberataque se confirmó
que la información de 1,7 millones de usuarios estaba siendo vendida [3] Unidad 2
Conoce a tu enemigo
8
1 PRINCIPALES AMENAZAS
SUPLANTACIÓN DE IDENTIDAD
Se habla de suplantación de identidad cuando un atacante se hace con los medios de identificación
de una entidad o persona física, por ejemplo, la firma digital, de tal forma que puede utilizarlos para
hacerse pasar por la persona física o entidad sin diferenciación alguna con la entidad o persona
física real.

VISHING
Al igual que el phishing, consiste en una técnica de ingeniería social realizada por vía telefónica.
Uno de los ataques más comunes hoy en día es el falso soporte técnico, donde te indican que tu
equipo está comprometido y pueden ayudarte a solucionarlo.

Unidad 2
Conoce a tu enemigo
9
1 PRINCIPALES AMENAZAS

Veamos en detalle cuáles son las características de las

principales amenazas que acabamos de mencionar.

El malware o código malicioso es un programa diseñado para tener acceso a sistemas informáticos
específicos, robar información o interrumpir las operaciones del ordenador. Dentro de esta definición se
engloban diferentes tipos de código malicioso, como los virus, gusanos y troyanos, siendo su objetivo común dañar
o infiltrarse sin el consentimiento del propietario, variando su modo de operar o propagarse.

Unidad 2
Conoce a tu enemigo
10
1 PRINCIPALES AMENAZAS

VIRUS

Malware que infecta los ficheros ejecutables o sectores de arranque de dispositivos de

almacenamiento.

GUSANO

Programa malicioso que realiza copias de sí mismo y se propaga rápidamente,

infectando a otros ordenadores a través de la Red.

TROYANO
Malware con múltiples utilidades. Una de ellas es la creación de puertas traseras en
equipos infectados para descargar actualizaciones y funciones nuevas.

Unidad 2
Conoce a tu enemigo
11
1 PRINCIPALES AMENAZAS
¿Y qué ocurre cuando un ordenador es
infectado por un código malicioso?

1
Aquí vemos un ejemplo:
1. Un troyano puede infectar mi ordenador al pinchar en una imagen
o un enlace en una página web afectada o por abrir un archivo
adjunto en un correo electrónico de dudosa procedencia. 3
2. Una vez que mi ordenador ha sido afectado, puede ser 2

manipulado en remoto y utilizado para cometer actividades

ilícitas. 4
3. Incluso es posible que mi equipo quede bloqueado (inutilizable) y
que me pidan dinero a cambio de desbloquearlo.
4. Cuando se rastrea el origen del delito aparecerán los ordenadores
de nuestra empresa. Puede darse el caso de que nuestra
empresa aparezca como la que ha cometido el delito. Unidad 2
Conoce a tu enemigo
12
1 PRINCIPALES AMENAZAS
El código malicioso que bloquea o codifica los datos o funciones de los equipos a cambio
de un pago para desbloquearlos es conocido como ransomware [4]. Veamos un ejemplo:

1. Normalmente, empieza con un correo desde el que se descarga un archivo infectado.

2. Si el usuario no está debidamente capacitado ¡abre el fichero!
3. El ransomware busca archivos para cifrarlos. El usuario ya no puede acceder a su propia información, es
como si la secuestraran, pero en tu casa.
4. El ciberdelincuente se pone en contacto con el usuario y le solicita un «rescate».
5. El ciberdelincuente podría amenazar con difundir o eliminar la información secuestrada. No se debe ceder a este
tipo de extorsiones, y nunca se debe pagar. El pago nunca garantiza al usuario que se faciliten las claves de
cifrado.
6. Pagar un rescate podría ser un delito por colaboración con bandas criminales.
7. ¿Sabías que 1 de cada 5 empresas ha sufrido un ataque de ransomware [5]?
Unidad 2
Conoce a tu enemigo
13
1 PRINCIPALES AMENAZAS

Una de las vías de infección más comunes en las páginas web

es la publicidad engañosa, que redirecciona a otra página
fraudulenta que puede contaminar tus dispositivos.

Este tipo de amenaza tiene por objetivo llegar

a la mayor cantidad de personas posibles.

Unidad 2
Conoce a tu enemigo
14
1 PRINCIPALES AMENAZAS

Correcto. Además, también se aprovechan de los anuncios en aplicaciones para móviles.

Otras vías de contagio son:
• Dispositivos infectados (memoria externa USB, DVD…).
• Sitios web comprometidos (que suplantan a comercios online o bancos) o Sitios web
fraudulentos.
• Enlaces a sitios comprometidos en correos masivos o por mensajería instantánea.
• Redes sociales.
• Sitios webs y software que permiten la compartición de ficheros (libros, películas, música, etc.).
• Descarga de software gratuito.

Veo que no es fácil reconocer y detectar el código malicioso, espero que me

puedas dar consejos y trucos a lo largo de esta unidad para estar prevenido. Unidad 2
Conoce a tu enemigo
15
1 PRINCIPALES AMENAZAS
¿Pertenecen tus ordenadores a una botnet?

BOTNETS
Se refiere a un conjunto de ordenadores, al que se denominan bots, que son controlados de
manera remota por un atacante. Los bots son utilizados para realizar un conjunto de actividades
maliciosas, como por ejemplo, el envío de spam, ataques de denegación de servicio (DoS), etc.

Te recomiendo el servicio gratuito de INCIBE para detectar si alguno

de tus ordenadores pertenece a una botnet.

INCIBE pone a disposición de tu empresa un servicio gratuito que permite saber de manera fácil y sencilla
si algún equipo de tu empresa está infectado por una botnet [6]. Unidad 2
Conoce a tu enemigo
16
1 PRINCIPALES AMENAZAS

Antes de ver algunas formas de prevenir estos ataques de código malicioso, vamos a terminar
de ver en detalle cada amenaza.

Un exploit es una secuencia de comandos que aprovecha una vulnerabilidad de un sistema

informático para provocar un comportamiento no deseado o imprevisto (acceso ilegítimo,
denegación de servicio...). Hay exploits que aprovechan vulnerabilidades llamadas de día-cero,
zero-day o 0-day. Estas vulnerabilidades o bien son desconocidas por los fabricantes o aún no
han publicado parches para que las solucionen.
Existe un mercado clandestino de exploits que mueve importantes cantidades de dinero.

Unidad 2
Conoce a tu enemigo
17
1 PRINCIPALES AMENAZAS

Ataques DoS y DDoS

• Se entiende como denegación de servicio (DoS) un conjunto de procesos y técnicas, cuyo fin es inhabilitar un
servidor. El ataque conlleva la saturación del servidor debido al gran volumen de solicitudes del servicio,
provocando su colapso.
• Un método más sofisticado es el ataque de denegación de servicio distribuido (DDoS), a través del cual miles
de solicitudes son enviadas, de forma paralela desde varios equipos (todos ellos pertenecientes a una botnet),
que están siendo utilizados de manera simultánea para este fin sin el conocimiento de sus dueños.

Unidad 2
Conoce a tu enemigo
18
1 PRINCIPALES AMENAZAS

Entonces, ¿nuestra página web podría quedar inutilizada por un ataque de estas
características?

Así es. Esto nos impediría seguir ofreciendo nuestros productos y servicios, por lo que si
tienes un negocio que realice venta online verías interrumpida tu actividad.

Facilidades
• Los ciberdelincuentes disponen de diversos recursos para organizar este tipo de ataques. Existen
mercados ilegales con herramientas y servicios disponibles para este fin.
• Disponer de estos servicios es un proceso simple y barato, por lo que pueden tener acceso de una
manera rápida y conseguir una gran efectividad en el ataque.

Unidad 2
Conoce a tu enemigo
19
1 PRINCIPALES AMENAZAS

Phishing
• Método de ataque que tiene el objetivo de robar información confidencial y credenciales de acceso
(cuentas bancarias, redes sociales, servicios, etc.). Este tipo de técnicas, denominadas ingeniería
social, buscan convencer al usuario de que el autor es auténtico.
• Suelen iniciarse mediante correo electrónico, mensajes de texto (smishing) o llamadas telefónicas
(vishing). En otras ocasiones, suplantan a una entidad o persona que conoce la víctima (e-mail
spoofing), con el único fin de hacer clic en una URL, cuyo destino es una página comprometida o
que suplanta al portal web legítimo.

Unidad 2
Conoce a tu enemigo
20
1 PRINCIPALES AMENAZAS

En tu negocio es fundamental informar a los empleados,

asociados y usuarios sobre este tipo de amenazas y trasladarles
el mensaje de que nunca se ha de dar esta información:
• Credenciales de acceso y contraseña.
• Coordenadas del banco.
• Información confidencial de la empresa (cuentas, reuniones,
visitas…).
• Datos personales de asociados, usuarios, colaboradores…
• Datos bancarios (número de tarjeta, código de
verificación SMS, PIN, coordenadas, firma de
operaciones…).
Unidad 2
Conoce a tu enemigo
21
1 PRINCIPALES AMENAZAS
Spear phishing
• El spear phishing es un tipo de phishing en el que el mensaje está diseñado para una
persona u organización concreta, utilizando información obtenida del contexto de la
víctima (en muchos casos de las redes sociales) para dar mayor credibilidad al
mensaje.
• Algunos ejemplos son los correos que podrían ir dirigidos a suplantar a asociados
para la renovación de sus cuotas, al director general cuando tiene un viaje previsto, al
departamento de RR.HH. en épocas de contratación, invitaciones a reuniones por
videoconferencias, falsos soportes técnicos, empresas de paquetería, etc.
• Los ciberdelincuentes realizan este tipo de ataques más sofisticados porque estudian
el perfil de la víctima y obtienen los datos a través de distintas fuentes públicas, como
puede ser las redes sociales.

Unidad 2
Conoce a tu enemigo
22
1 PRINCIPALES AMENAZAS

Aquí vemos un ejemplo de un caso

de spear phishing que utiliza nuestra
información para hacernos acceder a
un enlace falso que causará daños o
infectará los equipos.

Unidad 2
Conoce a tu enemigo
23
1 PRINCIPALES AMENAZAS
Vishing
• El vishing, como hemos visto anteriormente es un tipo de ataque de ingeniería social que se
realiza por teléfono, en la que, el atacante suplanta la identidad de una empresa ya sea una
agencia de viajes, un despacho de abogados, un hotel o una organización sin ánimo de
lucro o incluso alguna persona de confianza de tu organización, con el fin de obtener
información personal y sensible de la víctima.
• Antes de realizar la llamada, el atacante ha obtenido información confidencial de la víctima,
como su nombre, apellido, domicilio, correo electrónico, parte de sus datos bancarios. Estos
datos se han obtenido o bien por medio de otro ataque o debido a alguna filtración de datos.
• Una vez que ya tienen esos datos realiza la llamada con el objetivo de ganarse su
confianza y poder obtener más información, que realice algún pago o que se instale algún
malware.

Unidad 2
Conoce a tu enemigo
24
1 PRINCIPALES AMENAZAS
Y de todas las amenazas que hemos visto, ¿cuáles son las más frecuentes?

Por el impacto y el público objetivo las que más frecuencia suelen recibir los ciudadanos son las
relacionadas con la ingeniería social, aprovechando temas que están de actualidad. Veamos
algunos ejemplos:

1. Falso soporte técnico de servicio Microsoft 365 mediante llamada telefónica.

2. Actualización de nuestros datos bancarios por cambios legislativos.
3. Correos y otros servicios de mensajería sobre entregas fallidas de paquetes, falta
de datos o impago de costes de transporte.
4. Caducidad de credenciales de servicios como VPN, VDI o acceso remoto.
5. SMS de ayuda para colaborar con los trabajadores sanitarios contra el COVID-19.
6. Ataques de phishing para robar credenciales del gestor web. Unidad 2
25
Conoce a tu enemigo
1 PRINCIPALES AMENAZAS
7. Premios con meses gratuitos para utilizar las plataformas de Netflix o YouTube.
8. Vídeos o documentos con instrucciones para protegernos contra el COVID-19 que
contienen malware.
9. Tarjetas de la serie «El Juego del Calamar» con códigos QR que pueden llevar a
sitios fraudulentos.
10. Intentos de acceso sospechoso en la cuenta bancaria con un enlace para verificar
los datos.
11. Cheques a través de mensajería instantánea para percibir una ayuda monetaria
del Gobierno por la crisis sanitaria.

Descubre los diferentes tipos de malware que pueden afectar a tu pyme que podrás encontrar en
el blog de Protege tu empresa de INCIBE: [7].

Unidad 2
Conoce a tu enemigo
26
2 ACTORES

Unidad 2
Conoce a tu enemigo
27
2 ACTORES
Los agentes que ejecutan los ataques se pueden clasificar en función de sus motivaciones: amistosos (cuyo
objetivo es detectar fallos de seguridad para anticiparse) o malintencionados (que tienen fines lucrativos o
políticos, generalmente).

CIBERAGENTES • Ciberdelincuentes
• Script kiddies
• Agentes del orden • Ciberactivistas o
• Agencias de hacktivistas
seguridad AMISTOSOS MALINTENCIONADOS • Insiders (actores internos)
• Hackers éticos • Organizaciones
• Ciberinvestigadores • Estados
• Ciberterroristas
• Cibercriminales

Unidad 2
Conoce a tu enemigo
28
2 ACTORES

Hay que destacar que las empresas pueden tener distintas motivaciones en el
ámbito de la ciberseguridad, ya que además de concienciar y proporcionar
seguridad a sus usuarios, asociados y empleados, podrían realizar acciones poco
éticas, como espionaje industrial, competencia desleal, etc., o mantener líneas de
investigación con el objetivo de mejorar su protección.
Esto también es cierto para los estados. Por un lado, están obligados a promover
la ciberseguridad y la confianza de los usuarios en Internet, pero, por otro lado,
pueden utilizar sus conocimientos para su defensa o para espiar a otros estados.

Unidad 2
Conoce a tu enemigo
29
2 ACTORES

De acuerdo, empresas y estados tienen distintas motivaciones, pero ¿qué hay del
resto de agentes amistosos y malintencionados? ¿Qué interés pueden tener en
atacar a una pequeña empresa?

Su interés dependerá de su motivación, así como de sus objetivos. A continuación,

veremos qué tipo de acciones realizan algunos de estos agentes y dónde actúan.

Unidad 2
Conoce a tu enemigo
30
 2 ACTORES
Es importante conocer a los actores, ya que sus acciones pueden perjudicar tu negocio.
Conociéndolos, puedes anticiparte a ellos y adoptar medidas adecuadas para proteger tu
negocio. Estos son algunos de los actores:

ACTORES MALINTENCIONADOS

Ciberdelincuentes
Se denomina ciberdelincuentes a aquellos individuos que llevan a cabo acciones maliciosas con el fin de
demostrar públicamente que son capaces de hacerlo.
Script kiddies
Este tipo de actores tienen un conocimiento superior a la media, se autodenominan hackers y realizan acciones
maliciosas para buscar protagonismo.

Unidad 2
Conoce a tu enemigo
31
2 ACTORES
ACTORES MALINTENCIONADOS

Ciberactivistas o hacktivistas
Sus acciones responden a motivos ideológicos. Un grupo muy conocido es Anonymous.
Insiders (actores internos)
Personas que tienen o han tenido algún tipo de relación con la organización, incluyendo exempleados, personal
temporal o proveedores.
Su motivación suele ser siempre similar: venganza, motivos financieros o políticos, etc. o simplemente pueden realizar
acciones maliciosas por desconocimiento.
Organizaciones
Están motivadas por el interés político, económico y social para realizar acciones de ciberespionaje, así como obtener
conocimientos de otras organizaciones y una ventaja competitiva.

Unidad 2
Conoce a tu enemigo
32
2 ACTORES
ACTORES AMISTOSOS

Ciberinvestigadores
Personas que persiguen el descubrimiento de las vulnerabilidades que pueden afectar a los sistemas (hardware o
software).
La publicación de los resultados de sus investigaciones, cuyo objetivo es sensibilizar sobre las necesarias medidas de
seguridad necesarias, puede implicar su uso por terceros malintencionados.

Unidad 2
Conoce a tu enemigo
33
2 ACTORES
Los datos de los últimos años demuestran que la delincuencia en el ciberespacio se
está llevando a cabo de manera cada vez más profesional y organizada. Estas
bandas organizadas usan Internet para perpetrar todo tipo de delitos, siendo su
objetivo final la obtención de un beneficio económico.

Las formas de actuación de las organizaciones del ciberdelito son:

• Amenazas de ciberataques mediante denegación de servicio (DoS) o inyección de código malicioso en los
sistemas, equipos o dispositivos de información de las víctimas, como forma de chantaje.
• Oferta de servicios que no pueden automatizarse (alta en servicios con captcha, desarrollo de exploits, robo de
credenciales, tarjetas, usuarios…) para que terceras partes puedan desarrollar ciberataques (inyección de
código, envío de spam, botnets, fraude, etc.).
• Comercio de servicios o de información robada usando botnets o código dañino.

Unidad 2
Conoce a tu enemigo
34
3 AMENAZAS INTERNAS

Unidad 2
Conoce a tu enemigo
35
3 AMENAZAS INTERNAS
Definición

Una amenaza es aquel peligro inminente que puede surgir de cualquier hecho o acontecimiento que aún no ha
sucedido, pero en el caso de que suceda, puede causar un daño significativo.

Estas amenazas pueden ser tanto externas como internas. Estas últimas pueden ser de dos tipos: intencionadas o
accidentales; en ambos casos el empleado será el causante de la amenaza.

Una amenaza intencionada, por ejemplo, puede ser una venganza por un empleado despedido. Una amenaza
accidental está relacionada con una mala práctica o no tener mala intención, como por ejemplo, insertar un USB
infectado en un ordenador corporativo sin que el empleado tenga conocimiento de ello.

Unidad 2
Conoce a tu enemigo
36
3 AMENAZAS INTERNAS

¿Qué tipos de amenazas internas son relevantes? ¿Cómo puedo evitarlas?

Podríamos controlar y reducir las amenazas internas de

manera considerable a través de medidas tan sencillas como la
concienciación de nuestros empleados.
Y si se maneja información sensible, también es
recomendable adoptar medidas de seguridad adicionales como:
• Control de accesos.
• Cifrado de información.

Unidad 2
Conoce a tu enemigo
37
 3 AMENAZAS INTERNAS
Tipos de amenazas por agentes internos
Usuarios internos malintencionados
Los usuarios internos malintencionados son el tipo menos frecuente, pero tienen el potencial de
ocasionar daños considerables por su capacidad de acceso interno.
Pueden ser empleados descontentos o despedidos, cuyas credenciales no se han eliminado, y si tenían
permisos como administradores con privilegios, pueden provocar situaciones de riesgo más elevadas.

Usuarios internos engañados

Los usuarios internos pueden ser engañados por terceros (ciberdelincuentes) para proporcionar datos
o contraseñas que no deberían compartir.

Usuarios internos descuidados

Un usuario interno descuidado puede simplemente tener un fallo no intencionado, como seleccionar una
opción errónea y manipular o eliminar información esencial de forma equivocada.
Unidad 2
Conoce a tu enemigo
38
3 AMENAZAS INTERNAS

Entonces, una amenaza interna puede ser causada por

un empleado que carezca de formación o concienciación
suficiente, cometiendo un error y también de manera
intencionada, ¿no?

Los usuarios internos con falta de formación son el origen de algunas

brechas de seguridad, que son fácilmente evitables con la debida
concienciación en ciberseguridad. Piensa que por mucha inversión que
uno pueda hacer en tecnología, los usuarios son los que en último término
manejan la información.

Unidad 2
Conoce a tu enemigo
39
3 AMENAZAS INTERNAS

Por otro lado, los empleados que han salido de la empresa de forma poco
amistosa o que estén descontentos con su situación laboral pueden realizar
ataques o causar daños en el negocio de forma intencionada.

Y, por último, no siempre es culpa del empleado, sino que se producen a causa
de la inexistencia de políticas y procedimientos, o bien por que estos no se han
aplicado bien.
Es el caso de cuentas de acceso de empleados que dejan la empresa y no se
eliminan, o cuando no se tiene una buena gestión de los accesos a la información
sensible de nuestro negocio (financiera o datos personales de asociados,
clientes, proveedores o colaboradores).
Unidad 2
Conoce a tu enemigo
40
3 AMENAZAS INTERNAS

Ahora piensa en tu empresa, ¿cuáles son los principales factores de riesgo que
pueden afectar a tu negocio desde un punto de vista interno?

1. Falta de conocimiento y formación.

2. Asignación inapropiada de roles y derechos.

3. Deficiente clasificación de la información y cumplimiento de políticas.

Desconocimiento en la empresa de dónde se encuentra su información confidencial o cómo se debe manejar.

4. Administración ineficaz de usuarios con privilegios.

Cualquier usuario no debería tener privilegios con acceso total a los sistemas, las aplicaciones y la información clave.

5. Uso de tecnologías no apropiadas, no aprobadas o sin control por parte de la organización.

Servicios en la nube para el almacenamiento de información o uso de dispositivos móviles personales.

Unidad 2
Conoce a tu enemigo
41
3 AMENAZAS INTERNAS

Ahora piensa en tu empresa, ¿cuáles son los principales factores de riesgo que
pueden afectar a tu negocio desde un punto de vista interno?

6. Falta de respuesta proactiva/preventiva.

La mayoría de los enfoques actuales para abordar las amenazas internas son reactivos, no predictivos.
7. Auditorías y análisis inadecuados.

Muchas empresas no tienen forma de auditar el acceso para asegurarse de que solo las personas debidamente
autorizadas obtengan acceso, y que su uso de la información cumpla con la política establecida.

8. Inexistencia de acuerdos de confidencialidad con los empleados.

Es importante solicitar por escrito la conformidad con diversas normas internas, como la política de confidencialidad o
de seguridad, entre otras.

9. Ausencia de procedimientos, pautas y obligaciones para los trabajadores en el ámbito de ciberseguridad.

Unidad 2
Conoce a tu enemigo
42
4 FORMACIÓN DE LOS EMPLEADOS

Unidad 2
Conoce a tu enemigo
43
 4 FORMACIÓN DE LOS EMPLEADOS
Acciones para mitigar el riesgo

1. Actividades de formación y concienciación.

Una de las medidas más importantes.

2. Establecimiento de políticas de seguridad y de normativas de usos de activos

corporativos.

3. Cláusulas de confidencialidad en contratos con empleados y terceros.

Se extiende incluso después de la finalización de la relación contractual.

4. Administración adecuada de roles y perfiles con privilegios.

No usar cuentas compartidas.
Unidad 2
44
Reportes de actividades del usuario avanzados. Conoce a tu enemigo
 4 FORMACIÓN DE LOS EMPLEADOS
Acciones para mitigar el riesgo

5. Gestión de permisos de exempleados.

Es aconsejable eliminar cuentas de usuario que no están en uso.

6. Establecer un sistema de clasificación de la información.

7. Soluciones antimalware y antifraude.

8. Actualización constante del equipo y las credenciales (contraseñas).

Unidad 2
Conoce a tu enemigo
45
 4 FORMACIÓN DE LOS EMPLEADOS
Acciones para mitigar el riesgo

9. No ejecutar programas o ficheros de origen dudoso.

10. No conectar a tus dispositivos una memoria USB de un desconocido.

Unidad 2
Conoce a tu enemigo
46
 4 FORMACIÓN DE LOS EMPLEADOS
El empleado es la pieza clave en la ciberseguridad

• Podemos implantar medidas de seguridad con mayor o menor complejidad,

pero el empleado es el que trata y maneja la información.
• Podemos elaborar todo tipo de políticas y normativas, pero es el empleado
quien debe aplicarlas.
• El acceso a la información por parte de empleados es necesario, y tanto
intencionada como no intencionadamente, se pueden producir situaciones
de riesgo.

Por eso, es absolutamente imprescindible formar a los empleados en

buenas prácticas de ciberseguridad.
Unidad 2
Conoce a tu enemigo
47
4 FORMACIÓN DE LOS EMPLEADOS

Como hemos visto en esta unidad, existen amenazas relacionadas con

los usuarios/empleados que pueden comprometer la seguridad de la
información de mi negocio.

Sí, también hemos visto que la mejor forma de evitar este tipo de amenazas es la
concienciación de los empleados en temas de seguridad y las buenas
prácticas diarias en el puesto de trabajo, pero, ¿cómo lo hago? ¿Con qué
herramientas?

Unidad 2
Conoce a tu enemigo
48
 4 FORMACIÓN DE LOS EMPLEADOS
Kit de concienciación
• En la web de INCIBE hay un kit de concienciación [8]: un conjunto de recursos didácticos y herramientas de
entrenamiento para que cualquier organización sea capaz de implantar y concienciar a sus empleados acerca de la
importancia de mantener un nivel óptimo de ciberseguridad de la empresa. Además, tienes un apartado destinado
a formación [9].
• El kit está compuesto por diferentes tipos de elementos: presentaciones de formación y aprendizaje, materiales
audiovisuales interactivos, fondos de pantalla, salvapantallas, imágenes, pósteres y otro tipo de documentación
adicional.
¿Y cuál es la mejor manera de implementar esto para los empleados de mi
negocio?

¡En el kit se propone un plan de trabajo que es completamente flexible

para que se amolde a las necesidades de tu empresa!
Unidad 2
Conoce a tu enemigo
49
 CONCLUSIONES

• Existen distintos tipos de amenazas que pueden afectar a la seguridad de la información en mi negocio, como
la infección de equipos por código malicioso, un phishing o spear phishing, o un robo de datos personales o
información confidencial.

• En este sector se han incrementado las amenazas de suplantación de identidad, campañas de phishing,
smishing o vishing debido a la interacción que hacen las empresas con los asociados o colaboradores para, por
ejemplo, gestionar algún servicio o donativo, con el objetivo de cometer estafas o robo de información.

• Los motivos de los ataques van desde la curiosidad o la venganza hasta la obtención de beneficios
económicos; por ejemplo, por la venta de información valiosa.

• Los actores que más suelen atacar a las empresas son ciberdelincuentes, organizaciones e insiders
(actores internos). Estos últimos pueden ser malintencionados, como los exempleados o empleados
descontentos, o sin malas intenciones, debido a errores de los empleados descuidados o engañados que
carecen de formación y concienciación. Unidad 2
Conoce a tu enemigo
50
 CONCLUSIONES

• Las consecuencias y la viabilidad de estas amenazas en mi organización pueden reducirse

considerablemente a través de distintas medidas y controles, entre los que cabe destacar la
concienciación y formación de mis empleados para que estén capacitados para reconocer este tipo de
ataques y tomar las acciones correspondientes.

• Además, en función del nivel de información confidencial o sensible manejada por mi negocio y mis empleados,
podré adoptar medidas de control y seguridad adicionales, como el cifrado o el control de accesos, tal y
como veremos en detalle en próximas unidades.

Unidad 2
Conoce a tu enemigo
51
 REFERENCIAS
Enlaces de interés de la unidad

[1] Cáritas denuncia un bulo e intento de phishing en su nombre:

https://www.caritasalamanca.org/noticias/caritas-denuncia-un-bulo-e-intento-de-phising-en-su-nombre/.
[2] INCIBE – Ciberataque a la Cruz Roja causa fuga de información:
https://www.incibe.es/incibe-cert/publicaciones/bitacora-de-seguridad/ciberataque-cruz-roja-causa-fuga-
informacion.
[3] Oxfam Australia investiga la filtración de datos después de que la base de datos se pusiera a la venta:
https://www.bleepingcomputer.com/news/security/oxfam-australia-investigates-data-breach-after-database-
put-up-for-sale/.
[4] INCIBE - Enfrentándonos al ransomware:
https://www.incibe.es/empresas/guias/ransomware-guia-aproximacion-el-empresario.
Unidad 2
Conoce a tu enemigo
52
 REFERENCIAS
Enlaces de interés de la unidad

[5] ¿Sabías qué? 1 de cada 5 empresas ha sufrido un ataque de ransomware:

https://www.hornetsecurity.com/es/prensa/1-de-cada-5-empresas-ha-sufrido-un-ataque-de-ransomware-
segun-una-encuesta-de-hornetsecurity/?_adin=02021864894.
[6] INCIBE - Servicio gratuito de INCIBE: ¿pertenece tu ordenador a una botnet?:
https://www.incibe.es/empresas/te-ayudamos/servicio-antibotnet.
[7] INCIBE - Principales tipos de virus y cómo protegernos de ellos:
https://www.incibe.es/empresas/tematicas/malware.
[8] INCIBE - Kit de concienciación:
https://www.incibe.es/empresas/formacion/kit-concienciacion.
[9] INCIBE - Formación:
Unidad 2
54
https://www.incibe.es/empresas/formacion. Conoce a tu enemigo
55