El ataque informático a SolarWinds posiblemente sea el mayor incidente de ciberseguridad (y el más dañino) hasta la fecha. SolarWinds es una empresa de software de gestión de TI con miles de clientes.
Los piratas informáticos (se creen que podrían ser rusos) utilizaron SolarWinds como puerta de entrada para acceder a cientos de empresas y agencias gubernamentales, como el Departamento de Estado de EE. UU., el Departamento de Seguridad Nacional, el Departamento de Comercio, y a pesos pesados tecnológicos como Cisco Systems e Intel.
Este es un ejemplo perfecto de la importancia que tiene la cadena de suministro de la ciberseguridad. SolarWinds no era el objetivo principal. Se utilizó sistemáticamente como puerta de acceso a objetivos muy valiosos. Esta es la lección que deben aprender las pymes: La ciberseguridad no se debe descuidar nunca. No debemos pensar que estamos seguros porque nuestra empresa es muy pequeña y no tiene nada de interés para los piratas informáticos.
Dicho de otro modo: En el mundo digital interconectado de hoy en día no importa el tamaño de la organización. Todas son posibles objetivos. Los piratas informáticos buscan la vía más fácil para llegar a su banco, su organización de nóminas, sus clientes o sus proveedores.
Estas son algunas de las medidas básicas que hay que adoptar inmediatamente para protegerse. Comparta estas sugerencias con sus empleados y con todas las empresas de su red empresarial. La mejora de la ciberseguridad global es un trabajo conjunto.
- Frases de contraseña: cambie inmediatamente sus contraseñas por frases de contraseña con una longitud de 15 caracteres. Se ha sabido que algunos empleados de SolarWinds utilizaban «solarwinds123» como contraseña. Nunca hay que dar facilidades a los piratas informáticos que buscan adivinar la contraseña.
- Autenticación de múltiples factores: úsela siempre que esté disponible. Si no estuviera disponible, considere la posibilidad de cambiarse a un software o servicio que la ofrezca.
- Phishing: organice cursos de formación para repasar con los empleados cómo detectar phishing en un mensaje de texto o de correo electrónico. Estos mensajes de correo electrónico pueden camuflarse para que parezca que los envía otra persona de la empresa. Subraye la idea de que nunca se debe abrir un archivo adjunto o enlace si existe la más mínima sospecha. Hay que usar canales alternativos para ponerse en contacto con esa persona y confirmar que el mensaje es auténtico.
- Dispositivos: revise qué dispositivos utilizan sus empleados para conectarse a la red. Si utilizan dispositivos personales, asegúrese de que respeten las normas de actualización de software y frases de contraseña.
Es urgente que todas las empresas desarrollen una cultura de ciberseguridad. Empiece hoy mismo a concienciar a todos sus empleados. Consiga que adquieran buenos hábitos cibernéticos. Es fundamental para su empresa y para todas las personas y empresas con las que se interactúe. Cambie su comportamiento: Logre estar preparado para la cibernética.
Craig es director de contenido y desarrollo de herramientas del Cyber Readiness Institute.