La aseguradora pretende que las organizaciones sean conscientes del peligro que suponen los ciberataques

La aseguradora AIG ha propuesto un decálogo de actuaciones ante la amenaza del ciber riesgo. El objetivo de tales medidas es “que las organizaciones sean conscientes y actúen ante la amenaza de los ciberataques”.

La compañía de seguros explica, en primer lugar, qué es un ataque de denegación de servicio (DoS, en sus siglas en inglés), y cómo estas actuaciones se han fomentado a raíz del Internet de las Cosas (IoT). “Esta modalidad de ataque se produce cuando el atacante intenta evitar que los usuarios legítimos puedan acceder a determinada información o determinados servicios. El atacante puede impedir el acceso al correo electrónico, páginas webs, cuentas online o cualquier servicio dependiente del ordenador afectado”, argumenta Olivier Marcen, financial lines leader Barcelona branch y cyberedge South Europe product leader de AIG.

Por ejemplo, en octubre de 2016 se lanzó un ataque masivo de DoS contra Dyn (importante proveedor de servicio de DNS), que impidió a los usuarios de la Costa Este de EEUU acceder a diversas páginas web como Twitter, Amazon, PayPal, Spotify, Reddit y Netflix.

Otro ejemplo que explica AIG es el caso de Brian Krebs (conocido periodista especializado en ciberseguridad), quien en septiembre de ese mismo año sufrió un intento de ataque de DoS en su página web.

La aseguradora analiza en el siguiente decálogo por qué son posibles este tipo de ataques y por qué determinados escenarios son más vulnerables. “La clave reside en que muchas organizaciones no actualizan constantemente los dispositivos de IoT una vez instalados. Además, muchos de ellos no pueden recibir parches para actualizar las configuraciones de seguridad”, continúa Olivier Marcen.

Como conclusión por parte de AIG, las empresas tienen que mostrarse proactivas a la hora de asegurarse de que cualquier dispositivo del IoT se instala y actualiza correctamente para disminuir su vulnerabilidad.

Estas son las recomendaciones que la compañía ofrece:

1. Realizar un inventario de todo el uso que se hace del IoT para conocer mejor el alcance de su vulnerabilidad.
2. Si la plataforma del IoT viene con una ID y una contraseña por defecto, modificarlas, porque los atacantes conocen estas plataformas y sus configuraciones por defecto.
3. Utilizar una contraseña segura con un mínimo de ocho caracteres, al menos un número, una letra y una mayúscula, y al menos un signo de puntuación (si la configuración lo permite).
4. Cambiar periódicamente las contraseñas sin disminuir su nivel de complejidad, y no utilizar localidades, nombres y otra información del usuario fácilmente reconocible.
5. Poner en práctica un programa puntual de parches con carácter periódico y permitir que se ejecuten actualizaciones y parches automáticos en caso de que la plataforma del IoT lo permita.
6. Desactivar las funciones generales y de administración remota innecesarias.
7. No permitir acceder sin filtros a los dispositivos desde Internet, sino permitir únicamente aquellas conexiones seguras a través de filtrados IPs u otros controles de seguridad.
8. No permitir la conectividad universal plug and play para los dispositivos del IoT.
9. Utilizar protocolos seguros siempre que sea posible, como HTTPS y SSH, para las comunidades de los dispositivos.
10. Incluir los dispositivos del IoT en los programas periódicos de gestión de vulnerabilidades.

En opinión de Carlos Rodríguez, cyberedge product leader del departamento de líneas financieras de AIG, “cuando una organización o sus empleados sufran un ciberataque han de saber que no solo está en riesgo la información sino que, en un entorno en constante cambio, un ataque informático o una filtración de información puede causar importantes daños materiales y pérdidas de beneficios, además de graves perjuicios a los clientes. De ahí que en AIG prestemos a nuestros clientes desde hace mucho tiempo servicios proactivos de riesgos, cobertura aseguradora integral y equipos de respuesta y tramitación de siniestros a medida de sus exposiciones a los ciberriesgos”.