La seguridad informática (abreviada para la seguridad de la tecnología de la información) es la práctica de proteger los sistemas informáticos, redes, dispositivos digitales, datos de acceso no autorizado, filtraciones de datos, ataques cibernéticos y otras actividades maliciosas.
El alcance de la seguridad informática es amplio y, a menudo, implica una combinación de tecnologías y soluciones de seguridad que trabajan juntas para abordar las vulnerabilidades en dispositivos digitales, redes informáticas, servidores, bases de datos y aplicaciones de software. Los ejemplos más citados de seguridad informática incluyen disciplinas de seguridad digital, como seguridad de endpoints, seguridad en la nube, seguridad de red y seguridad de aplicaciones. Pero la seguridad informática también incluye medidas de seguridad físicas, por ejemplo, cerraduras, tarjetas de identificación, cámaras de vigilancia, necesarias para proteger los edificios y dispositivos que albergan datos y activos informáticos.
La seguridad informática a menudo se confunde con la seguridad cibernética, una disciplina más estrecha que es técnicamente un subconjunto de seguridad informática. Mientras que la seguridad cibernética se centra principalmente en proteger a las organizaciones de los ataques digitales, como el ransomware, el malware y las estafas de phishing, la seguridad informática presta servicios a toda la infraestructura técnica de una organización, incluyendo los sistemas de hardware, las aplicaciones de software y los puntos finales, como los computadoras portátiles y los dispositivos móviles, así como la red de la empresa y sus diversos componentes, como los centros de datos físicos y basados en la nube.
Tome el control de la resiliencia cibernética de su organización con las acciones recomendadas de IBM Security®.
Los ataques cibernéticos y los incidentes de seguridad pueden cobrarse un precio enorme medido en pérdidas de negocio, reputación dañada, multas reglamentarias y, en algunos casos, extorsión y robo de activos.
Por ejemplo, el reporte Costo de una filtración de datos 2023 de IBM estudió más de 550 empresas que sufrieron una violación de datos entre marzo de 2022 y marzo de 2022. El costo medio de una filtración de datos para esas empresas fue de 4.45 millones de dólares, un 2.3% más que los resultados de un estudio similar realizado un año antes, y un 15.3% más que en un estudio de 2020. Los factores que contribuyen al costo incluyen todo, desde notificar a clientes, ejecutivos y reguladores hasta multas regulatorias, ingresos perdidos durante el tiempo de inactividad y clientes perdidos permanentemente.
Algunos incidentes de seguridad son más costosos que otros. Los ataques de ransomware cifran los datos de una organización, hacen que los sistemas sean inutilizables y exigen un costoso pago de rescate por una clave de descifrado para desbloquear los datos; cada vez más, exigen un segundo rescate para evitar compartir datos confidenciales con el público u otros delincuentes cibernéticos. Según la IBM Security Definitive Guide to Ransomware 2023, las demandas de rescate han aumentado a cantidades de 7 y 8 cifras, y en casos extremos han sido tan altas como 80 millones de dólares.
Como era de esperar, las inversiones en seguridad informática siguen aumentando. El analista de la industria Gartner predice que en 2023 las organizaciones gastarán 188.3 mil millones de dólares en recursos y servicios de seguridad informática y administración de riesgos, y el mercado seguirá creciendo en los próximos años, generando casi 262 mil millones de dólares para 2026, tras su tasa de crecimiento anual compuesta de 11 por ciento a partir de 2021.1
La seguridad en la nube aborda las amenazas cibernéticas externas e internas a la infraestructura, las aplicaciones y los datos basados en la nube de una organización. La seguridad en la nube funciona en el modelo de responsabilidad compartida: En general, el proveedor de servicios en la nube (CSP) es responsable de proteger la infraestructura con la que brinda servicios en la nube y el cliente es responsable de proteger lo que se ejecute en esa infraestructura. Dicho esto, los detalles de esa responsabilidad compartida varían según el servicio en la nube.
La seguridad de endpoints protege a los usuarios finales y a los dispositivos de endpoints, como equipos de escritorio, portátiles, teléfonos celulares y servidores, contra ataques cibernéticos. La seguridad de los puntos finales también protege las redes contra los delincuentes cibernéticos que intentan utilizar los dispositivos de los puntos finales para lanzar ataques cibernéticos contra sus datos confidenciales y otros activos.
La seguridad de red tiene tres objetivos principales: evitar el acceso no autorizado a los recursos de red, detectar y detener los ataques cibernéticos y las violaciones de seguridad en tiempo real, y garantizar que los usuarios autorizados tengan acceso seguro a los recursos de red que necesitan cuando necesarios.
La seguridad de las aplicaciones se refiere a las medidas que toman los desarrolladores al crear una aplicación para abordar posibles vulnerabilidades y proteger los datos de los clientes y su propio código de ser robados, filtrados o comprometidos.
La seguridad de Internet protege los datos y la información confidencial transmitidos, almacenados o procesados por navegadores o aplicaciones. La seguridad de Internet implica una variedad de prácticas y tecnologías de seguridad que monitorean el tráfico entrante de Internet en busca de malware y otro contenido malicioso. Las tecnologías en esta área incluyen mecanismos de autenticación, puertas de enlace web, protocolos de cifrado y, sobre todo, cortafuegos.
La seguridad del Internet de las cosas (IoT) se centra en evitar que los sensores y dispositivos conectados a Internet, por ejemplo, cámaras de timbre, electrodomésticos inteligentes, automóviles modernos, sean controlados por piratas informáticos o utilizados por éstos para infiltrarse en la red de una organización. La seguridad de la tecnología operativa (OT) se centra más específicamente en los dispositivos conectados que supervisan o controlan los procesos dentro de una empresa, por ejemplo, los sensores de una línea de montaje automatizada.
Cada organización es susceptible a las amenazas cibernéticas desde dentro y fuera de sus organizaciones. Estas amenazas pueden ser intencionales, como con delincuentes cibernéticos o no intencionales, como con empleados o contratistas que hacen clic accidentalmente en vínculos maliciosos o descargan malware.
La seguridad informática tiene como objetivo abordar esta amplia gama de riesgos de seguridad y cuenta todos los tipos de actores de amenazas y sus diferentes motivaciones, tácticas y niveles de habilidades.
El malware es un software malicioso que puede generar sistemas infectados inoperables, destruir datos, robar información e incluso borrar archivos críticos para el sistema operativo.
Los tipos de malware más conocidos incluyen:
El ransomware es un malware que bloquea los datos o dispositivos de una víctima y amenaza con mantenerlos bloqueados, a menos que la víctima pague un rescate al atacante. Según IBM Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17% de todos los ciberataques en 2022.
Un caballo de Troya es un malware que engaña a las personas para que lo descarguen disfrazándose de programas útiles u ocultándose dentro de software legítimo. Un troyano de acceso remoto (RAT) crea una puerta trasera secreta en el dispositivo de la víctima, mientras que un dropper troyano instala malware adicional una vez que se ha afianzado.
El spyware recopila en secreto información confidencial, como nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos personales, y la transmite de vuelta al pirata informático.
Un gusano es un malware autoreplicante que puede propagarse automáticamente entre aplicaciones y dispositivos.
A menudo se le conoce como "piratería informática humana", la ingeniería social manipula a las víctimas para que tomen medidas que expongan información confidencial, pongan en peligro la seguridad de su organización o amenacen el bienestar financiero de su organización.
El phishing es el tipo de ataque de ingeniería social más conocido y generalizado. Los ataques de phishing utilizan correos electrónicos, mensajes de texto o llamadas telefónicas fraudulentos para engañar a las personas para que compartan datos personales o credenciales de acceso, descarguen malware, envíen dinero a los delincuentes cibernéticos o realicen otras acciones que puedan exponerlos a delitos cibernéticos. Los tipos especiales de phishing incluyen
Spear phishing: ataques de phishing altamente dirigidos que manipulan a un individuo específico, a menudo utilizando detalles de los perfiles públicos de las redes sociales de la víctima para hacer que la maniobra sea más convincente.
Whale phishing: phishing de lanzas dirigido a ejecutivos corporativos o personas adineradas.
Compromiso del correo electrónico empresarial (BEC): estafas en las que los delincuentes cibernéticos se hacen pasar por ejecutivos, proveedores o socios comerciales de confianza para engañar a las víctimas para que transfieran dinero o compartan datos confidenciales.
Otra táctica de ingeniería social, el tailgaiting, es menos técnica pero no menos una amenaza para la seguridad informática: implica seguir (o 'rastrear') a un individuo con acceso físico a un centro de datos (por ejemplo, alguien con una tarjeta de identificación) y literalmente colarse detrás de ellos antes de que se cierre la puerta.
Un ataque DoS satura un sitio web, aplicación o sistema con volúmenes de tráfico fraudulento, haciéndolo demasiado lento para su uso o totalmente inaccesible para los usuarios legítimos. Un ataque de denegación distribuida del servicio (DDoS) utiliza una red de dispositivos conectados a Internet e infectados con malware, denominado botnet, para paralizar o bloquear la aplicación o el sistema objetivo.
Una ventaja de explotación de día cero de una falla de seguridad desconocida o aún no resuelta en software, hardware o firmware de computadora. La expresión “día cero” hace referencia al hecho de que el proveedor de software o dispositivo no tiene días o tiempo para corregir la falla, ya que los actores maliciosos ya pueden usarlo para obtener acceso a sistemas vulnerables.
Las amenazas internas se originan de empleados, socios y otros usuarios con acceso autorizado a la red. Ya sea involuntarias (por ejemplo, un proveedor externo engañado para lanzar malware) o maliciosas (por ejemplo, un empleado descontento empeñado en vengarse), las amenazas internas tienen dientes. Un informe reciente de Verizon (el enlace se encuentra fuera de ibm.com) revela que si bien la amenaza externa promedio compromete alrededor de 200 millones de registros, las amenazas que involucran a un actor de amenazas internas han expuesto hasta mil millones de registros.
En un ataque MITM, un delincuente cibernético escucha a escondidas una conexión de red e intercepta y retransmite mensajes entre dos partes para robar datos. Las redes Wi-Fi no seguras son un coto de caza ideal para los piratas informáticos que lanzan ataques MITM.
A medida que las amenazas de seguridad cibernética continúan aumentando en ferocidad y complejidad, las organizaciones están implementando estrategias de seguridad informática que combinan una variedad de sistemas, programas y tecnologías de seguridad.
Supervisadas por equipos de seguridad experimentados, estas prácticas y tecnologías de seguridad informática pueden ayudar a proteger toda la infraestructura de TI de una organización y evitar o mitigar el impacto de los ataques cibernéticos conocidos y desconocidos.
Debido a que muchos ataques cibernéticos, como los ataques de phishing, explotan las vulnerabilidades humanas, la capacitación de los empleados se ha convertido en una importante línea de defensa contra las amenazas internas.
La formación de concienciación sobre seguridad enseña a los empleados a reconocer las amenazas a la seguridad y a utilizar hábitos seguros en el lugar de trabajo. Los temas que se cubren a menudo incluyen el reconocimiento de phishing, la seguridad de contraseñas, la importancia de ejecutar actualizaciones de software periódicas y problemas de privacidad, como la protección de los datos de los clientes y otra información confidencial.
La autenticación de factores múltiples requiere una o más credenciales además de un nombre de usuario y una contraseña. Implementar la autenticación de factores múltiples puede evitar que un pirata informático obtenga acceso a aplicaciones o datos en la red, incluso si el pirata informático puede robar u obtener el nombre de usuario y la contraseña de un usuario legítimo. La autenticación de factores múltiples es fundamental para las organizaciones que utilizan el inicio de sesión único, lo que permite a los usuarios iniciar sesión una vez y acceder a múltiples aplicaciones y servicios relacionados durante esa sesión sin volver a iniciar sesión.
Respuesta ante incidentes, a veces llamada respuesta ante incidentes de seguridad cibernética, se refiere a los procesos y tecnologías de una organización para detectar y responder a amenazas cibernéticas, violaciones de seguridad y ciberataques. El objetivo de la respuesta a incidentes es prevenir los ataques cibernéticos antes de que ocurran y minimizar el costo y la interrupción del negocio resultante de cualquier ataque cibernético que ocurra.
Muchas organizaciones crean un plan formal de respuesta ante incidentes (IRP) que define los procesos y el software de seguridad (ver a continuación) que utilizan para identificar, contener y resolver diferentes tipos de ataques cibernéticos. Según el informe Costo de incumplimiento de datos 2003, las organizaciones que crean y prueban regularmente un IRP formal, el costo de una filtración de datos fue de 232,008 dólares menos que el promedio (4.45 millones de dólares).
Ninguna herramienta de seguridad puede evitar los ataques cibernéticos por sí sola. Aun así, varias herramientas pueden contribuir a mitigar los riesgos cibernéticos, prevenir los ataques cibernéticos y minimizar los daños en caso de que se produzca un ataque.
El software de seguridad común para ayudar a detectar y desviar los ataques cibernéticos incluye:
Herramientas de seguridad del correo electrónico, como software antiphishing basado en IA, filtros antispam y pasarelas de correo electrónico seguras
Software antivirus para neutralizar spyware o malware que los atacantes podrían utilizar para atacar la seguridad de la red con el fin de realizar investigaciones, espiar conversaciones o hacerse con el control de cuentas de correo electrónico
Parches del sistema y del software para cerrar vulnerabilidades técnicas comúnmente explotadas por los piratas informáticos
Puertas de enlace web seguras y otras herramientas de filtrado web para bloquear sitios web maliciosos a menudo vinculados a correos electrónicos de phishing
Las soluciones de detección y respuesta a amenazas utilizan análisis, inteligencia artificial (IA) y automatización para ayudar a los equipos de seguridad a detectar amenazas conocidas y actividades sospechosas, y tomar medidas para eliminar la amenaza o minimizar su impacto. Estas tecnologías incluyen orquestación, automatización y respuesta de seguridad (SOAR), gestión de incidentes y eventos de seguridad (SIEM), detección y respuesta de endpoints (EDR), detección y respuesta de red (NDR) y detección y respuesta extendidas (XDR).
Las operaciones de seguridad ofensivas suelen ser llevadas a cabo a cabo por piratas informáticos éticos, profesionales de la seguridad cibernética que utilizan sus habilidades de piratería informática para encontrar y corregir fallas del sistema de TI. Los métodos comunes de seguridad ofensiva incluyen:
Escaneo de vulnerabilidades, utilizando las mismas herramientas que utilizan los delincuentes cibernéticos para detectar e identificar fallas y debilidades de seguridad explotables en la infraestructura y las aplicaciones de TI de una organización.
Las pruebas de penetración lanzan un ataque cibernético simulado para descubrir vulnerabilidades y debilitar los sistemas informáticos, los flujos de trabajo de respuesta y la conciencia de seguridad de los usuarios. Algunas regulaciones de privacidad de datos, como la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS), especifican mensajes de texto de penetración regulares como requisito de cumplimiento.
Red teaming: autoriza a un equipo de piratas informáticos éticos a lanzar un ataque cibernético simulado y orientado a objetivos a la organización.
La seguridad ofensiva complementa el software de seguridad y otras medidas de seguridad defensiva: descubre vías de ataque cibernético desconocidas, o vectores, que otras medidas de seguridad podrían pasar por alto, y proporciona información que los equipos de seguridad pueden utilizar para reforzar sus medidas de seguridad defensiva.
Dada su importante superposición, los términos "seguridad informática", "seguridad de la información" y "seguridad cibernética" se utilizan a menudo (y de manera errónea) indistintamente. Se diferencian principalmente en su alcance.
- La seguridad de la información es la protección de los archivos y datos digitales de una organización, documentos en papel, medios físicos e incluso el lenguaje humano contra el acceso no autorizado, la divulgación, el uso o la alteración. La seguridad de la información tiene el alcance más amplio de los tres: al igual que la seguridad informática, se ocupa de proteger los activos físicos de TI y los centros de datos, pero también se preocupa por la seguridad física de las instalaciones para almacenar archivos en papel y otros medios.
- La seguridad cibernética se centra en la protección de los datos y activos digitales frente a las amenazas cibernéticas: acciones malintencionadas de agentes externos e internos, y amenazas accidentales planteadas por personas internas descuidadas. Si bien una tarea enorme, la seguridad cibernética tiene el alcance más estrecho de los tres en que no se preocupa por la protección de los datos en papel o analógicos.
Proteja los endpoints de los ataques cibernéticos, detecte comportamientos anómalos y corríjalos casi en tiempo real con una automatización inteligente fácil de usar que apenas requiere interacción humana.
Proteja su infraestructura y red contra amenazas sofisticadas de seguridad cibernética con experiencia probada en seguridad y soluciones modernas para detección y prevención de intrusiones, administración de seguridad endpoints y más.
Proteja toda su red contra amenazas avanzadas y malware, con soluciones de seguridad de red de última generación que reconocen de manera inteligente incluso las amenazas desconocidas y se adaptan para prevenirlas en tiempo real.
Al comprender las causas y los factores que aumentan o reducen los costos de las filtraciones, usted estará mejor preparado para enfrentarlas. Aprenda de las experiencias de más de 550 organizaciones que se vieron afectadas por una filtración de datos.
SIEM (gestión de eventos e información de seguridad) es un software que ayuda a las organizaciones a reconocer y abordar posibles amenazas y vulnerabilidades de seguridad antes de que puedan interrumpir las operaciones comerciales.
Conozca la amenaza para vencerla: obtenga información práctica que le ayude a comprender cómo los actores de las amenazas están llevando a cabo los ataques y cómo proteger de forma proactiva a su organización.
Notas de pie de página
1El gasto en seguridad cibernética está en camino de superar los 260 mil millones de dólares para 2026 (el enlace se encuentra fuera de ibm.com), Cybersecurity Dive, 16 de octubre de 2022