La seguridad de TI (abreviatura de seguridad de la tecnología de la información) es la práctica de proteger los activos de TI de una organización (sistemas informáticos, redes, dispositivos digitales, datos) del acceso no autorizado, vulneraciones de datos, ataques cibernéticos y otras actividades maliciosas.
El alcance de la seguridad de TI es amplio y, a menudo, implica una combinación de tecnologías y soluciones de seguridad que trabajan juntas para abordar las vulnerabilidades en dispositivos digitales, redes informáticas, servidores, bases de datos y aplicaciones de software. Los ejemplos más citados de seguridad de TI incluyen disciplinas de seguridad digital como seguridad de endpoints, seguridad en la nube, seguridad de red y seguridad de aplicaciones. Pero la seguridad de TI también incluye medidas de seguridad físicas, por ejemplo, cerraduras, tarjetas de identificación, cámaras de vigilancia, necesarias para proteger los edificios y dispositivos que albergan datos y activos de TI.
La seguridad de TI a menudo se confunde con la ciberseguridad, una disciplina más estrecha que es técnicamente un subconjunto de la seguridad de TI. Mientras que la ciberseguridad se centra principalmente en proteger a las organizaciones de los ataques digitales, como el ransomware, el malware y las estafas de phishing, la seguridad de TI presta servicios a toda la infraestructura técnica de una organización, incluidos los sistemas de hardware, las aplicaciones de software y los endpoints, como los ordenadores portátiles y los dispositivos móviles, así como la red de la empresa y sus diversos componentes, como los centros de datos físicos y basados en la nube.
Tome el control de la ciberresiliencia de su organización con las acciones recomendadas de IBM Security®.
Los ataques cibernéticos y los incidentes de seguridad pueden cobrarse un precio enorme, medido en pérdida de negocios, reputación dañada, multas regulatorias y, en algunos casos, extorsión y activos robados.
Por ejemplo, el informe Cost of a Data Breach 2023 de IBM estudió más de 550 empresas que sufrieron una vulneración de datos entre marzo de 2022 y marzo de 2023. El coste medio de una filtración de datos para esas empresas fue de 4,45 millones de dólares, un 2,3% más que los resultados de un estudio similar realizado un año antes, y un 15,3% más que en un estudio de 2020. Los factores que contribuyen al coste incluyen todo, desde notificar a clientes, ejecutivos y reguladores hasta multas regulatorias, ingresos perdidos durante el tiempo de inactividad y clientes perdidos de forma permanente.
Algunos incidentes de seguridad son más costosos que otros. Los ataques de ransomware cifran los datos de una organización, inutilizando los sistemas, y exigen el pago de un costoso rescate por una clave de descifrado para desbloquear los datos; cada vez más, exigen un segundo rescate para evitar compartir datos sensibles con el público u otros ciberdelincuentes. Según la Guía definitiva de seguridad sobre ransomware 2023 de IBM, las demandas de rescate han aumentado a importes de 7 y 8 cifras y, en casos extremos, han llegado a 80 millones de dólares.
Como era de esperar, las inversiones en seguridad de TI siguen aumentando. El analista del sector Gartner predice que, en 2023, las organizaciones gastarán 188 300 millones de dólares en recursos y servicios de seguridad de la información y gestión de riesgos, y que el mercado seguirá aumentando en los próximos años y generará casi 262 000 millones de dólares en 2026, tras su tasa de crecimiento anual compuesta del 11 por ciento desde 2021.1
La seguridad en la nube aborda las ciberamenazas externas e internas a la infraestructura, las aplicaciones y los datos basados en la nube de una organización. La seguridad en la nube funciona según el modelo de responsabilidad compartida: en términos generales, el proveedor de servicios en la nube (CSP) es responsable de proteger la infraestructura con la que ofrece servicios en la nube, y el cliente es responsable de proteger lo que se ejecuta en esa infraestructura. Dicho esto, los detalles de esa responsabilidad compartida varían según el servicio en la nube.
La endpoint security protege a los usuarios finales y los dispositivos de endpoint, como ordenadores de sobremesa, portátiles, teléfonos móviles y servidores, contra los ciberataques. La endpoint security también protege las redes contra ciberdelincuentes que intentan utilizar dispositivos de endpoints para lanzar ciberataques en sus datos confidenciales y otros activos.
Tiene tres objetivos principales: impedir el acceso no autorizado a los recursos de la red, detectar y neutralizar los ciberataques y las violaciones de la seguridad en tiempo real, y garantizar que los usuarios autorizados tengan un acceso seguro a los recursos de la red que necesitan cuando necesitan.
La seguridad de las aplicaciones se refiere a las medidas que toman los desarrolladores al crear una aplicación para abordar posibles vulnerabilidades y proteger los datos de los clientes y su propio código contra robos, filtraciones o compromisos.
La seguridad de Internet protege los datos y la información confidencial transmitidos, almacenados o procesados por navegadores o aplicaciones. La seguridad de Internet implica una variedad de prácticas y tecnologías de seguridad que monitorean el tráfico entrante de Internet en busca de malware y otro contenido malicioso. Las tecnologías en esta área incluyen mecanismos de autenticación, puertas de enlace web, protocolos de cifrado y, sobre todo, cortafuegos.
La seguridad del Internet de las cosas (IoT) se centra en prevenir los sensores y dispositivos conectados a Internet, p. ej. cámaras con timbre, electrodomésticos inteligentes, automóviles modernos, de ser controlados por piratas informáticos o utilizados por piratas informáticos para infiltrarse en la red de una organización. La seguridad de la tecnología operativa (OT) se centra más específicamente en los dispositivos conectados que supervisan o controlan los procesos dentro de una empresa, por ejemplo, los sensores de una línea de ensamblaje automatizada.
Toda organización es susceptible a ciberamenazas desde dentro y fuera de sus organizaciones. Estas amenazas pueden ser intencionales, como ocurre con los ciberdelincuentes, o no intencionales, como con los empleados o contratistas que accidentalmente hacen clic en enlaces maliciosos o descargan malware.
La seguridad de TI tiene como objetivo abordar esta amplia gama de riesgos de seguridad y tener en cuenta todo tipo de agentes de amenazas y sus diferentes motivaciones, tácticas y niveles de habilidad.
El malware es un software malicioso que puede hacer que los sistemas infectados no funcionen, destruyan datos, roben información e incluso eliminen archivos cruciales para el sistema operativo.
Los tipos de malware más conocidos incluyen:
El ransomware es un malware que bloquea los datos o el dispositivo de una víctima y amenaza con mantenerlo bloqueado, o algo peor, a menos que la víctima pague un rescate al atacante. Según el IBM Security X-Force X-Intelligence Index 2023, los ataques de ransomware representaron el 17 por ciento de todos los ciberataques en 2022.
Un troyano es un malware que engaña a las personas para que lo descarguen disfrazándose de programas útiles u ocultándose dentro de un software legítimo. Un troyano de acceso remoto (RAT) crea una puerta trasera secreta en el dispositivo de la víctima, mientras que un troyano cuentagotas instala un programa malicioso una vez que logra establecerse.
El spyware recopila en secreto información confidencial, como nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos personales, y la transmite al hacker.
Un gusano es un malware autorreplicante que puede propagarse automáticamente entre aplicaciones y dispositivos.
La ingeniería social ", que con frecuencia se denomina hackeo humano ", manipula a las víctimas para que tomen medidas que exponen información confidencial, comprometen la seguridad de su organización o amenazan el bienestar financiero de su organización.
El phishing es el tipo de ataque de ingeniería social más conocido y generalizado. Los ataques de phishing utilizan correos electrónicos, mensajes de texto o llamadas telefónicas fraudulentos para engañar a las personas para que compartan datos personales o credenciales de acceso, descarguen malware, envíen dinero a los ciberdelincuentes o realicen otras acciones que puedan exponerlos a delitos cibernéticos. Los tipos especiales de phishing incluyen:
Spear phishing: ataques de phishing altamente dirigidos que manipulan a un individuo específico, a menudo utilizando detalles de los perfiles públicos de redes sociales de la víctima para hacer que la artimaña sea más convincente.
Whale phishing: phishing dirigido a ejecutivos corporativos o personas adineradas.
Compromiso de correo electrónico empresarial (BEC): estafas en las que los ciberdelincuentes se hacen pasar por ejecutivos, proveedores o socios comerciales de confianza para engañar a las víctimas para que envíen dinero o compartan datos confidenciales.
Otra táctica de ingeniería social, tailgaiting, es menos técnica, pero no por ello menos peligrosa para la seguridad de TI: consiste en seguir a una persona con acceso físico a un centro de datos (por ejemplo, a alguien con un carnet de identidad) y, literalmente, colarse detrás de ella antes de que se cierre la puerta.
Un ataque DoS satura un sitio web, aplicación o sistema con volúmenes de tráfico fraudulento, haciéndolo demasiado lento para su uso o totalmente inaccesible para los usuarios legítimos. Un ataque de denegación de servicio distribuido (DDoS) utiliza una red de dispositivos conectados a Internet e infectados con malware -denominada botnet- para paralizar o bloquear la aplicación o el sistema objetivo.
Una ventaja de explotación de día cero de una falla de seguridad desconocida o aún no resuelta en el software, el hardware o el firmware del ordenador. El término "día cero" hace referencia al hecho de que el proveedor de software o dispositivos dispone de un total de cero días, es decir, que no dispone de tiempo alguno para corregir el fallo, ya que los agentes maliciosos pueden utilizarlo para acceder a los sistemas vulnerables.
Las amenazas internas provienen de empleados, socios y otros usuarios con acceso autorizado a la red. Ya sean involuntarias (por ejemplo, un proveedor externo engañado para lanzar malware) o maliciosas (por ejemplo, un empleado descontento decidido a vengarse), las amenazas internas pueden tener graves consecuencias. Un informe reciente de Verizon (el enlace se encuentra fuera de ibm.com) revela que, mientras que la amenaza externa media compromete alrededor de 200 millones de registros, las amenazas que implican a un actor interno han expuesto hasta 1.000 millones de registros.
En un ataque MITM, un ciberdelincuente escucha a escondidas una conexión de red e intercepta y retransmite mensajes entre dos partes para robar datos. Las redes Wi-Fi no seguras son un lugar perfecto para los hackers que lanzan ataques MITM.
A medida que las amenazas de ciberseguridad continúan aumentando en ferocidad y complejidad, las organizaciones están implementando estrategias de seguridad de TI que combinan una variedad de sistemas, programas y tecnologías de seguridad.
Supervisadas por equipos de seguridad experimentados, estas prácticas y tecnologías de seguridad de TI pueden ayudar a proteger toda la infraestructura de TI de una organización y evitar o mitigar el impacto de los ciberataques conocidos y desconocidos.
Debido a que muchos ataques cibernéticos, como los de phishing, aprovechan las vulnerabilidades humanas, la formación de los empleados se ha convertido en una importante línea de defensa contra las amenazas internas.
La formación en concienciación sobre seguridad enseña a los empleados a reconocer las amenazas a la seguridad y a utilizar hábitos seguros en el lugar de trabajo. Entre los temas que suelen tratarse figuran la concienciación sobre la suplantación de identidad, la seguridad de las contraseñas, la importancia de actualizar periódicamente el software y cuestiones de privacidad, como la protección de los datos de los clientes y otra información sensible.
La autenticación multifactor requiere una o más credenciales, además de un nombre de usuario y una contraseña. Implementar la autenticación multifactor puede impedir que un hacker acceda a aplicaciones o datos de la red, incluso si el hacker puede robar u obtener el nombre de usuario y la contraseña legítimos de un usuario. La autenticación multifactor es fundamental para las organizaciones que utilizan el Single Sign On, lo que permite a los usuarios iniciar sesión una vez y acceder a varias aplicaciones y servicios relacionados durante esa sesión sin iniciar sesión de nuevo.
La respuesta a incidentes, a veces denominada respuesta a incidentes de ciberseguridad, se refiere a los procesos y tecnologías de una organización para detectar y responder a ciberamenazas, violaciones de seguridad y ciberataques. El objetivo de la respuesta a incidentes es prevenir los ciberataques antes de que ocurran y minimizar el costo y la interrupción del negocio resultantes de cualquier ataque cibernético que ocurra.
Muchas organizaciones crean un plan formal de respuesta a incidentes (IRP) que define los procesos y el software de seguridad (ver a continuación) que utilizan para identificar, contener y resolver diferentes tipos de ciberataques. Según el informe Cost of a Data Breach 2023, en organizaciones que crean y prueban regularmente un IRP formal, el coste de una filtración de datos fue de 232 008 USD inferior al promedio (4,45 millones de USD).
No hay una única herramienta de seguridad que puede prevenir todos los ataques cibernéticos. Aun así, varias herramientas pueden contribuir a mitigar los riesgos cibernéticos, prevenir los ciberataques y minimizar los daños en caso de que se produzca un ataque.
El software de seguridad habitual que ayuda a detectar y desviar los ciberataques incluye:
Herramientas de seguridad del correo electrónico, como software antiphishing basado en inteligencia artificial, filtros antispam y pasarelas de correo electrónico seguras.
Software antivirus para neutralizar el software espía o el malware que los atacantes pueden utilizar para atacar la seguridad de la red para realizar investigaciones, escuchar conversaciones o apoderarse de cuentas de correo electrónico.
Los parches de sistemas y software informáticos para corregir vulnerabilidades técnicas comúnmente explotadas por los ciberdelincuentes
Pasarelas web seguras y otras herramientas de filtrado web para bloquear sitios web maliciosos a menudo vinculados a correos electrónicos de phishing
Las soluciones de detección y respuesta a amenazas utilizan análisis, inteligencia artificial (IA) y automatización para ayudar a los equipos de seguridad a detectar amenazas conocidas y actividades sospechosas, y tomar medidas para eliminar la amenaza o minimizar su impacto. Estas tecnologías incluyen la orquestación, automatización y respuesta de la seguridad (SOAR), la gestión de incidentes y eventos de seguridad (SIEM), la detección y respuesta de endpoints (EDR), la detección y respuesta a redes (NDR) y la detección y respuesta ampliadas (XDR).
La seguridad ofensiva, u "OffSec", se refiere a una variedad de estrategias de seguridad proactivas que utilizan tácticas adversas (las mismas tácticas que los agentes maliciosos usan en ataques del mundo real) para fortalecer la seguridad de la red en lugar de comprometerla.
Las operaciones de seguridad ofensivas suelen correr a cargo de hackers éticos, profesionales de la ciberseguridad que utilizan sus conocimientos para detectar y corregir fallos en los sistemas informáticos. Los métodos de seguridad ofensivos más comunes incluyen:
Análisis de vulnerabilidades: utiliza las mismas herramientas que utilizan los ciberdelincuentes para detectar e identificar fallos y debilidades de seguridad explotables en la infraestructura y las aplicaciones de TI de una organización.
Pruebas de penetraciónEl lanzamiento de un ciberataque simulado para descubrir vulnerabilidades y debilidades de los sistemas informáticos, flujos de trabajo de respuesta y conciencia de seguridad de los usuarios. Algunas regulaciones de privacidad de datos, como el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS), se especializan en mensajes de texto de penetración regular como requisito de cumplimiento.
Red Teaming: autoriza a un equipo de hackers éticos a lanzar un ciberataque simulado y orientado a objetivos contra la organización.
La seguridad ofensiva complementa el software de seguridad y otras medidas de seguridad defensiva: descubre vías de ciberataque desconocidas, o vectores, que otras medidas de seguridad podrían pasar por alto, y proporciona información que los equipos de seguridad pueden utilizar para reforzar sus medidas de seguridad defensiva.
Dada su importante superposición, los términos "seguridad de TI", "seguridad de la información" y "ciberseguridad" se utilizan a menudo (y por error) indistintamente. Difieren principalmente en el alcance.
- La seguridad de la información es la protección de los archivos y datos digitales de una organización, los documentos en papel, los medios físicos e incluso el discurso humano contra el acceso, la divulgación, el uso o la alteración no autorizados. La seguridad de la información tiene el alcance más amplio de los tres: al igual que la seguridad de TI, se ocupa de proteger los activos físicos de TI y los centros de datos, pero también se ocupa de la seguridad física de las instalaciones para almacenar archivos en papel y otros medios.
- La ciberseguridad se centra en la protección de los datos y activos digitales frente a las ciberamenazas: acciones malintencionadas de agentes externos e internos y amenazas accidentales planteadas por personas internas descuidadas. Aunque se trata de una empresa enorme, la ciberseguridad tiene el alcance más limitado de las tres, ya que no se ocupa de la protección de datos en papel o analógicos.
Proteja los endpoints de los ciberataques, detecte comportamientos anómalos y corríjalos prácticamente en tiempo real con una automatización inteligente fácil de usar que apenas requiere interacción humana.
Proteja su infraestructura y red de sofisticadas amenazas de ciberseguridad con experiencia comprobada en seguridad y soluciones modernas para la detección y prevención de intrusiones, la gestión de la seguridad de los endpoints y mucho más.
Proteja toda su red contra amenazas avanzadas y malware, con soluciones de seguridad de red de próxima generación que reconocen de manera inteligente incluso las amenazas desconocidas y se adaptan para prevenirlas en tiempo real.
Prepárese mejor para las vulneraciones comprendiendo sus causas y los factores que aumentan o reducen los costes. Conozca las experiencias de más de 550 organizaciones afectadas por una vulneración de datos.
SIEM (información de seguridad y gestión de eventos) es un software que ayuda a las organizaciones a reconocer y abordar posibles amenazas y vulnerabilidades de seguridad antes de que puedan interrumpir las operaciones empresariales.
Conozca las amenazas para acabar con ellas: obtenga información práctica que le ayude a comprender cómo los actores de las amenazas están llevando a cabo los ataques y cómo proteger de forma proactiva a su organización.
Notas a pie de página
1El gasto en ciberseguridad está en camino de superar los 260 mil millones de dólares para 2026 (el enlace reside fuera de ibm.com), Cybersecurity Dive, 16 de octubre de 2022