4 dic. 2023
Ciberseguridad para organizaciones sin fines de lucro: por qué es hora de acabar con la brecha
Hoy, las organizaciones sin fines de lucro se enfrentan a desafíos de ciberseguridad sin precedentes. Esto es lo que revelan las últimas investigaciones sobre el panorama de las amenazas, así como lo que las organizaciones sin fines de lucro pueden hacer para proteger sus misiones.
Cada vez es más difícil para las organizaciones sin fines de lucro ignorar la brecha tecnológica. Los costos resultantes de las vulnerabilidades, los periodos de inactividad y las interrupciones pueden ser graves, tanto para la organización como para su misión. Desde la confianza de los donantes hasta la capacidad de brindar servicios críticos, todo depende de la madurez digital de una organización sin fines de lucro.
La ciberseguridad sigue siendo un área clave de mejora: en Estados Unidos, casi la mitad de las organizaciones sin fines de lucro han experimentado una brecha de seguridad los últimos 12 meses. Sin embargo, aunque el 74 % de las organizaciones sin fines de lucro considera que la transformación digital es una necesidad de alto nivel, solo el 12 % ha realizado cambios con los que obtuvieron una puntuación alta en el Índice de Madurez Digital de las Organizaciones Sin Fines de Lucro.
Aún así, como se puede notar, la mayoría de las organizaciones sin fines de lucro todavía no han invertido de manera adecuada en preparación y prevención.
Por qué las organizaciones sin fines de lucro no pueden descuidar la ciberseguridad
El gran volumen de ataques en el sector sin fines de lucro es parte de una evolución más amplia del panorama de las amenazas. Un análisis exhaustivo de billones de señales realizado por Microsoft descubrió que se bloquearon más de 4000 ataques de autenticación de identidad cada segundo en el 2023.
El mismo informe señala el aumento significativo del hacktivismo y los ataques de actores Estado-nación, ambos de los cuales tienden a dirigirse al sector de las ONG / sin fines de lucro. De hecho, las ONG representan el 17 % de los sectores industriales atacados por agentes estatales.
Persistencia de las amenazas comunes a la ciberseguridad de las organizaciones sin fines de lucro
Dejando a un lado el hacktivismo y los ataques de Estados-nación, las organizaciones sin fines de lucro se enfrentan a una serie de amenazas comunes pero graves. Tal vez debido a la prevalencia de sistemas sin parches y al uso de proveedores externos, las organizaciones sin fines de lucro siguen siendo vulnerables a la exposición, las violaciones de seguridad y el robo de datos.
Analicemos las cuatro amenazas más comunes a la ciberseguridad de las organizaciones sin fines de lucro:
Phishing
Se trata de una forma de estafa que convence a personas desprevenidas a divulgar información confidencial. Los estafadores utilizan correos electrónicos, sitios web y otros mensajes maliciosos para incitar a los destinatarios a compartir contraseñas o información de cuentas. Un ataque de phishing exitoso puede causar la pérdida de datos, interrupciones operativas y graves daños a la reputación.
Los ataques de phishing se aprovechan de la psicología humana y crean confusión. Los ciberdelincuentes se aprovechan de esta confusión para obtener acceso no autorizado a datos privados o causar estragos en el mundo digital.
En el 2021, Nobelium consiguió acceder a la cuenta de Constant Contact de USAID. El grupo utilizó este acceso para lanzar un ataque de phishing generalizado, con agencias gubernamentales y organizaciones no gubernamentales entre sus objetivos principales.
Secuestro de datos
El secuestro de datos se infiltra en los sistemas informáticos y retiene archivos y datos como rehenes, normalmente exigiendo el pago de un rescate a cambio de una clave de descifrado. Dada la naturaleza de los ataques de secuestros de datos, el costo puede ser considerable.
El secuestro de datos puede dejar a las empresas incapacitadas, detener operaciones y exponer información sensible. Desde una perspectiva financiera, el costo promedio de un ataque de secuestro de datos fue de más de 4,5 millones de dólares en el 2022. En el 2020, Save the Children (una organización sin fines de lucro) fue víctima de la brecha de seguridad de Blackbaud, una brecha de datos de secuestro de datos a gran escala.
Programas espía
Los delincuentes utilizan programas espía para espiar, rastrear e informar sobre las actividades en línea sin el conocimiento de sus víctimas. A menudo, los programas espía se "infiltran" en descargas o archivos adjuntos aparentemente inofensivos, antes de vigilar sigilosamente las pulsaciones del teclado, los hábitos de navegación y otras actividades. El resultado puede ser la pérdida de información confidencial, el fraude e incluso el chantaje.
Recientemente, ESET Research detalló cómo un grupo de ciberdelincuentes conocido como Evasive Panda utilizó un programa espía para atacar a una ONG internacional en China y luego espiar a los usuarios de cierto software chino.
Ataques DDoS
Un ataque DDoS (denegación de servicio distribuido) está diseñado para saturar y paralizar servicios en línea o sitios web inundándolos con una avalancha de tráfico procedente de una red de computadoras comprometidas. Los ataques DDoS pueden ser masivos y sostenidos y a menudo utilizan una legión de dispositivos secuestrados (conocidos como botnet) para amplificar el ataque.
Para una organización sin fines de lucro con una infraestructura de ciberseguridad débil o inadecuada, un ataque DDoS puede interrumpir por completo las operaciones digitales. En un ejemplo reciente más descarado, jáquers rusos utilizaron un ataque DDoS contra el sitio web de la OTAN, que inhabilitó a la organización para proporcionar ayuda a Siria y Turquía tras el terremoto.
El costo cualitativo de la ciberseguridad
La ciberseguridad puede afectar a todos los aspectos de una organización sin fines de lucro. Esto incluye la reputación. ¿Querrán los donantes trabajar con organizaciones que no pueden mantener sus datos seguros? Si no pueden confiar en que una organización proteja la información sensible, ¿por qué deberían confiarle una donación o una asociación?
Hablando de recaudación de fondos, las interrupciones causadas por los problemas de ciberseguridad pueden afectar de manera directa la capacidad de una organización para realizar actividades de recaudación de fondos. Por ejemplo, si el sitio web o el software CRM se caen por un ataque DDoS, los esfuerzos de recaudación de fondos podrían verse afectados.
Por un lado, los propios problemas técnicos resultantes podrían inhibir los procesos clave de recaudación de fondos (difusión, procesamiento de pagos, etc.). Por otro lado, los donantes podrían tener dudas a la hora de financiar organizaciones que tienden a sufrir ciberataques o que no pueden proteger datos confidenciales. Por supuesto, alcanzar la madurez digital y, por extensión, reforzar la postura de ciberseguridad tiene sus ventajas. Las organizaciones sin fines de lucro con madurez digital son:
- 1,9 veces más propensas a haber experimentado mejoras en su eficiencia o en el impacto de su misión
- 3,5 veces más probabilidades de contar con empleados motivados
- 1,7 veces más probabilidades de tener una cultura saludable en el lugar de trabajo
- 1,3 veces más probabilidades de tener niveles más bajos de agotamiento del personal
Obstáculos para la adopción de la ciberseguridad en las organizaciones sin fines de lucro
Hemos mencionado brevemente la falta de recursos, financiación y capacidad que puede inhibir a múltiples organizaciones sin fines de lucro. Estos y otros factores tienden a obstaculizar el camino hacia una infraestructura de ciberseguridad más sólida:
Financiación y participación de la junta directiva inadecuadas
La recaudación de fondos y la asignación de los fondos disponibles es una actividad diaria para cualquier organización sin fines de lucro. Para muchas, incluso para las que comprenden su importancia, la ciberseguridad no siempre es una prioridad. Dos tercios de las organizaciones sin fines de lucro encuestadas por NetHope (el 66 %) informaron que sus programas de ciberseguridad carecen de fondos suficientes. Y el 34 % no involucra a su junta directiva en el tema o solo lo hace en respuesta a una necesidad urgente.
Falta de tiempo y recursos en el día a día
En las organizaciones sin fines de lucro que ya cuentan con escasos recursos, la ciberseguridad a menudo pasa a un segundo plano. Por ejemplo, sabemos que las evaluaciones de riesgos cibernéticos pueden revelar importantes áreas de mejora, mejoras que pueden marcar una gran diferencia. Lamentablemente, el 43 % de las organizaciones sin fines de lucro afirman que el tiempo de dedicación necesario les impide llevar a cabo una evaluación de este tipo. Otro 40 % afirma que, en primer lugar, no dispone del personal necesario para realizar la evaluación.
Falta de adhesión a las mejores prácticas de ciberseguridad
Sin ni siquiera la capacidad de realizar una evaluación de riesgos, no sorprende que muchas organizaciones, incluidas las sin fines de lucro, no se adhieran ni siquiera a las mejores prácticas básicas de seguridad. Un análisis de los compromisos de respuesta al secuestro de datos de Microsoft descubrió que las "operaciones de seguridad de baja madurez" estaban presentes en el 62 % y que estaban caracterizadas por "operaciones de seguridad ineficientes y una protección de datos limitada".
Sin embargo, el mismo análisis descubrió que "más del 80 % de los incidentes de seguridad se pueden atribuir a unos pocos elementos ausentes que podrían abordarse mediante enfoques de seguridad modernos" y que "la higiene básica de la seguridad sigue protegiendo contra el 98 % de los ataques".
Buenas prácticas de ciberseguridad para las ONG
A pesar de los persistentes fallos en ciberseguridad, las organizaciones sin fines de lucro pueden lograr avances significativos simplemente siguiendo algunas buenas prácticas. Lo primero y más importante es establecer buenas prácticas básicas de ciberseguridad, como la autenticación de múltiples factores, la aplicación de parches en el software y la capacitación para concientizar al personal. En su encuesta anual sobre violaciones de la ciberseguridad, el gobierno británico destaca cuatro aspectos críticos de la llamada “ciberhigiene”:
- El establecimiento de políticas de contraseñas
- El uso de cortafuegos de red
- La restricción de los derechos de administrador
- El uso de políticas para aplicar actualizaciones de seguridad del software
Pero las organizaciones sin fines de lucro deben ir más allá de las simples buenas prácticas si quieren alcanzar la madurez digital. Esto incluye presupuestar estratégicamente la ciberseguridad en función del riesgo conocido, el panorama competitivo y la evolución de las necesidades. Consulta Cybersecurity for Nonprofits (ciberseguridad para organizaciones sin fines de lucro) del National Council for Nonprofits (Consejo Nacional de Organizaciones sin Fines de Lucro) para obtener una lista ampliada de herramientas de evaluación, las mejores prácticas del GDPR y otros recursos importantes.
Este esfuerzo debe coincidir con la implementación de un marco de ciberseguridad, como el Marco de Ciberseguridad del NIST (Instituto Nacional de Estándares y Tecnología) o los Controles Críticos de Seguridad del CIS (Centro para la Seguridad en Internet). Consulta también la lista Known Exploited Vulnerabilities (KEV – Vulnerabilidades Conocidas Explotadas) de CISA, una solución de registro gratuita y abierta (consulta el catálogo completo de KEV aquí).
Por último, considera la posibilidad de implementar una solución de detección y respuesta a amenazas a un precio especial para ONG. Estas soluciones son capaces de detectar de manera automática las amenazas en todos los puntos finales, aplicar sólidas políticas de seguridad y aislar los dispositivos comprometidos. Junto con la gestión remota, podrás gestionar las actualizaciones y la gestión de parches en un solo lugar, entre otras buenas prácticas de ciberseguridad para organizaciones sin fines de lucro.
¿Quieres saber cómo puedes proteger tu organización sin fines de lucro con seguridad de nivel corporativo?
Para obtener un descuento exclusivo, habla hoy mismo con un experto de TeamViewer.