Esta es la palabra que todos deben conocer para proteger los datos de cualquier empresa: averígualo

La protección de los datos empresariales enfrenta un momento crucial debido al uso creciente de la inteligencia artificial por parte de los ciberdelincuentes, quienes aprovechan las vulnerabilidades de seguridad para perpetrar sus ataques, según señala la empresa de ciberseguridad BeyondTrust.

En este contexto, la misma empresa recomienda a las organizaciones implementar una estrategia de ciberseguridad que proteja tanto sus sistemas como los datos confidenciales. Esta medida se conoce como Privileged Access Management (PAM) o Gestión de Accesos Privilegiados.

Microsoft explica que una solución PAM permite identificar a las personas, procesos y tecnologías que requieren acceso con privilegios, y especifica las directivas aplicables a estos accesos.

La solución PAM debe ser capaz de admitir directivas como la administración automatizada de contraseñas y la autenticación multifactor. Además, debe permitir que los administradores automaticen el proceso de crear, modificar y eliminar cuentas. Otra función esencial de las soluciones PAM es la supervisión continua de las sesiones, lo que facilita la generación de informes para detectar e investigar anomalías.

Un ejemplo de cómo se implementa un sistema PAM es en las empresas que operan con servidores críticos como un banco. Imaginemos que un empleado autorizado necesita acceso completo a una base de datos altamente sensible. Una solución PAM aseguraría que este acceso esté estrictamente controlado, permitiendo solo el acceso en momentos específicos y mediante autenticación multifactor.

Asimismo, registraría todas las actividades de esta persona para crear un historial que podría ser revisado si se detecta alguna acción sospechosa.

Los dos casos de uso principales de la administración de accesos privilegiados son evitar el robo de credenciales y garantizar el cumplimiento normativo, aspectos esenciales para proteger la integridad de las organizaciones en un entorno digital cada vez más vulnerable.

“Creemos que un PAM no debería tardar meses o años en implementarse, ignorando cómo los atacantes explotan los caminos hacia los privilegios”, señala Mateo Díaz, gerente de ventas de BeyondTrust para Latinoamérica.

“Un mal uso de un acceso con privilegios supone una amenaza de ciberseguridad que puede provocar un daño grave y amplio a cualquier organización”, indica Microsoft.

Por qué es importante que las empresas se protejan

Es fundamental que las empresas implementen medidas de protección para garantizar la seguridad de los datos confidenciales de sus clientes y usuarios.

Reconocidas empresas en España, como Banco Santander, El Corte Inglés, Telefónica, Iberdrola, Decathlon, Ticketmaster, Repsol, Mutua Madrileña, Grupo Tendam y Total, son algunas de las más suplantadas por ciberdelincuentes, según explica la Organización de Consumidores y Usuarios (OCU).

Este fenómeno podría estar relacionado con la filtración de datos de clientes, un problema creciente en las grandes compañías, según indica la misma organización.

La OCU advierte que este aumento es preocupante y no muestra señales de disminuir en el corto plazo. De hecho, la organización señala que se ha registrado un incremento significativo en las consultas y reclamaciones relacionadas con el phishing (suplantación de identidad): en 2023 se tramitaron 109 casos, mientras que en 2024 la cifra subió a 290, lo que representa un aumento del 166%.

En este contexto, la OCU aclara que, si una persona es víctima de un ataque de phishing y se realiza algún cargo fraudulento en su cuenta o tarjeta, ningún pago efectuado bajo los efectos de un engaño se considera autorizado.

“El problema no es solo que hayan fallado sus protocolos de seguridad, sino que no siempre comunican las filtraciones con la rapidez debida para que sus clientes puedan ponerse en guardia. Y si te pillan desprevenido, es más fácil que puedas caer en un phishing”, indica la organización española.

“Ante estas demoras en los avisos, OCU ha instado a la Agencia Española de Protección de Datos a hacer cumplir la normativa que obliga a comunicar las brechas de datos sin demora y de forma directa (con un mensaje o un correo) a los afectados para prevenir estafas”, agregan.