En marzo pasado, los sistemas de correo electrónico y teléfono de la Asociación Escocesa de Salud Mental dejaron de funcionar repentinamente. Una posible señal de un ciberataque, confirmada cuando la banda de ciberdelincuentes RansomEXX subió datos confidenciales pertenecientes a donantes y voluntarios a la dark web, incluidos: nombres, domicilios, correos electrónicos y escaneos de pasaportes.
Comprensiblemente, la reputación de SAMH recibió un gran golpe.
Las organizaciones benéficas son vistas como objetivos ‘blandos’ para los ciberdelincuentes. Casi uno de cada tres de ellos fue víctima de delitos cibernéticos en 2022, y la amenaza es mayor entre las organizaciones benéficas de altos ingresos, de las cuales más de la mitad fueron atacadas.
¿Por qué las organizaciones benéficas están en el punto de mira?
Las organizaciones benéficas se están poniendo al día al no priorizar los riesgos, o simplemente no son conscientes de las amenazas a las que se enfrentan. Sus operaciones en línea, como la participación de seguidores, la recaudación de fondos y la coordinación de respuestas esenciales en todo el mundo, dejan a las organizaciones benéficas vulnerables a los ataques cibernéticos.
Apuntar a una organización benéfica es atractivo para un atacante: las organizaciones benéficas a menudo tienen presupuestos de TI limitados y poca o ninguna experiencia interna en seguridad cibernética, mientras que son minas de oro de valiosos datos financieros, personales y comerciales.
Las organizaciones benéficas suelen ser objetivos fáciles
Muchas organizaciones benéficas también tienen superficies de ataque mucho más amplias (y menos vigiladas), lo que aumenta los posibles puntos de entrada y salida para el personal no autorizado.
¿Por qué es este el caso? El tercer sector depende más de BYOD (Bring Your Own Device), ya que el 64 % de las organizaciones benéficas informan que el personal usa sus propios dispositivos con regularidad, en comparación con el 45 % de las empresas comerciales. Como resultado, su red es más grande, lo que dificulta la realización de actualizaciones de seguridad cibernética y el monitoreo. Esto deja a las organizaciones benéficas más susceptibles a las violaciones de seguridad cibernética.
Los delincuentes también son conscientes de que es mucho menos probable que los riesgos sean evaluados y respondidos a nivel de la junta y la alta dirección entre las organizaciones benéficas. Una de cada cuatro organizaciones benéficas no tiene un miembro de la junta que sea responsable de la seguridad cibernética, ni actualizan a su alta gerencia cuando se toma una acción de seguridad cibernética.
Esto deja vulnerables incluso a las organizaciones benéficas más grandes. El año pasado, la Cruz Roja fue golpeada por un ataque devastador que suspendió las operaciones y la recaudación de fondos y afectó su capacidad para diseminar sangre.
La reputación de una organización benéfica es tan fuerte como el eslabón más débil de la federación
Las organizaciones benéficas más pequeñas, a menudo afiliadas o aquellas que reciben fondos de organizaciones benéficas nacionales, son tan susceptibles a los ataques como las entidades más grandes del tercer sector porque es menos probable que tengan los recursos para abordar las amenazas de seguridad cibernética.
Muchas organizaciones benéficas en el Reino Unido, incluidas Carers Trust, Mind y YMCA, operan con una estructura federada en la que una organización benéfica nacional supervisa una red de organizaciones benéficas locales más pequeñas e independientes. Estas organizaciones más pequeñas ofrecen una ruta fácil para los piratas informáticos. Si un mal actor logra violar el sistema de un afiliado, el daño a la reputación afecta a toda la federación benéfica. Ser víctima de un ciberataque puede hacer que los seguidores se lo piensen dos veces antes de donar y compartir sus datos confidenciales.
Qué pueden hacer las organizaciones benéficas para mitigar las ciberamenazas y los riesgos reputacionales
En enero de 2023, el Centro Nacional de Seguridad Cibernética del Reino Unido publicó una nueva guía para el sector de la caridad que nombró al ransomware como “la amenaza de ciberdelincuencia más dañina para el Reino Unido en la actualidad”. La mejor manera de prevenir la amenaza de malware y ransomware sofisticados es con una preparación sólida y un monitoreo constante de la red y los dispositivos de una organización.
En un momento en que las organizaciones benéficas se enfrentan tanto a una superficie de ataque expansiva como a un débil enfoque de seguridad cibernética por parte de los altos directivos, existen tres soluciones altamente efectivas:
- Reduzca el riesgo reputacional mediante la contratación de un CISO virtual (director de seguridad de la información), un experto en seguridad subcontratado (o un equipo de expertos en seguridad), para guiar y dirigir las prioridades y la protección de la seguridad cibernética. Los vCISO generalmente trabajan junto con los equipos de TI internos existentes a tiempo parcial, actuando como asesores internos, imparciales y confiables, impulsando la estrategia cibernética a través de una colaboración profunda.
- Invierta en MDR (Detección y respuesta administradas), un servicio que combina analistas de seguridad cibernética y herramientas especializadas para monitorear un estado completo de TI en busca de anomalías, buscar y responder a amenazas cibernéticas en tiempo real. MDR también tiene la capacidad de identificar amenazas en la red de terceros de una organización. Esto lo hace ideal para redes dispersas, como la de una organización benéfica con una política BOYD, ya que permite la visibilidad de cualquier actividad en cualquier lugar.
- Pon a prueba tus defensas. Para organizaciones benéficas medianas y grandes, las pautas de NCSC recomiendan utilizar servicios de terceros, incluidas las pruebas de penetración. Las pruebas de penetración o de penetración son ataques simulados llevados a cabo por un equipo de hackers éticos que emplean las mismas técnicas que utilizan los atacantes para descubrir vulnerabilidades probando si los sistemas o aplicaciones pueden resistir ataques hostiles.
Subcontratar defensas cibernéticas es la mejor apuesta de una organización benéfica
Las organizaciones benéficas están en el radar de los ciberdelincuentes, incluso las organizaciones benéficas grandes y conocidas son vulnerables. El impacto de un ataque a gran escala puede ser devastador, en particular el tiempo de inactividad y el daño a la marca y la confianza de los seguidores.
La inversión de tiempo y dinero en la estrategia y los servicios de seguridad cibernética correctos, de parte de especialistas que entienden los desafíos del sector, siempre superará el camino largo, y dañino para la reputación, hacia la recuperación de un ataque exitoso.
Rob Shapland es un hacker ético y director de innovación cibernética en Falanx Cyber, un proveedor especializado en MDR. Es un comentarista frecuente sobre temas de seguridad y colaborador habitual de TechTarget Security y Computer Weekly. Adam Monks es director ejecutivo de Smartdesc, un proveedor de servicios administrados (MSP) especializado que trabaja con organizaciones benéficas y sin fines de lucro.