Seguridad

Descubra las bases de la formación en ciberseguridad y los principales conceptos

Las buenas prácticas de ciberseguridad son proactivas, no reactivas. Aprenda las claves para proteger mejor a su empresa.

Los robos de datos son el pan de cada día, no la excepción

Nuestras vidas digitales han ganado un protagonismo exponencial en los últimos años. Y los ciberriesgos no se han quedado atrás.

82%

de los robos tienen un componente humano, como el uso de credenciales robadas o phishing.¹

10

billones de dólares es el coste estimado de los daños provocados por los ciberdelitos en 2025.²

Anticípese a los problemas con la formación en ciberseguridad

¿Qué es un ciberataque? Las cuatro grandes vías de entrada a su empresa son: las credenciales, el phishing, la explotación de vulnerabilidades y las botnets.¹ Las cuatro aparecen en todas las áreas del DBIR y ninguna organización está a salvo sin un plan para gestionar cada una de ellas.

Es importante que su empresa entienda la terminología básica sobre robos de datos y hackeos. Esta información no solo le ayudará a identificar los indicios de ataques, sino también a advertir a otros usuarios de los riesgos. Además, le resultará útil si tiene que comunicar algún incidente a sus clientes.

Entender los hackeos y cómo nos referimos a ellos

¿Es un cliente que no tiene muy claro que le está diciendo una empresa cuando le notifica un ataque? ¿Es una empresa que quiere saber cómo comunicar a sus clientes una posible exposición de sus datos?

Es importante tomar conciencia de que estos términos muchas veces se utilizan mal. ¿Qué es un ciberataque? ¿Todos los incidentes de seguridad son hackeos? Lo mejor es siempre revisar con atención la información antes de comunicarla y extraerla siempre de una publicación fiable.

Consejo: su principal fuente de información debe ser la empresa o la organización afectada, ya sean sus comunicados públicos, blogs u otros canales.

Estos son los tipos de ataques más habituales que debe conocer:

Hacker/atacante

Usuario no autorizado que trata de acceder a un sistema de información, es decir, la red donde los usuarios crean, comparten y distribuyen información desde sus dispositivos.

Ataque

Cualquier actividad maliciosa que tenga como objetivo recopilar, alterar, denegar, degradar o destruir información o recursos de sistemas de información.

Hackeo

Intento de acceso a un sistema de información, sistema informático, red privada o dispositivo utilizando credenciales robadas.

Principales tipos de ciberataques

  • Relleno de credenciales o credential stuffing: es el paso siguiente a un ataque de fuerza bruta y consiste en utilizar el nombre de usuario y la contraseña de una cuenta para acceder al máximo número posible de sitios, aplicaciones, etc. El riesgo de sufrir un ataque de este tipo aumenta al reutilizar una misma contraseña: si le hackean una cuenta, todas las demás estarán en peligro.
  • Ataques a aplicaciones web básicas (BWAA): ataques dirigidos específicamente a la infraestructura más expuesta de una organización, como sus servidores web.
  • Phishing: es un tipo de ataque en el que un actor malicioso se hace pasar por una entidad o una persona con buena reputación en un correo u otro canal de comunicación. Hablamos de smishing (mensajes de texto o SMS) y vishing (llamadas de voz).
  • Ransomware: es un tipo de malware diseñado para cifrar archivos de un dispositivo, de modo que tantos estos archivos como los sistemas que los utilizan quedan inservibles. El ransomware ha seguido con su tendencia ascendente, con un aumento de prácticamente el 13%, casi el mismo que en los últimos cinco años juntos.¹
  • Ingeniería social: es un ataque que consiste en engañar a una persona con el objeto de acceder a información delicada, obtener acceso sin autorización o cometer un fraude. La estrategia para conseguirlo es ganarse su confianza.
  • Ataque a la cadena de suministro: ataques que permiten al adversario utilizar vulnerabilidades introducidas antes de la instalación para infiltrar datos o manipular hardware, software, sistemas operativos, periféricos (productos tecnológicos) o servicios en cualquier fase de su ciclo de vida.

Una vez más, es importante observar las diferencias. La clave es ir siempre a la fuente para ver cómo comunican la información y qué terminología utilizan. Así resulta mucho más fácil entender el posible impacto y los próximos pasos.

Los ciberataques pueden sembrar el pánico, pero si conoce y domina la terminología recuperará el control sobre la situación rápidamente.

Diseñe una estrategia de seguridad

Lo mejor que puede hacer su empresa es utilizar la formación en ciberseguridad y ponerla en práctica diseñando un plan proactivo. Le damos algunas ideas para que sepa por dónde empezar:

  • Utilice una contraseña compleja, diferente y única para cada una de sus cuentas online.
  • Active la autenticación multifactor (MFA) en servicios como el correo, las redes sociales, la banca online, aplicaciones de trabajo, etc.
  • Utilice el control de robos de datos para detectar credenciales en peligro y modificarlas antes de que sean utilizadas para otros ataques.
  • Adopte una actitud proactiva ante posibles indicios de ciberataques: no haga clic en enlaces enviados por personas que no conoce, no abra sitios web con faltas de ortografía y no responda a correos mal escritos y enviados desde direcciones desconocidas.
  • Use antivirus, protección de terminales y software de protección antimalware.
  • Actualice periódicamente sus aplicaciones y sistemas operativos (SO) para tener siempre la última versión.
  • Realice copias de seguridad de sus datos críticos (en local o en la nube) para tener siempre esta información en un lugar seguro.

Fuentes utilizadas en este artículo

  1. 2022 Verizon Data Breach Investigations Report (DBIR)
  2. Secureworks Boardroom Cybersecurity Report
  3. NIST Computer Security Resource Center

Descubra cómo protege LastPass sus datos frente a actores maliciosos y malos hábitos en el uso de contraseñas

What if LastPass has a security incident, or gets hacked?

LastPass operates on a zero-knowledge security model. Zero-knowledge means that no one has access to your decrypted Master Password, vault or vault data except you. To ensure that only authorized access is granted to your vault, we use industry-standard mechanisms, such as AES-256 encryption and PBKDF2 hashing plus salting, to keep your Master Password safe.

LastPass also protects our infrastructure, by regularly upgrading systems and using redundant data centers across the globe to reduce the risk of downtime or a single point of failure. LastPass is market-tested and trusted by over 100,000 companies, including Fortune 500 and leading tech enterprises.

What are you doing to prevent LastPass from being hacked, ensuring my data is secure?

LastPass customers are protected through LastPass’ zero-knowledge security model, in which LastPass – by design – does not have access to your Master Password, vault, or vault data. This is an industry standard that all password managers should adhere to. In addition, LastPass implements several best practices to further protect you and your data, including but not limited to:

  • Certified compliance, such as SOC 2 Type II, SOC3, BSI C5, APEC CBPR and PRP Privacy Certification, TRUSTe Enterprise Privacy Certification, GDPR, and ISO/IEC 27001:2013.
  • Audits and Penetration Tests: LastPass employs trusted, world-class, third-party security firms to conduct routine audits and testing of the LastPass service and infrastructure.
  • Bug Bounty Program: LastPass welcomes and partners with security researchers to ensure continuous improvement.

How will I know if LastPass has been hacked or if an incident has occurred?

LastPass values transparency in its incident response procedures meaning you’ll receive honest and timely communication. Communication with users will depend on the incident, and those of the highest priority will include emails, blog posts, and social posts. Earning trust from our community is rooted in the ability to communicate effectively.

Centro de seguridad

LastPass siempre será transparente con los clientes. Consulte todas las prácticas y estándares de seguridad proactivos de LastPass.

Ir al Centro de seguridad

Modelo de seguridad de conocimiento cero

LastPass funciona con un modelo de seguridad de conocimiento cero para proteger su bóveda —contraseñas, notas y mucho más— pase lo que pase.

Más información

Documento técnico

Consulte las medidas técnicas y organizativas adoptadas por LastPass.

Leer el documento técnico

Hay ataques todos los días. Protéjase con LastPass.

Pruebe LastPass Premium gratis durante 30 días y LastPass Business durante 14 días. No se necesita tarjeta de crédito.