AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

La ciberseguridad como reto crítico para ONGs: desafíos, amenazas y soluciones específicas

admin

Introducción

En el actual panorama digital, las organizaciones sin ánimo de lucro (ONGs) se han convertido en objetivos cada vez más frecuentes y rentables para los actores maliciosos. A pesar de manejar información sensible y depender de infraestructuras críticas para cumplir su misión, muchas ONGs se enfrentan a barreras significativas a la hora de proteger sus activos frente a ciberataques. Sightline Security, una organización dedicada a fortalecer la postura de seguridad de entidades sin ánimo de lucro, ha reunido a su fundadora y a su consejo asesor para analizar en profundidad los retos y proponer estrategias específicas para el sector.

Contexto del incidente o vulnerabilidad

El incremento de ataques dirigidos a ONGs no es casual. Estos colectivos gestionan bases de datos con información personal de donantes, beneficiarios y empleados, además de coordinar operaciones sensibles a través de canales digitales. Sin embargo, la ciberseguridad ha sido tradicionalmente una prioridad secundaria debido a la falta de recursos, conocimiento especializado y concienciación. Según datos recientes, más del 70% de las ONGs carecen de una política formal de ciberseguridad, mientras que el 59% reconoce no disponer de personal dedicado a la gestión de riesgos digitales.

El sector también afronta una presión añadida por el cumplimiento normativo. La entrada en vigor del RGPD en Europa y la próxima implantación de la directiva NIS2 elevan el listón de las obligaciones legales en materia de protección de datos y resiliencia operativa, con sanciones potencialmente devastadoras para entidades con presupuestos ajustados.

Detalles técnicos

Las amenazas a las que se enfrentan las ONGs son tan sofisticadas como las que impactan en el sector privado. Los vectores de ataque más comunes incluyen:

– Phishing dirigido (spear phishing) para la captación de credenciales de acceso a plataformas de donaciones y correo electrónico.
– Ransomware, que puede paralizar operaciones críticas y poner en peligro la continuidad de los servicios.
– Exfiltración de datos sensibles mediante explotación de vulnerabilidades (CVE-2023-23397 en Microsoft Outlook, CVE-2023-28252 en Windows Common Log File System, entre las más recientes).
– Ataques de fuerza bruta contra sistemas expuestos por falta de segmentación o uso de credenciales débiles.

Según el framework MITRE ATT&CK, las técnicas predominantes observadas en incidentes recientes incluyen T1566 (phishing), T1190 (explotación de aplicaciones expuestas), T1078 (uso de credenciales comprometidas) y T1486 (cifrado de datos para extorsión). Los Indicadores de Compromiso (IoC) suelen incluir conexiones a servidores de comando y control alojados en infraestructuras cloud públicas y la presencia de herramientas como Cobalt Strike o Metasploit, empleadas para movimientos laterales y persistencia.

Impacto y riesgos

El impacto de un ciberataque en una ONG puede ser devastador. Más allá de la interrupción de servicios críticos, la filtración de datos confidenciales puede poner en peligro a personas vulnerables, exponer información de donantes y erosionar la confianza pública. El coste medio de un incidente, según un estudio de IBM Security, supera los 100.000 euros para entidades del tercer sector, cifra que puede suponer la diferencia entre la continuidad y el cierre de la organización.

A ello se suman los riesgos legales derivados del incumplimiento de normativas como el RGPD, que contemplan sanciones de hasta el 4% de la facturación anual o 20 millones de euros, lo que resulte mayor, además de la obligación de notificar en 72 horas cualquier brecha de seguridad.

Medidas de mitigación y recomendaciones

Sightline Security y su consejo asesor recomiendan un enfoque integral, adaptado a las particularidades del sector:

1. Evaluación de riesgos periódica, usando frameworks como NIST CSF o CIS Controls.
2. Implementación de autenticación multifactor (MFA) en todos los accesos remotos y críticos.
3. Formación continua del personal y voluntarios en buenas prácticas y detección de phishing.
4. Segmentación de redes y mínima exposición de servicios al exterior.
5. Copias de seguridad cifradas y probadas regularmente, almacenadas fuera de línea.
6. Colaboración con partners tecnológicos que ofrezcan soluciones adaptadas y subvencionadas para ONGs.
7. Supervisión proactiva de amenazas a través de servicios gestionados de seguridad (MSSP) o alianzas sectoriales.

Opinión de expertos

Kelly Lieberman, fundadora de Sightline Security, subraya: “Las ONGs no pueden permitirse ignorar la ciberseguridad. La colaboración con el sector privado y el acceso a recursos adaptados es esencial para construir resiliencia. No se trata solo de tecnología, sino de cultura organizativa y formación”.

Por su parte, el consejo asesor enfatiza la necesidad de que la industria desarrolle herramientas y servicios asequibles y escalables, así como el impulso de programas de voluntariado y mentoría para elevar el nivel de madurez en seguridad dentro del tercer sector.

Implicaciones para empresas y usuarios

Las empresas proveedoras de tecnología y servicios tienen la oportunidad y la responsabilidad de facilitar soluciones específicas para ONGs, desde licencias gratuitas hasta soporte pro bono. Para los usuarios y voluntarios, una mayor concienciación sobre las amenazas digitales y la importancia de las buenas prácticas puede marcar la diferencia ante un posible incidente.

Conclusiones

La ciberseguridad representa un reto creciente para las ONGs, cuya labor resulta vital para la sociedad. La escasez de recursos y la complejidad de la amenaza exige una respuesta colaborativa, basada en la formación, la evaluación de riesgos y la adopción de medidas técnicas y organizativas efectivas. Solo así podrán las ONGs cumplir su misión de forma segura y resiliente en el nuevo entorno digital.

(Fuente: www.darkreading.com)