Las organizaciones benéficas con recursos insuficientes que ejecutan servicios y actividades de recaudación de fondos en línea son vistas cada vez más como un toque blando por parte de los ciberdelincuentes que buscan ganar dinero rápido, y corren el riesgo de que los actores malintencionados se aprovechen de la generosidad pública en tiempos difíciles.
En un informe recién publicado, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido destacó cómo, además de lanzar ataques cibernéticos contra organizaciones benéficas, los ciberdelincuentes también se están “insertando” en el tercer sector, haciéndose pasar por organizaciones benéficas legítimas para desviar donaciones de buena fe del público. , como se ha observado en numerosos incidentes relacionados con campañas benéficas para Ucrania.
El informe también orienta a las organizaciones benéficas hacia el asesoramiento personalizado del sector y las alienta a aprovechar las herramientas gratuitas de defensa cibernética activa (ACD) del NCSC, como Web Check, Mail Check y el siempre popular Ejercicio en una caja. Algunas organizaciones benéficas también son actualmente elegibles para la evaluación y acreditación gratuita de Cyber Essentials.
“Las organizaciones benéficas del Reino Unido están haciendo un trabajo fantástico todos los días, y los servicios digitales y la recaudación de fondos en línea ahora juegan un papel crucial en esto”, dijo Lindy Cameron, CEO de NCSC. “Si bien es correcto que la tecnología desempeñe un papel en ayudar a las organizaciones benéficas, esto abre la posibilidad de ataques cibernéticos y es importante que comprendan los riesgos.
“El NCSC está aquí para ayudar e insto a todas las organizaciones benéficas a reducir su vulnerabilidad leyendo nuestro último informe, siguiendo nuestra guía y haciendo uso de las herramientas disponibles para ellos”, dijo.
Helen Stephenson, directora ejecutiva de la Comisión de Caridad para Inglaterra y Gales, agregó: “Las organizaciones benéficas juegan un papel crucial en nuestra sociedad y en cada comunidad: salvan vidas y brindan muchos de los servicios que hacen que valga la pena vivir. En última instancia, todas las organizaciones benéficas dependen de la confianza pública y de la generosidad pública continua.
“Entonces, el impacto de cualquier ataque cibernético en una organización benéfica puede ser devastador, no solo para la organización y aquellos que dependen de sus servicios, sino también para socavar la confianza y el apoyo del público.
“Tomar medidas para mantenerse seguro en línea no es un extra opcional para los fideicomisarios, sino una parte fundamental del buen gobierno. Damos la bienvenida a este informe e instamos a los fideicomisarios a tomar medidas tempranas para proteger sus organizaciones benéficas del daño cibernético”, dijo Stephenson.
Hay muchas razones por las que las organizaciones benéficas son tan vulnerables a los ataques cibernéticos, dijo el NCSC, incluida la renuencia a gastar fondos limitados y el esfuerzo del personal en controles de seguridad básicos, una gran cantidad de voluntarios ocasionales sin capacitación en seguridad cibernética y una dependencia en traer -políticas de su propio dispositivo. Muchas organizaciones benéficas también tienen datos sobre temas delicados o personas vulnerables, lo que las convierte en objetivos atractivos para los actores respaldados por el gobierno.
Destacó una serie de incidentes recientes, incluido un ataque de ransomware en la Edinburgh Festival Fringe Society y un incidente de compromiso de correo electrónico comercial (BEC) en un pequeño hospicio sin nombre en West Midlands, los cuales costaron miles de libras para mitigar.
En primera instancia, Fringe Society descubrió que los sistemas y los datos habían sido encriptados por ransomware en enero de 2022. A pesar de una respuesta rápida y efectiva, y un grado de preparación más alto de lo habitual, había implementado la segregación del sistema para que sus atacantes no pudieran para acceder a todo: recuperarse del ataque costó £ 95,000, de los cuales el seguro solo cubrió £ 25,000, lo que obligó a la organización benéfica artística, que canceló el festival de 2020 debido a Covid-19, a echar mano de sus reservas.
Mientras tanto, la organización benéfica del hospicio fue atacada después de que un miembro del personal recibió un correo electrónico de phishing que parecía ser de Microsoft, que les pedía que cambiaran su contraseña. Más tarde, recibieron un segundo correo electrónico que decía que esta actualización no había funcionado y que debían volver a ingresar sus credenciales originales.
Un día después, uno de los donantes del hospicio llamó para consultar un correo electrónico extraño que habían recibido del miembro del personal. Le siguió una ráfaga de otras llamadas, momento en el que la organización benéfica recurrió a su proveedor de servicios gestionados (MSP), que descubrió que los ciberdelincuentes habían tomado el control de la cuenta de correo electrónico del miembro del personal y cambiaron las reglas de reenvío de correo electrónico para que no pudieran ver qué su cuenta estaba enviando. El miembro del personal también tuvo acceso a los datos de tarjetas de crédito de 35.000 usuarios.
Afortunadamente, el ataque se mitigó rápidamente, no se solicitó un rescate y no hubo evidencia de que los datos de la tarjeta fueran robados o mal utilizados. Sin embargo, el costo para el hospicio fue de £ 17,000, dinero que debería haberse gastado en la atención del paciente.
“Aunque tenemos que aceptar que ninguna organización será 100% segura, podemos decirles con confianza a todos nuestros seguidores y a aquellos a quienes cuidamos, que nos tomamos muy en serio la seguridad de sus datos personales y hemos tomado todas las medidas posibles para hacer que nuestro hospicio sea lo más seguro digitalmente posible”, dijo el director de operaciones de la organización benéfica
“El daño a la reputación habría sido mucho peor si no hubiéramos sido honestos sobre un error cometido por un miembro del personal”, agregaron.