El factor humano como clave de éxito frente a los ciberataques

Las previsiones son cada vez más claras: a medida que aumenta la digitalización de las empresas, crecen también las oportunidades para los ciberdelincuentes. Sin embargo, hay un factor crucial del que dependerá el éxito o fracaso de estos ciberataques dentro de la organización: el factor humano.

En este artículo, analizaremos cómo las personas son un elemento crucial para la ciberseguridad dentro de la organización, el cambio de paradigma de la ciberseguridad como consecuencia de la digitalización, impulsada por la pandemia del COVID-19, y best practices que nos ayudarán a evitar ciberataques futuros.

 

La ciberseguridad en las empresas

¿Cómo podríamos definir el nuevo enfoque de la ciberseguridad? En primer lugar, se ha incluido a las personas como parte de los activos de la organización que deben ser protegidos, no solo a nivel estructural, sino también organizacional, tecnológico, regulatorio y de procesos. Ello debido al crecimiento y sofisticación de los ataques.

Por otra parte, el aumento sostenido del número de usuarios en línea y la demanda de servicios tecnológicos e identidades digitales en el escenario post pandemia, hacen del factor humano la diferencia entre un ataque exitoso o fallido. Pero ¿por qué? Echemos un vistazo a los ciberataques más frecuentes.

 

Principales amenazas de ciberseguridad: ataque directo al factor humano de la empresa

1- Spear phishing: el ciberataque a empleados

El spear phishing es un tipo de ataque informático que llega al empleado de una empresa a través del correo electrónico. Son mensajes muy bien elaborados que pueden replicar a la perfección la imagen de una compañía de prestigio. Caer en la trampa de un enlace malicioso es muy fácil.

2- Whaling, robo de información a altos directivos

El whaling es un tipo de phishing cuyo objetivo es un alto directivo de una empresa. Siguiendo la estrategia anterior, el ciberdelincuente trata de robar la valiosa información que suelen tener estos perfiles.

3- Ransomware y la pérdida de control sobre tus dispositivos

El ransomware es un software malicioso que inutiliza el dispositivo y encripta la información. El usuario pierde el control sobre los datos y el hacker le exige el pago de un rescate para desbloquear el acceso. Para que este ataque sea efectivo en la mayoría de los casos se requiere la interacción de algún usuario interno con el atacante.

4- Spyware: ciberataques que violan tu intimidad

Este malware es un programa que se instala en el ordenador y recopila la información del usuario, como números de tarjetas de crédito, datos de formularios o direcciones de correo electrónico.

5- Troyano, un potente vehículo de transmisión de virus

El troyano es un malware que puede ser el vehículo de transmisión de un virus con el que espiar, robar datos o tomar el control del dispositivo.

6- Ingeniería social, una técnica de manipulación

Se refiere a un conjunto de diferentes técnicas de manipulación que usan los ciberdelincuentes para obtener información confidencial de los usuarios. Los ciberdelincuentes engañan a sus víctimas haciéndose pasar por otra persona.

Ahora, ¿qué tienen en común estos ciberataques? Todos tienen como objetivo principal a las personas dentro de la organización, lo cual deja en evidencia un nuevo paradigma en cuanto a la forma de actuar de los atacantes.

 

El factor humano, un activo importante y a la vez el eslabón mas débil dentro de la ciberseguridad

En la actualidad, el modus operandi de los atacantes ha pasado de “atacar los sistemas” a “atacar a las personas que manejan los sistemas”. Esto se debe en gran parte, a que hay más información sensible de las personas disponible públicamente (e-mail, números telefónicos, contactos, empleos, entre otros) y a la interconexión global, gracias a la nueva realidad del teletrabajo como consecuencia de la pandemia.

En este escenario, la digitalización juega un papel fundamental. Es evidente que los avances tecnológicos simplifican nuestras vidas y hacen que las organizaciones sean más eficientes en sus diferentes áreas. Sin embargo, a medida que aumenta la implantación tecnológica dentro de las organizaciones, crecen también las oportunidades para los ciberdelincuentes.

Esto pone de manifiesto la necesidad de optar políticas de formación en materia de ciberseguridad, que permitan conocer a los trabajadores las mejores prácticas para preservar la seguridad de la organización.

Ahora, ¿qué ocurre si un empleado no tiene la suficiente formación en esta área?

 

El 85% de las infracciones de seguridad cibernética son causadas por errores humanos

Según un estudio realizado por la empresa de tecnología Verizon, el 85% de las infracciones de seguridad cibernética son causadas por errores humanos.

Diferentes empresas de ciberseguridad estiman en sus estudios que el coste global anual de la ciberdelincuencia será de 10.5 billones de euros para el 2025 y que, durante la próxima década, el coste de los ataques de Ransomware superará los 265 mil millones de euros.

Un ejemplo de este tipo de ataques ha sido el vivido en septiembre por Uber, donde la empresa aún no alcanza a estimar los daños económicos, así como el alcance del ataque en cuanto a número de usuarios afectados. De acuerdo con lo que el atacante declaró a los medios, para obtener acceso al sistema de Uber, primero engañó a un empleado utilizando técnicas de ingeniería social.

El atacante contactó al empleado por WhatsApp diciendo que era un trabajador del área de Tecnología Informática, a través de este engaño obtuvo las credenciales para acceder vía VPN a la red interna de la empresa y luego analizó la intranet.

Esta no es la primera filtración a la que se ve sometida Uber como consecuencia de un ciberataque, en 2016 la tecnológica sufrió un ataque en el que se vieron comprometidos datos de 57 millones de usuarios en todo el mundo.

Como contramedidas a este tipo de escenarios existen varias, las cuales analizaremos más adelante.

 

 

El teletrabajo una modalidad que vino para quedarse

Debido al COVID-19 y a su propagación, empresas a nivel mundial han tenido que plantear la posibilidad del teletrabajo. Esto trae como resultado algunos aspectos que complican al área de ciberseguridad cumplir con su objetivo principal: proteger los activos de la organización. Algunos de estos aspectos que plantea el escenario del teletrabajo son:

  • Fiabilidad del servicio VPN: Antes de la pandemia, los servicios VPN estaban concebidos para un número de usuarios concurrentes limitados. Sin embargo, con el teletrabajo este servicio ha tenido que soportar la conexión masiva de usuarios concurrentes a fin de garantizar una conexión segura a su red interna.
  • Controlar una red de datos “extendida”: El trabajador se conectará desde fuera de la oficina, ya sea desde el domicilio propio o incluso desde otros lugares, como una cafetería, que probablemente no cuente con los estándares exigidos por las políticas de ciberseguridad de la organización.
  • Uso de dispositivos personales: Ausencia de políticas para el uso de dispositivos electrónicos al momento de acceder a recursos de la red interna de la organización.

 

Medidas de seguridad informática frente al teletrabajo

Como parte de las medidas que las organizaciones están adoptando para mitigar las brechas producidas por el teletrabajo se encuentran:

1. Establecer directrices claras para el uso de dispositivos personales. Una de estas políticas debería ser, mantener los equipos actualizados en cuanto a parches de seguridad.

2. Implementación de soluciones tecnológicas que permitan proteger servicios importantes y de uso diario, como, por ejemplo: servicio web, de correo y protección antivirus.

3. Políticas claras para el trabajo remoto, tener una política definida de «Trabajo Remoto» o «Teletrabajo» es imprescindible si tu empresa permite que el personal trabaje desde ubicaciones fuera de la oficina.

4. La organización debe ofrecer herramientas adecuadas, así como canales seguros para la comunicación y el flujo de información.

5. Capacitación y best practices. Tener una política y apoyarla con las herramientas adecuadas es importante, pero educar y capacitar a los empleados sobre las mejores prácticas ayudará a explicar y describir por qué necesitan seguir la política y usar las herramientas.

 

phishing

 

Factor humano y formación como medida de prevención de futuros ataques

Como conclusión podemos indicar que el factor de éxito de la ciberseguridad, más allá de ir relacionado con la tecnología cada día depende más del factor humano.

Las estadísticas y proyecciones en cuanto a los escenarios futuros son alarmantes,  sin embargo, la mitigación de la mayor parte de las brechas de seguridad en las organizaciones está apoyada fundamentalmente en la formación del valor humano, así como reconocer la constante transformación del mundo IT/OT.

La formación del personal en tópicos de ciberseguridad es clave, ya que ayuda a los trabajadores a permanecer alerta durante su día a día, sabiendo identificar una amenaza, lo que tienen que hacer y cómo actuar ante estos escenarios. Otro aspecto importante de esta formación debería centrarse en los ataques de ingeniería social, que constituyen alrededor del 98% de todas las intrusiones de ciberseguridad.

Por último, tomar en cuenta que la ciberseguridad no es una fotografía estática, es una película en movimiento donde el escenario va cambiando y en este mismo sentido debe moverse el valor humano.

 

Más de 15 años aportando valor y ayudando a nuestros clientes

Es por eso que en Open3s ayudamos a las empresas a flexibilizar su entorno laboral sin poner en riesgo su negocio y sin perder visibilidad de lo que sucede en su infraestructura. Además, llevamos más de 15 años aportando valor y ayudando a nuestros clientes en sus procesos de protección ante ciberataques.

Por eso, te recomendamos que no esperes a tener una brecha de seguridad. Actúa de forma preventiva, planifica y minimiza los riesgos en el futuro. Prepárate para el día después y, cuando pase, que sea fácil recuperarse. La seguridad de la información no es solo tecnología, te damos también el soporte legal necesario para el cumplimiento normativo. Si quieres saber más acerca de nuestras soluciones integrales de infraestructura, sistemas, formación y servicios legales ¡contáctanos! 

 

Autor: Miguel Ángel Castillo, Cybersecurity Team Leader de Open3s.

Llámanos (93 268 73 20 / 91 069 61 07)

o envíanos tu consulta y te contactaremos rápidamente