Errar es humano. Decisiones como reutilizar contraseñas en distintos servicios online (incluyendo el correo o aplicaciones corporativas), descarga de software comercial desde páginas que nos lo ofrecen gratis, compartir documentación sensible, guardar contraseñas en ficheros de texto o pinchar en enlaces que nos llegan por correo sin validar el origen son, todavía hoy, bastante habituales. Todos estos comportamientos pueden hacer que la tecnología para protegernos de los ataques en Internet, que tanto ha costado definir y adquirir en nuestras compañías, no sea eficaz.
Los riesgos de ciberseguridad ya no son exclusivos de las áreas técnicas. Se han convertido en un riesgo de negocio en el que toda la empresa tiene que actuar para mitigarlo.
Las compañías han invertido en tecnología de seguridad y los ataques se están centrando en el factor humano, que se ha convertido en el eslabón más débil de la ciberseguridad.
Para gestionar el riesgo humano, necesitamos cambiar el comportamiento de las personas, y para ello es preciso invertir en la sensibilización y formación de los empleados para hacerles partícipes de la defensa de la compañía frente a los riesgos de ciberseguridad. Podríamos decir que la formación es un control diseñado para reducir el riesgo humano. Pero, para entender todo el proceso y sus implicaciones, empecemos por el principio.
Ciberseguridad en un mundo interconectado
Podemos definir la ciberseguridad como la protección de los activos digitales en un mundo multiconectado. El objetivo es detectar, evitar y responder a los ataques que pueden suponer, entre otros, fraude, delito financiero, pérdida de datos, fuga de información o pérdida de disponibilidad.
En este mundo conectado, donde la digitalización llega a todas las capas de la sociedad, necesitamos Internet y los dispositivos móviles para poder utilizar los servicios que nos ofrece la era digital. De esta manera, los clientes/usuarios y empleados están conectados a Internet y a las redes internas al mismo tiempo usando todo tipo de dispositivos y utilizan el acceso remoto para teletrabajar. A su vez, las empresas de soporte y servicios acceden desde sus instalaciones a las redes corporativas de sus clientes.
En este contexto, el perímetro de seguridad de una organización se desvanece. Cada empleado conectado forma parte del nuevo perímetro de seguridad, y como tal, debe ser fortalecido. Entre otros motivos, porque las personas se han convertido en el eslabón más débil en la cadena de la ciberseguridad.
La formación como protección
Las personas no son el problema. El problema es que las organizaciones no hemos hecho nada para protegerlas y los hackers lo saben perfectamente. Por ello, las personas son el objetivo principal de sus ataques.
Hemos invertido en tecnología para proteger los ordenadores que almacenan, procesan y transfieren información y en herramientas de detección de intrusos en nuestros sistemas. De hecho, podemos afirmar que nos hemos vuelto tan buenos y sofisticados en el uso de la tecnología para asegurar la información, que hemos impulsado a los ciberdelincuentes a dirigir su objetivo a las personas.
Cada empleado conectado forma parte del nuevo perímetro de seguridad, y como tal, debe ser fortalecido
Al igual que los ordenadores, las personas también almacenan, procesan y transfieren información. Sin embargo, los esfuerzos en sensibilizar y formar a las personas en este contexto interconectado no han evolucionado al mismo ritmo que los riesgos asociados a la ciberseguridad.
Esta situación nos ha llevado a que los empleados, como sistema operativo humano de las compañías, se han quedado obsoletos y desactualizados respecto a la ciberseguridad.
Ataques más habituales en el entorno empresarial
Los hackers aprovechan la vulnerabilidad de las personas para atacar con técnicas conocidas como «ingeniería social», que se basan en dos aspectos sociales de la psicología humana: somos cotillas y nos gusta ayudar a nuestros semejantes.
Dentro de los ataques de ingeniería social encontramos, por ejemplo, llamadas por teléfono donde nos piden las credenciales de nuestro usuario corporativo con el pretexto de una supuesta incidencia técnica. Si bien desconfiamos cuando nos solicitan facilitar nuestra información financiera o nuestros datos de la tarjeta de crédito a un desconocido, con la información de nuestra empresa a veces no tenemos tanto cuidado. Esto explica que este tipo de ataques siga teniendo éxito entre el personal no técnico de las empresas.
Nos hemos vuelto tan buenos y sofisticados en el uso de la tecnología para asegurar la información, que hemos impulsado a los ciberdelincuentes a dirigir su objetivo a las personas
Otro de los ejemplos de ingeniería social es la entrega de un USB. ¿Quién no enchufaría en su ordenador de trabajo un USB que le acaban de regalar en un stand de publicidad o se ha encontrado al lado de su coche? ¡Almacenamiento gratis!, pensamos. Lo que no pensamos es que puede incluir un regalo no deseado cuando lo conectemos y un malware o ransomware se despliegue en nuestro ordenador.
Del mismo modo, si nos descargamos una película o un software en nuestro PC de casa desde páginas no muy fiables podemos infectar con un malware nuestro equipo doméstico. Esta práctica puede ser peligrosa para nuestra compañía si también usamos ese ordenador para acceder a aplicaciones corporativas o a nuestro correo electrónico profesional.
Sin embargo, los ataques más efectivos contra las personas son a través del correo electrónico (el ataque se conoce como phishing), pues forma parte de nuestras herramientas habituales de trabajo y allí nos llegan ficheros adjuntos que no dudamos en descargar, y enlaces de dudosa procedencia en los que pinchamos pensando que nuestra empresa tiene medidas técnicas, como un antivirus u otros sistemas antimalware, para evitar que nos pase algo.
Puede que tengamos medidas técnicas desplegadas en nuestro equipo y algunas de esas amenazas se paren y/o detecten. No obstante, los atacantes aprovechan que existe una ventana de tiempo entre la identificación de la amenaza por los antivirus y otras herramientas comerciales, y el momento en el que nuestros sistemas se actualizan para tener la capacidad de contenerla.
Una de las tendencias que existen en el mercado para valorar la sensibilización o concienciación (del inglés awareness) de los empleados en materia de ciberseguridad, contando con el apoyo de áreas de Recursos Humanos, es el envío de correos electrónicos con el propósito de obtener información de un empleado (por ejemplo, sus credenciales en la red interna), lograr que pinchen en un enlace que descargue un fichero malicioso, o hacerse pasar por un ejecutivo y solicitar una transferencia monetaria (una técnica conocida como fraude del CEO). Posteriormente, la empresa envía una comunicación explicando que era una prueba, y detallando en qué aspectos puede fijarse un empleado para detectar y frenar la amenaza.
Desconfiar, analizar y prevenir
Hay bastantes indicadores que deben levantar nuestras sospechas: la urgencia de la petición (el atacante intenta apresurar a la víctima para que cometa el error), faltas de ortografía, envío de información que no se ha solicitado, nombres de páginas web y correos electrónicos que parecen lícitos, pero tienen letras cambiadas, guiones añadidos, la firma en el correo electrónico del tipo «Enviado desde mi iPhone» para dar sensación de seguridad, etc.
Como usuarios de las redes sociales, tenemos que ser precavidos a la hora de compartir información en ellas que pueda suponer un reclamo para los ciberdelincuentes, ya que ayuda a que los atacantes puedan preparar mejor su acción.
El envío de un phishing personalizado se conoce como spear phishing (pesca con arpón). Frente a los phishing habituales que son masivos (pesca con una red de arrastre), en este caso el atacante crea un contenido personalizado y de interés para el objetivo elegido.
Por ejemplo, un simple correo electrónico utilizando en el ataque de fraude del CEO para el hacker supone 15 minutos de investigación en LinkedIn y representa una industria multimillonaria para los ciberdelincuentes. Es mucho más rentable que un ataque tipo ransomware, ya que este último requiere una infraestructura técnica más compleja.
No podemos olvidar que cada empleado tiene un perfil de riesgo distinto y que las amenazas no sólo vienen del exterior:
- — Si tenemos programadores o contratamos una empresa de programación para desarrollar un software, podemos pedir que reciban formación sobre desarrollo seguro.
- — A los empleados que acceden a sistemas críticos, solicitarles que no compartan ficheros con las contraseñas visibles.
- — Aquellos que realizan transferencias, que pueden ser objeto del fraude del CEO, que confirmen que la petición es válida.
- — A los técnicos, que no usen las credenciales por defecto en los productos comerciales.
- — A los directivos que no se conecten a las WIFI abiertas con sus dispositivos.
De igual forma, cada compañía tiene un perfil de riesgo y unas necesidades de conectividad que hacen que los programas de sensibilización y formación en materia de ciberseguridad deban ser adaptados a su realidad.