¿Qué ha pasado?
Imagínate llegar al trabajo y descubrir que no puedes acceder a tu ordenador, que todos los sistemas estén indisponibles y que el esfuerzo de meses o incluso años está “secuestrado” indefinidamente. Esto es exactamente lo que les ocurrió el pasado 12 de noviembre de 2024 a más de 600 empleados del Instituto Nacional de Investigación y Tecnología Agraria y Alimentaria (INIA), que depende directamente del centro del Consejo Superior de Investigaciones Científicas (CSIC). Un ciberataque en el que se desplegó un malware de tipo ransomware ha dejado completamente inoperativa su infraestructura tecnológica, deteniendo investigaciones clave vitales para el desarrollo científico agroalimentario y (entre otras) el bienestar animal.
Detalles del incidente y posibles causas
Según los comunicados internos filtrados, dirigidos a los trabajadores del INIA, se ha prohibido el uso de dispositivos externos y se ha recomendado utilizar datos móviles personales para acceder a internet. Estas medidas apuntan a que el ataque podría haber comenzado con la conexión de un dispositivo USB infectado a uno de los equipos del sistema interno, permitiendo a los atacantes desplegar el ransomware y, aunque las investigaciones siguen en curso, de confirmarse, pondría en evidencia los riesgos de una gestión deficiente del ciberriesgo humano.
Además, algunos empleados han denunciado de forma anónima que la formación y concienciación en materia de ciberseguridad se limitaba a documentos en repositorios digitales, sin una estrategia activa ni seguimiento que garantizara su efectividad. Este enfoque pasivo contrasta con lo que hemos aprendido hasta el día de hoy sobre las mejores prácticas al respecto, que promueven una gestión dinámica y continua de los riesgos asociados al comportamiento humano en el entorno digital.
La gestión del ciberriesgo humano: Clave para proteger a la organización
Lo ocurrido en el INIA no solo demuestra (una vez más) la astucia y sofisticación de los ciberdelincuentes, sino también la urgente necesidad de abordar la ciberseguridad desde todos los ángulos. Este tipo de ataque se podría haber evitado porque (presuntamente) se trató de un ataque de USB baiting. ¿Cómo funciona? Es sencillo: un ciberdelincuente deja intencionalmente un dispositivo USB infectado en un lugar cercano o dentro de la organización, esperando que un empleado lo encuentre y, por curiosidad o desconocimiento, lo conecte a un equipo de la organización. Al hacerlo, el malware se despliega permitiendo la entrada de los ciberdelincuentes a los sistemas informáticos. Este empleado, poco o indebidamente concienciado, lo encontró y lo conectó sin más a un equipo de la organización.
En Kymatio®, como expertos en gestión del ciberriesgo humano, creemos firmemente en un enfoque proactivo que combine tecnología, procesos y personas para mitigar este tipo de riesgos derivados de errores o falta de conocimiento en materia de concienciación.
Nuestra plataforma automatiza esta concienciación de los empleados y evalúa su estado de alerta de forma personalizada y sin interrumpir su rutina diaria. Ofrecemos a los equipos de seguridad “la foto” en tiempo real en la que ver con claridad qué departamentos o personas podrían ser la puerta de entrada de todos estos problemas, entregando en la mano de los responsables de seguridad herramientas de gestión del riesgo humano con métricas, seguimiento y planes de acción concretos. Ahorramos tiempo a los responsables y les damos información de altísimo valor, identificando y reforzando a la vez los puntos débiles de la organización de manera automática.
La gestión del ciberriesgo humano no es algo que se haga una vez “y ya” o que pueda delegarse a la elección de los miembros de una organización. Es un proceso vivo, una “lluvia fina” que debe adaptarse continuamente a las nuevas amenazas y a las particularidades de cada organización. Esto implica:
- Análisis continuos del riesgo: Detectar áreas vulnerables en equipos y procesos para tomar medidas antes de que ocurra un incidente.
- Simulaciones regulares: Realizar ejercicios prácticos como simulaciones de phishing, smishing, qrshing, con campañas de concienciación adaptadas y evaluaciones de comportamiento en tiempo real que queden registradas para observar su evolución en el tiempo.
- Sesiones cortas y entretenidas: Implementar cuestionarios frecuentes que no interrumpan la jornada de nadie, incluyendo situaciones realistas que desafíen a los empleados. Si responden correctamente, evitemos aburrirlos con información que ya dominan, ya que esto solo genera rechazo.
- La combinación de todo lo anterior: Disponer de la tecnología que permita combinar todos estos inputs para devolver inteligencia realmente útil a los responsables de la seguridad de las organizaciones.
En Kymatio®, utilizamos técnicas avanzadas para combatir la curva del olvido, ese fenómeno que hace que, si no reforzamos lo aprendido, terminemos olvidándolo. Por eso las estrategias tradicionales fracasan estrepitosamente, porque tampoco consideran este factor. Si queremos que los empleados interioricen las mejores prácticas en cuanto a gestión del ciberriesgo, no podemos confiar en que un e-learning (muchas veces aburrido y construido exclusivamente para cumplir con la normativa) vaya a calar en los miembros de la organización de manera efectiva. Con nuestras herramientas de evaluación y un enfoque centrado en las personas, nos aseguramos de que los empleados no solo recuerden lo aprendido, sino que lo integren en su trabajo y en su vida diaria, reduciendo significativamente el margen de error.
Aprendamos de los errores para un futuro más seguro
El ataque al INIA es un duro recordatorio de que la concienciación del ser humano tiene que ser el punto fuerte de la organización. Siendo así, la parte técnica defensiva y los ingenieros especializados en seguridad no tienen que estar continuamente supervisando las acciones del resto de miembros (aquellas que pueden poner en riesgo a la organización) y pueden realizar su trabajo de manera más eficiente y efectiva. Si falla el factor humano, de nada servirá que esta parte técnica luzca infranqueable. De nada servirán las millonarias inversiones en soluciones de software e inteligencia artificial que prometan una defensa imposible de sortear.
Y todo esto no sirve de nada porque, sin el fortalecimiento humano e interiorización por parte de la plantilla, no alcanzaremos jamás una excelencia en el manejo seguro de la información. Sin una gestión eficaz del ciberriesgo humano, incluso las tecnologías más avanzadas que pueda desplegar cualquier organización seguirán siendo vulnerables.
Es hora de reevaluar nuestros enfoques y adoptar estrategias dinámicas y continuas de última generación que conviertan a nuestros empleados en la primera línea de defensa. La seguridad no es solo cuestión de sortear las auditorías de cumplimiento; es salvaguardar la continuidad y la reputación de nuestras instituciones. Y esto, al final del día, se logra gestionando adecuadamente el riesgo proveniente del factor humano.
¿Estás considerando dar un paso adelante en tu enfoque de ciberseguridad? Contacta con Kymatio® y descubre cómo podemos ayudarte a prevenir riesgos y proteger lo que más valoras.
