Skip to content
Kymatio
Inicio
Servicios
¿Cómo funciona?
Partners
Blog
Contacto
[English]
Log in
Log in

El elemento humano está detrás de las brechas de seguridad. Revisamos el informe de Verizon DBIR sobre brechas de datos y las posibles soluciones

By Fernando MateusIn Ciberpsicología, Ciberriesgo de Empleados, Inteligencia Artificial, Kymatio A&A - Evaluación y Concienciación, Kymatio Account Breach Scanner - ABS (Exposición Credenciales), Kymatio Trickster (Simulación de Ataques), Noticias Ciberinsider, Noticias sobre amenza interna, Sobre KymatioPosted 27 enero, 2023
Kymatio News Brecha de Datos

El elemento humano sigue impulsando las brechas de seguridad.

 “Ya sea en los casos de ataques a infraestructuras críticas con amplia repercusión mediática o en vulneraciones masivas de cadenas de suministro, los ciberdelincuentes con motivaciones financieras y las bandas patrocinadas por Estados nunca, o casi nunca, han actuado con tanta intensidad como en los últimos 12 meses”.

DBIR de 2022 

En 2022, el 82 % de las brechas involucraron al elemento humano.
DBIR - 2022 Data Breach Investigations Report
DBIR 2022 Verizon

Así lo establece la publicación de Verizon 2022 Data Breach Investigations Report. 

Ya han pasado 15 años desde que salió el primer informe anual de investigaciones de brechas de datos de Verizon. En la edición del 2022, el informe de 108 páginas analiza más de 23.000 incidentes y 5.200 brechas confirmadas de todas partes del mundo. 

Los resultados del estudio de Verizon señalan como principales causas de las brechas de seguridad:

  • El uso de credenciales expuestas o robadas
  • La suplantación de identidad 
  • El uso indebido o, simplemente, un error
Figura 1. El componente humano en las fugas (n=4,110); cada glifo representa 25 fugas. (Fuente: DBIR de 2022).

DBIR de 2022. Figura 1. El componente humano en las fugas (n=4,110); cada glifo representa 25 fugas.

Queda claro que las personas siguen desempeñando un papel clave, tanto en los incidentes como en las brechas de seguridad de la información.

DBIR. Resultados relevantes

0%
Brechas involucran humanos

El 82% de las brechas involucraron el elemento humano, incluidos los ataques sociales, los errores y el uso indebido.

0%
Ransomware

Hubo un 13% de aumento en las brechas de ransomware, más que en los últimos 5 años combinados.

0%
Cadena de suministro

En el 62% de los incidentes, el patrón de intrusión al sistema involucró a actores de amenazas que comprometieron a socios (cadena de suministro)

Servicios de prevención del ciberriesgo humano

Obviamente, la formación para concienciar en seguridad a los usuarios es fundamental. Es clave adoptar una estrategia de seguridad centrada en las personas que ayude a la organización a gestionar los riesgos para la seguridad de manera más eficaz, poniendo énfasis en las amenazas que se dirigen a las personas y se aprovechan de ellas.

Cada elemento de riesgo señalado por el informe de Verizon tiene estrategias de mitigación propias, pero, afortunadamente, Kymatio dispone de servicios que permiten automatizar los planes de gestión, prevención y mitigación del riesgo de los empleados. A continuación vamos a recorrer estrategias para prevenir:

  • El uso de credenciales expuestas o robadas
  • Los ataques de suplantación de identidad 
  • El uso indebido o, simplemente, un error

Soluciones. Uso de credenciales expuestas (o robadas)

Kymatio News Credenciales Expuestas. AI generated image, cyber security, credential theft, by nightcafe.studio/

El uso de credenciales robadas o comprometidas es la causa más común de las brechas de datos. Las credenciales fueron el principal vector de ataque en el 19% de las brechas en 2022 y también el principal vector de ataque en 2021, causando el 20% de las brechas.

Las credenciales, como la dirección de correo electrónico o la contraseña, pueden caer en las manos de los delincuentes a través de ataques de ingeniería social, pero a menudo la fuente suele ser una brecha de datos de un servicio online. 

En cualquier caso, para abordar de forma holística este problema es necesaria la monitorización de la exposición de credenciales. Los resultados obtenidos pueden servir de driver para lanzar 2 líneas de trabajo.

Trabajo con credenciales expuestas, línea de control

Revisión periódica y automatizada de la exposición de credenciales, tipología de los datos expuestos e impacto potencial de la información expuesta (combinación de dirección de correo y contraseña, IP, usuarios…). La organización debe conocer su nivel de exposición y trabajarlo internamente.

Trabajo con credenciales expuestas, línea de sensibilización del personal

Una de las mejoras prácticas para la sensibilización de los empleados es trabajar con ellos, además de con ejemplos de terceros e información general, mostrándoles casos reales con sus propios datos.

Para obtener más información sobre cómo gestionar y mitigar el riesgo de credenciales robadas o comprometidas en brechas de terceros recomendamos Kymatio Account Breach Scanner (ABS). 

Soluciones. Suplantación de identidad 

Kymatio News Suplantación de Identidad. AI generated image, cyber security, credential theft, by nightcafe.studio/

El phishing es un buen ejemplo para ilustrar este riesgo. Es parte de nuestro día a día en un mundo en el que alcanzamos un avanzado nivel de digitalización en el ámbito tanto empresarial como personal. 

Ante esta situación es fundamental disponer de una plataforma de simulación de ataque 360º (phishing, spear phishing, smishing, QR malicioso, etc.) que permita el entrenamiento y simulación de ciberataques.

Los tres elementos principales de esta línea de actuación son:

  • Medición de la línea base de la organización con respecto a su comportamiento frente a las distintas simulaciones de ataque.
  • Determinación de objetivos de disminución de errores humanos. Desde los datos de baseline obtenidos, definir un objetivo y coordinar los esfuerzos para alcanzar dicha meta en un período estipulado, de forma que sea realista y alcanzable.
  • Entrenamiento periódico del personal de la organización.
Para obtener más información sobre cómo gestionar y mitigar el riesgo de suplantación con Kymatio Trickster, la suite de simulaciones de phishing, spear phishing, smishing y códigos QR maliciosos, contacta con nosotros.

Soluciones. Uso indebido y error humano (Concienciación)

Kymatio News Error Humano AI generated image, cyber security, credential theft, by nightcafe.studio/

La ingeniería social, o hacking de personas, consiste en comprometer psicológicamente a una persona. Se consigue alterar su comportamiento, facilitando que pueda tomar decisiones y realizar acciones en contra de su propio interés y el de la organización, como puede ser violar la confidencialidad de los datos.

Pero en muchos casos lo que ocurre es, sencillamente, una falta de conciencia sobre la seguridad unida a la inexistencia de sensibilidad sobre la importancia de tener una cultura de seguridad.

La mejor forma de trabajar este riesgo es un programa de concienciación sobre la seguridad de nueva escuela, reservando el e-learning tradicional para aplicarse una vez conocidos los gaps. Un programa que permita entender aquellas áreas que cada empleado tiene que mejorar, determinando todos aquellos elementos que generan el HSG o Human Security Gap.

No siendo una tarea sencilla, existen metodologías y servicios que nos permitirán mejorar la situación en diferentes líneas:

  • Medición del estado de alerta de los empleados y sus gaps.
  • Lanzamiento de programas de concienciación en seguridad personalizados, dirigidos a las áreas donde es necesario el refuerzo de información para cada empleado de forma individualizada.
  • Enfrentar a cada persona a situaciones específicas, permitiéndoles decir en cada caso la mejor alternativa y conseguir medir su evolución en cada dominio principal de la seguridad.
  • Entregar contenidos ágiles, fáciles de consumir (nano-micro contenidos) y vinculados a las áreas necesarias de conocimiento.
  • Realizar todo lo anterior respetando el tiempo del empleado, de forma flexible.

Para obtener más información sobre cómo gestionar y mitigar el riesgo de uso indebido y error humano, recomendamos ver cómo trabajan en conjunto nuestros servicios. Descubre el programa de evaluación y concienciación Kymatio Assessment & Awareness, el servicio de entrenamiento con simulación de ataques de ingeniería social Kymatio Trickster, que incluye NeuroPhishing, y la gestión de exposición de credenciales con Kymatio Account Breach Scanner (ABS). 

0%
Reducción
Error Humano

”En Smartick hemos conseguido reducir un 80% el número de errores humanos en ataques simulados”
David Rodriguez

La nueva IA de Kymatio prepara de forma totalmente personalizada a los empleados  frente a los ataques de Ingeniería Social
05
La nueva IA de Kymatio prepara de forma totalmente personalizada a los empleados frente a los ataques de Ingeniería Social
Caso Reddit: la plataforma social de fama mundial, sufrió un ataque cibernético
19
Caso Reddit: la plataforma social de fama mundial, sufrió un ataque cibernético
¿Es Chat-GPT un arma de Ingeniería Social? Ponemos a prueba a la IA de moda.
39
¿Es Chat-GPT un arma de Ingeniería Social? Ponemos a prueba a la IA de moda.
Responsabilidad de la junta directiva ante el riesgo de ciberseguridad. Recomendaciones.
05
Responsabilidad de la junta directiva ante el riesgo de ciberseguridad. Recomendaciones.
Tags: Ciberriesgo de EmpleadosCiberseguridadEspañolSobre Kymatio
Fernando Mateus

Fernando Mateus

https://www.linkedin.com/in/mateus/

Navegación de entradas

Previous
Previous

DORA, CIR y NIS. La Ley impone la figura directiva del Responsable de Seguridad de la Información

Next
Next

¡Cuidado con los mensajes de texto SMS! Vuelve el ‘Smishing’

Related Posts

Caso Reddit: la plataforma social de fama mundial, sufrió un ataque cibernético 2
16 febrero, 2023
Caso Reddit: la plataforma social de fama mundial, sufrió un ataque cibernético
Chat-GPT y Bing AI Ingeniería social
13 febrero, 2023
¿Es Chat-GPT un arma de Ingeniería Social? Ponemos a prueba a la IA de moda.
Responsabilidad de la junta directiva ante el riesgo de ciberseguridad
8 febrero, 2023
Responsabilidad de la junta directiva ante el riesgo de ciberseguridad. Recomendaciones.
SMS Smishing
1 febrero, 2023
¡Cuidado con los mensajes de texto SMS! Vuelve el ‘Smishing’

Buscar en Kymatio

Testimonios de Clientes

GAM Rentals

https://youtu.be/LrteyzcpdBo

Smartick

https://youtu.be/DqNvF38BcSw

Eversheds Sutherland

https://youtu.be/wXn_jopioOM

Santander VyG

https://youtu.be/MlmOhBDH0Yc

Sincrolab

https://youtu.be/f5XT7Hw-rf0

Categorías de noticias

  • Cyber Insider: (Incidentes/Recomendaciones)
  • Kymatio: (Sobre la empresa)

Otros contenidos

  • Testimonios de Clientes
  • Entrevistas
  • Fuentes Externas
  • Contenido Multimedia

Entradas recientes

  • La nueva IA de Kymatio prepara de forma totalmente personalizada a los empleados frente a los ataques de Ingeniería Social
  • Caso Reddit: la plataforma social de fama mundial, sufrió un ataque cibernético
  • ¿Es Chat-GPT un arma de Ingeniería Social? Ponemos a prueba a la IA de moda.
  • Responsabilidad de la junta directiva ante el riesgo de ciberseguridad. Recomendaciones.
  • ¡Cuidado con los mensajes de texto SMS! Vuelve el ‘Smishing’
  • El elemento humano está detrás de las brechas de seguridad. Revisamos el informe de Verizon DBIR sobre brechas de datos y las posibles soluciones
  • DORA, CIR y NIS. La Ley impone la figura directiva del Responsable de Seguridad de la Información
  • Palladium Hotel Group despliega Kymatio para preparar a sus empleados frente a las amenazas de ciberseguridad
  • 2023, estrenamos año con nuevo tipo de ataque de phishing: «The Blank Image Attack»
  • La reducción del riesgo cibernético de la cadena de suministro comienza con el reconocimiento de la ingeniería social como la mayor amenaza actual
  • Tendencias 2023: Ciberseguridad y Factor Humano
  • Qué hacer si te estafan en una compra por internet. Guía paso a paso.
  • Regala Ciberseguridad con Kymatio y Prueba Gratis Nuestro Nuevo Servicio de Smishing
  • Ciberdelincuencia en el Mundial de Catar. ¿Qué está pasando y cómo protegerte?
  • Día Internacional de la Seguridad de la Información 2022

Categorías (Español)

  • Apariciones en prensa
  • Artículos
  • Artículos externos
  • Ciberpsicología
  • Ciberriesgo de Empleados
  • Contrataciones
  • Dirección Estratégica
  • Empresa Cibersegura
  • Empresas Ciberconcienciadas
  • Entrevistas
  • European Cyber Security Organisation
  • Eventos
  • INCIBE
  • Inteligencia Artificial
  • Inteligencia Insider
  • Internal threat news
  • Inversores
  • Kymatio A&A – Evaluación y Concienciación
  • Kymatio Account Breach Scanner – ABS (Exposición Credenciales)
  • Kymatio en los medios
  • Kymatio Trickster (Simulación de Ataques)
  • Noticias Ciberinsider
  • Noticias sobre amenza interna
  • Partnership
  • Premios y Reconocimientos
  • PYMES
  • Sobre Insiders
  • Sobre Kymatio
  • Talento
  • Testimonios
  • Xmas

RSS Kymatio RSS feed Español

Suscríbete a nuestra newsletter

subscribe
Kymatio

+34 644 765 240 

contact@kymatio.com 

Producto

Análisis del Riesgo Interno
Plan Prevención Riesgo Interno
Fortalecimiento empleados

Empresa

Inicio
Servicios
¿Cómo funciona?
Partners
Blog
Contacto
[English]

Redes Sociales

Youtube Linkedin-in Facebook-f Twitter
Sello PYME INNOVADORA 11/02/2024
PYME INNOVADORA
Válido hasta el 11 de febrero de 2024
escudo de MEIC 11/02/2024

Copyright © 2021 Kymatio

Política de Privacidad
Política de Cookies
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede conocer cómo cambiar la configuración u obtener más información en el botón "Leer más"
AcceptRechazar Leer más Configuración
Política de Privacidad y de Cookies

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Siempre activado
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
GUARDAR Y ACEPTAR