Foto de Mikhail Nilov en Pexels
Cuando escuchamos el término “ciberseguridad”, lo primero que nos viene a la cabeza generalmente es la seguridad de los dispositivos y las redes: antivirus, firewalls, encriptación de datos…
El factor humano a menudo se olvida o, como poco, queda relegado a un segundo plano. No obstante, hay estudios que apoyan que más del 90% de los incidentes de seguridad implican el factor humano de una forma u otra.
Aunque esto es algo de lo que cada vez son más conscientes las organizaciones, lo cierto es que los esfuerzos no son suficientes, ya que a diario somos testigos de nuevos incidentes de seguridad. La gran mayoría se deben a errores por parte de los empleados que no tienen ninguna intención maliciosa, adquiriendo una especial relevancia los engaños mediante ingeniería social.
Ingeniería social: un concepto desconocido
Aunque se trata de un concepto que no se ha generalizado hasta hace relativamente poco, su alta frecuencia e impacto deberían ponerlo en nuestro radar. La ingeniería social no es otra cosa que un intento de manipulación de las personas para conseguir que actúen de una determinada forma: hacer clic en un enlace, descargar un archivo, proporcionar sus credenciales, realizar transferencias… lo que sea con tal de que el atacante pueda obtener un beneficio.
Si bien el caso del phishing es el más conocido, no debemos descartar otros como el vishing o el smishing, o incluso aquellos que requieren una interacción cara a cara con la víctima.
Además, es importante que tengamos en cuenta que todos podemos llegar a ser víctimas de un ataque de estas características, ya sea en nuestra vida personal o en la laboral (y sí, esto incluye también a aquellos que no trabajan con información sensible).
Cualquier persona puede recibir un correo con un ejecutable destinado a secuestrar los archivos de la red corporativa, una llamada preguntando por el responsable de otro departamento o encontrarse con un USB infectado.
Foto de Christopher Lemercier en Unsplash
Algunos casos destacados
El ataque que sufrió Mapfre en verano de 2020 es un claro ejemplo de cómo se puede comprometer la seguridad de una organización completa con tan solo un correo. La compañía sufrió un incidente que comenzó, según la hipótesis más probable, con una campaña de phishing. Una de las empleadas cayó víctima del engaño, comprometiendo instantáneamente sus credenciales y permitiendo que los atacantes accedieran a los sistemas para poder seguir con su plan. Finalmente fue la ejecución de un ransomware lo que hizo que la compañía se diera cuenta del incidente, un archivo que se distribuyó después de varios intentos frustrados de sacar información por otros métodos.
Zendal tampoco estuvo a salvo de los ciberdelincuentes el año del comienzo de la pandemia. A través de diversos correos en los que se suplantó la identidad tanto del superior del responsable financiero como de los auditores con los que teóricamente estaban trabajando, consiguieron una suma desorbitada de dinero, lo que comúnmente se conoce como fraude del CEO. De esta forma, dicho trabajador no sospechó de las diversas transferencias que se estaban ordenando hasta que se percató de la falta de liquidez de la compañía. Sin embargo, para entonces ya habían estafado 9 millones de euros.
El Servicio Público Estatal de Empleo (SEPE) es otra institución que ha sido castigada por los ciberataques recientemente. En marzo de 2021, el ransomware Ryuk se propagaba por los dispositivos de los trabajadores de la organización, bloqueando buena parte del servicio y cifrando información. Aunque no se conocen los detalles de qué fue lo que llevó al éxito de este ataque, al parecer varios archivos maliciosos aparecieron en diversas carpetas del recurso compartido. Tanto si llegaron ahí por mano directa del ciberdelincuente como si lo hizo un empleado al hacer clic donde no debía, lo cierto es que el programa no hubiera causado estragos si nadie lo hubiera ejecutado desde dentro fruto de una negligencia.
Otro caso detectado hace pocos meses es el del envío de USB infectados a empresas estadounidenses. Los dispositivos se tratan, supuestamente, de un regalo de Amazon o del Departamento de Salud y Servicios Humanos de dicho país, pero nada más lejos de la realidad: lo cierto es que son enviados por ciberdelincuentes que buscan infectar los ordenadores con un ransomware en el momento de su conexión.
Y, recién salido del horno, nos encontramos con un intento de suplantación a la famosa página de envío de archivos WeTransfer. Los delincuentes envían correos electrónicos con, supuestamente, una citación judicial de un bufete de abogados por haber infringido algún registro de marca. Así, induciendo miedo en la víctima, consiguen que se descargue dicha citación a través de una página fraudulenta que, aunque se asemeja a WeTransfer, lo que pretende es robar sus credenciales de acceso.
También es importante que tengamos en mente que este tipo de ataques no solo se llevan a cabo en la esfera laboral. Es el caso de la estafa de Microsoft, por ejemplo. Se trata de un ataque a través de una llamada telefónica (vishing) en el que los delincuentes se hacen pasar por empleados de dicha compañía. Bajo el pretexto de ayudarnos a solucionar una incidencia en nuestro ordenador, nos piden que nos descarguemos una aplicación de control remoto para que ellos lo puedan gestionar de forma directa. Sin embargo, en el momento en el que permitimos su acceso, estamos comprometiendo la seguridad de toda la información que guardemos dentro de nuestro dispositivo. Esto incluye cuentas en las que estemos logados y otro tipo de documentos que podamos tener.
¿Cómo poner una solución?
Al igual que instalamos barreras tecnológicas en nuestros dispositivos y redes con el fin de reducir estas amenazas, las personas también debemos construir barreras y convertirnos en firewalls humanos.
Esto pasa por una concienciación integral. No solo necesitamos saber cómo gestionar debidamente nuestras contraseñas o cómo mantener seguro nuestro lugar de trabajo. También es preciso que conozcamos los diferentes vectores de ataque con los que nos podemos encontrar y cómo detectarlos. Como se ha mencionado antes, el phishing es probablemente el más frecuente, pero no debemos quedarnos solo en este tipo de estafas a la hora de concienciarnos, tal y como se ha visto en el caso de baiting en Estados Unidos o de vishing en el caso de la supuesta llamada de Microsoft.
Tal y como las máquinas presentan sus vulnerabilidades, los humanos también las tenemos. Esto no pasa desapercibido para los ciberdelincuentes y, por ende, buscan explotarlas para optimizar el éxito de sus ataques. Conocer cuáles son estas vulnerabilidades y cuáles predominan en nosotros particularmente nos ayudará a permanecer alerta y detectar posibles intentos de engaño que podrían tener graves consecuencias.
Información de interés relacionada: