La ciberseguridad sigue siendo un tema candente. Los incidentes relacionados con la seguridad de la información continúan en aumento mientras somos testigos de varios de ellos cada pocos días a través de la prensa. Tras ellos existen diversas causas, como pueden ser la explotación de vulnerabilidades de los sistemas informáticos por parte de terceros, los ataques de ingeniería social o las negligencias de los empleados.
Está claro que, si las organizaciones quieren protegerse frente a las terribles pérdidas que acarrean estos incidentes, deben tomar cartas en el asunto y defenderse proactivamente de las amenazas que las acechan constantemente. Como se ha mencionado, el compromiso de la seguridad de la información puede darse por diversas causas y, aunque todas son relevantes, hay una que cada vez cobra más importancia y a la que no siempre se presta toda la atención que merece: el factor humano.
Imagen de Sigmund en Unsplash
Los atacantes apuntan sus armas a las personas con cada vez más frecuencia. Esto hace que los empleados sigan siendo una puerta de entrada a las organizaciones, ya que tienen acceso a ella y a la información que manejan, pero también pueden convertirse fácilmente en una barrera frente a los ciberdelincuentes y otro tipo de incidentes. Lo único que hay que hacer es tomar conciencia de los riesgos asociados al factor humano y plantear medidas efectivas para mitigarlo.
Por eso, desde Kymatio traemos 5 tendencias de ciberseguridad para el 2023 asociadas a las personas para que las organizaciones puedan plantear una solución preventiva que las proteja frente a las distintas amenazas y riesgos.
1. Aumento del ransomware.
Actualmente estamos viviendo una oleada de ataques de ransomware que afectan a la seguridad de la información de multitud de entidades. Este tipo de malware “secuestra” los archivos, cifrándolos para posteriormente pedir dinero como rescate.
En muchas ocasiones, son los propios empleados de la organización quienes permiten que este peligro se materialice y, en la gran mayoría de casos, de manera no intencionada.
Los ciberdelincuentes elaboran ataques cada vez más sofisticados que tratan de explotar las vulnerabilidades de las personas. Los correos electrónicos fraudulentos siguen aumentando su credibilidad, especialmente a través de campañas de phishing dirigido que incluso pueden llegar a apoyarse en llamadas telefónicas (vishing). Por eso, si los empleados no mantienen un nivel de alerta adecuado durante todo el año, la probabilidad de caer víctimas de estos engaños se dispara.
2. Deepfakes
Los phishing no son la única amenaza a la que nos enfrentamos. Como se ha mencionado en el apartado anterior, la sofisticación de los ataques es cada vez mayor, y la aparición de los deepfakes pone sobre la mesa una novedosa y potente arma.
Gracias a estos deepfakes, los ciberdelincuentes pueden crear falsos vídeos o conversaciones telefónicas con el rostro y voz de personas conocidas. De esta forma, nuestra capacidad para discernir entre realidad y engaño se ve reducida, convirtiendo este tipo de ataques en uno de los más efectivos.
Ayudar a la plantilla a que aprendan a detectarlos y estar preparados para su llegada en cualquier momento se antoja clave para las organizaciones si no quieren ver comprometida la seguridad de sus activos.
Imagen de Pixabay en Pexels
3. Teletrabajo
Con la pandemia, los empleados de las organizaciones se vieron obligados a trasladar su actividad laboral a sus propios hogares. Aunque poco a poco se está recuperando la normalidad y muchas oficinas han vuelto a abrir sus puertas, es seguro decir que el teletrabajo ha llegado para quedarse. Tal vez no en todas las empresas y tampoco todos los días, pero el considerable aumento de la demanda de esta forma de trabajar ha provocado que una gran cantidad de personas puedan desempeñar sus funciones desde casa durante, al menos, unos días al mes.
Por supuesto, esto permite a los empleados una mejor conciliación entre los distintos ámbitos de sus vidas y confiere una mayor comodidad, pero también conlleva una serie de riesgos asociados.
En muchas ocasiones, las medidas de seguridad no son tan robustas en casa como en la oficina, y el mayor apoyo en la tecnología a la hora de comunicarnos con otros compañeros tampoco ayuda. Los ciberdelincuentes son conscientes de esto y aprovechan las brechas que pueden surgir para elaborar ataques que tienen como objetivo a los empleados.
4. Zero trust
Puede parecer que esta medida es puramente tecnológica, pero nada más lejos de la realidad. Zero trust hace referencia a la realización de pruebas de identidad y al control de accesos de cualquier persona a los distintos archivos y aplicaciones que se manejan en una organización.
Garantizar que la información sensible solo pueda ser accedida por las personas estrictamente necesarias durante el mínimo tiempo indispensable es fundamental para reducir los riesgos asociados al factor humano.
De esta forma, si un atacante robara las credenciales de un empleado y quisiera explotar sus privilegios, vería su labor dificultada a medida que los permisos se van restringiendo. Lo mismo ocurre con las negligencias: errar es humano, por eso no es descabellado pensar que, en algún momento, todos podemos equivocarnos. El problema es que, si cometemos un error mientras manejamos datos sensibles, la gravedad de sus consecuencias puede ser inimaginable.
5. Riesgos móviles
Si hay algo que favorece que estemos conectados durante todo el día, eso es el uso de móviles. Nos resulta cómodo utilizarlos y, por su tamaño, podemos llevarlos siempre encima y manejarlos fácilmente en cualquier momento. Sin embargo, esto también significa que la exposición a amenazas cibernéticas es igualmente constante.
A pesar de que las plataformas oficiales de descarga de aplicaciones cuentan con filtros para descartar aquellas que podrían contener algún tipo de malware o ser fraudulentas de cualquier otra forma, en ocasiones los ciberdelincuentes encuentran la manera de burlar estas barreras. Las disfrazan de aplicaciones totalmente inocuas, como linternas o diccionarios en otros idiomas y, en el momento en el que los usuarios las descargan, su seguridad se ve comprometida.
Tampoco podemos dejar de lado los variopintos mensajes de smishing que nos llegan a través de SMS o incluso WhatsApp. Mensajes de, supuestamente, nuestro banco, empresas de paquetería o incluso familiares y amigos a quienes previamente les han robado sus cuentas nos llegan constantemente y buscan engañarnos para conseguir nuestros datos. Por eso, si no estamos atentos, podríamos ser víctimas de un engaño en cualquier momento.
Imagen de Maxim Ilyahov en Unsplash
La solución
Está claro que, para aumentar la seguridad de las organizaciones, es necesario tomar medidas encaminadas a la gestión de los riesgos. El factor humano es el principal foco en el que los ciberdelincuentes ponen la mira, por lo que es fundamental invertir en este ámbito. Sin embargo, solo un 3% del gasto en seguridad se destina a ello.
Como decíamos al comienzo del artículo, los empleados pueden ser una puerta de entrada a las amenazas o una barrera que proteja la organización contra ellas. La diferencia está en el nivel de alerta que mantienen durante todo el año.
La forma de hacer que dicho nivel sea elevado es muy simple y está al alcance de cualquier entidad: la concienciación. O, mejor dicho, una concienciación adecuada.
Ofrecer cursos monótonos una o dos veces al año no es eficaz, ni tampoco los contenidos aburridos y densos impartidos a todos por igual. Para que un programa de concienciación dé resultado, debe adaptarse a cada empleado en función de sus necesidades, entrenándolo en aquellas áreas que deban ser fortalecidas. Además, debe ser recurrente para evitar que todo caiga en el olvido una vez estos cursos terminan.
Promover una cultura de ciberseguridad en la organización pasa por poner a los empleados en el centro y ayudarles a mantenerse protegidos tanto en el trabajo como también en su vida personal.
Imagen de rawpixel en Freepik
Kymatio® ayuda a las organizaciones a mantenerse seguras gracias a su plataforma SaaS de gestión del riesgo humano. Ofrece planes de concienciación automáticos adaptados a cada empleado según sus necesidades y respetando su tiempo a través de sesiones mensuales de 5-7 minutos. De esta forma pueden elevar su estado de alerta y mantenerlo a lo largo de todo el año.
También ofrece simulaciones de phishing y neurophishing, un tipo de simulaciones dirigidas a las vulnerabilidades de cada empleado para fortalecerle frente a ataques de este tipo.
Por último, la monitorización de credenciales expuestas ayuda a gestionar el riesgo asociado al compromiso de esta información en brechas de seguridad de terceros.
Información de interés relacionada: