La aplicación del enfoque Zero Trust en la seguridad de la información se ha ido extendiendo como la pólvora durante los últimos años a raíz de los crecientes incidentes sufridos por las organizaciones.
Consiste en instaurar la desconfianza por defecto, en asumir que el riesgo es una constante (amenazas internas y externas, negligencias, accidentes…) y que puede materializarse en cualquier momento y a través de cualquier vector y persona.
El razonamiento detrás de ello es simple: igual que no dejaríamos que los niños camparan a sus anchas por una cocina llena de cuchillos y fuegos encendidos por peligro de accidente, las organizaciones tampoco deben aceptar que todos sus empleados tengan permisos sobre información y sistemas a los que ni siquiera necesitan acceso.
Como ya sabemos, adoptar una filosofía Zero Trust en las organizaciones implica llevar a cabo una serie de acciones, resumidas por INCIBE como:
- Verificación: cada vez que un usuario requiera realizar cualquier acción para la que necesite hacer uso de sus permisos, se debe verificar su identidad. No vale fiarse del usuario, hay que comprobar de manera constante. Con esta medida se pueden evitar intentos de suplantación.
- Minimización del impacto:
- Microsegmentación: dividir la infraestructura de la organización permite contener el alcance de los incidentes que pudieran producirse, así como implementar medidas específicas de seguridad. De esta forma, sería más fácil bloquear una amenaza y evitar que se propague al resto de la red.
- Principio del privilegio mínimo necesario: cada persona tendrá acceso a los sistemas e información estrictamente imprescindibles para realizar su trabajo. Por supuesto, antes de otorgar cualquier privilegio es necesario asegurarse de que la persona en cuestión es de total confianza.
- Análisis y registro: con el fin de detectar actividades sospechosas por parte de los usuarios e identificar posibles ataques, es necesario monitorear sus acciones y el tráfico de la red.
Está claro que todo esto ayuda a reducir la probabilidad de incidentes de seguridad, sobre todo si se combina con tecnología encaminada a reforzar las defensas, pero no podemos olvidarnos de un importantísimo detalle: sigue habiendo personas con acceso a información y sistemas críticos, y estas personas siguen siendo vulnerables. ¿Qué ocurriría si un ciberdelincuente las pusiera en su punto de mira?
Ante esta problemática es necesario pensar en una solución. Está demostrado que la aplicación del enfoque Zero Trust a nivel tecnológico ayuda a las organizaciones a elevar sus niveles de seguridad; entonces, ¿qué nos impide hacer lo mismo a nivel humano?
Y la necesidad de revisar las estrategias previas?
Implantando Zero Trust en las personas
Siguiendo los principios de esta filosofía, las personas también deben desconfiar por defecto, especialmente ante peticiones sospechosas.
La evolución de las herramientas tecnológicas y su democratización favorece nuestras operaciones diarias, ya sea en el trabajo o fuera de él. No obstante, esto tiene una cara oscura, ya que los ciberdelincuentes también las pueden aprovechar para llevar a cabo ataques cada vez más sofisticados.
Es muy fácil confiar en nuestros compañeros o superiores, en nuestros amigos y en nuestra familia cuando el mensaje proviene directamente desde su dirección de correo o su teléfono. Solemos hacer lo que nos indican porque quien nos contacta es una persona de confianza.
El problema viene cuando, en ataques de ingeniería social dirigidos, los ciberdelincuentes se hacen pasar por nuestros contactos. En ocasiones lo hacen adaptando el remitente para que sea lo más parecido posible a la persona o entidad que intentan suplantar, pero en otras van incluso más allá: robando sus cuentas y contactándonos desde ellas.
Lo normal es que, ante personas que conocemos, bajemos la guardia, y es precisamente esto lo que puede acabar pasándonos factura. Puede parecer exagerado e incluso frío, pero es algo necesario: en el plano cibernético no podemos fiarnos de absolutamente nadie.
La desconfianza como reacción por defecto ante cualquier petición sensible o conversación inusual es lo que puede marcar la diferencia entre ser estafados y mantenernos seguros.
Lo mejor que se puede hacer en esos casos es contactar a la supuesta persona de origen a través de un medio de comunicación diferente al que han utilizado para contactarnos. Por ejemplo, si nuestro banco nos envía un SMS indicando un acceso a nuestra cuenta desde un país lejano, una sola llamada a nuestra entidad bastará para saber que no es cierto, y que nos encontramos ante un caso de smishing. Si nuestro superior nos envía un correo para que realicemos transferencias por el bien de una operación secreta de la compañía, podemos contactarle a través del teléfono u otros medios de comunicación distintos al correo para confirmar su legitimidad.
En cualquier caso, si no logramos verificar su identidad de manera inmediata porque no pueda atendernos en el momento, deberemos esperar y no hacer nada hasta poder comprobarlo.
Un caso real: la estafa del hijo en apuros
No tenemos que irnos muy lejos para encontrar personas que han caído en las redes de los ciberdelincuentes en algún momento. Una de las estafas más recientes es la del “hijo en apuros”, en la que el criminal contacta con su víctima desde un número móvil nacional haciéndose pasar por su hijo. El pretexto para el cambio de móvil es un supuesto extravío o avería del dispositivo anterior.
Una vez la persona está convencida de la identidad de su interlocutor, el delincuente procede a pedirle dinero con distintas excusas, como no poder acceder a la aplicación del banco para pagar unos recibos de manera urgente.
Este tipo de estafa puede desbaratarse fácilmente si, en lugar de actuar rápidamente por la urgencia de los mensajes, la víctima decidiera parar por unos minutos y comprobar que la persona con la que está hablando es quien dice ser. Solo una llamada al número “antiguo” de su hijo bastaría para descubrir las verdaderas intenciones de la persona oculta detrás del número de teléfono hasta el momento desconocido y, si no contesta, intentar contactar a través de otro medio.
Sin embargo, tendemos a confiar fácilmente, especialmente cuando se trata de personas cercanas. Por eso, esta estafa ha recaudado la friolera de más de 1,4 millones de euros, con al menos 320 víctimas a sus espaldas. Estos son solo los datos que han salido a la luz, pero no sorprendería que los números fueran incluso mayores.
La forma de parar una amenaza en aumento
Los ciberdelincuentes mejoran sus ataques a una velocidad vertiginosa. Cada avance de la tecnología supone una nueva arma que pueden utilizar en nuestra contra.
Los constantes casos de ataques a organizaciones y particulares dejan claro que nuestra seguridad no es algo que podamos dar por sentado: igual que hay chefs capaces de hacer que una tarta parezca un microondas, los delincuentes buscarán la manera de hacernos creer lo que nos dicen. La buena noticia es que nuestra protección está en nuestras propias manos: solo debemos sospechar de cualquier comunicación que se salga de lo normal.
Implementar esta idea en nuestro día a día de forma que sea un pensamiento natural puede salvarnos de ser víctimas del cibercrimen, sin necesidad de caer en la parálisis cada vez que nos contactan. Simples gestos como llamar a nuestro contacto o entidad de confianza si recibimos un mensaje sospechoso llevan muy poco tiempo, pero pueden marcar una gran diferencia.
Ayudando con el Zero Trust humano en las organizaciones
Kymatio® es el líder en gestión del riesgo humano, ofreciendo una solución integral que identifica y analiza riesgos, entrena y conciencia al personal para preparar a la organización frente a ciberataques y requisitos normativos.
Con interacciones mensuales breves, Kymatio® ayuda a los empleados a mantener un nivel de alerta constante, recordándoles la importancia de estar siempre vigilantes. Su formato facilita la asimilación de contenidos y su efectividad durante todo el año. Además, cuenta con un módulo exclusivo dedicado a la ingeniería social, que enseña a los empleados a detectar y responder a ataques.
Para una experiencia práctica, el módulo Trickster realiza simulaciones de ingeniería social, probando a los empleados mediante correos de phishing, spear phishing, smishing, e incluso códigos QR.
Si deseas proteger tu empresa extendiendo el enfoque Zero Trust al factor humano y gestionando el riesgo derivado de las personas, no dudes en contactarnos.
