Los empleados, el eslabón más débil frente a la ciberdelincuenciaRaúl Salgado 7 abril, 2021 Actualmente, alrededor del 95% de los ciberataques que sufren las empresas tiene su origen en el llamado «factor humano». Es decir, en los deslices que se cometen por desconocimiento o error. Y es que si antes de la pandemia los trabajadores constituían el flanco más débil en la lucha contra los ciberdelincuentes, esta vulnerabilidad se ha agravado en la era del teletrabajo. Muchas soluciones tecnológicas protegen los sistemas informáticos, pero las personas estamos expuestas a un tipo de ataques muy específicos que nos tienen a nosotros mismos como objetivo: la ingeniería social. Siete hacking de personas Los ciberdelincuentes pretenden engañar a los empleados para conseguir información confidencial o algún beneficio, tras instalar un programa malicioso que posteriormente robará o secuestrará datos o infectará otros sistemas. Ahora bien, Fernando Mateus, CEO de Kymatio, aclara que dentro de la ingeniería Social o hacking de personas existen multitud de ciberataques: Phishing Es el envío de mensajes que buscan conseguir información o infectar el ordenador a través de un archivo o un enlace. Puede realizarse a través de casi cualquier plataforma digital y adoptar diversas formas, como correos electrónicos en los que se suplanta la identidad de otra persona o entidad de confianza. Se trata de un ataque que se realiza masiva e indiscriminadamente, enviando miles de correos de manera simultánea, con un coste muy bajo para el atacante, que solo tiene que esperar a que un pequeño porcentaje de las víctimas pique y le proporcione una contraseña, el número de tarjeta de crédito, una transferencia… Spear phishing Es un tipo de phishing dirigido a una víctima o grupo de víctimas, donde los atacantes investigan a sus objetivos para personalizar el mensaje e incrementar las probabilidades de éxito. Vishing Son ataques que pretenden manipular al interlocutor mediante una llamada telefónica, para obtener la información necesaria. Se pueden hacer pasar por personas de otros departamentos o entidades de confianza con las que la empresa trabaje para engañar a sus víctimas. Dumpster diving Es un ataque presencial, un “buceo en la basura”, con el que se buscan archivos en la papelera de otra persona. A priori podría parecer poco probable encontrar bases de datos, por ejemplo, en un sitio así; pero no claves de acceso, fechas señaladas o informaciones susceptibles de abrir una brecha de seguridad. Shoulder surfing Es una modalidad presencial a través de la cual una persona es capaz de ver la información que otra está manejando al mirar por encima de su hombro. Waterholing Se trata de una infección de sitios web para extenderla a todos los ordenadores de las personas que accedan a ellos. Baiting Consiste en infectar un medio físico (como un USB, una tarjeta de memoria o un disco duro) y abandonarlo en un lugar donde probablemente lo vaya a encontrar otra persona, para que cuando la conecte a su ordenador, este sea infectado por el programa malicioso. La mejor defensa es la concienciación Frente a muchas de estas amenazas y ciberataques, no hay antivirus o antispam que valgan. Porque siempre habrá algún atacante capaz de pasar desapercibido entre las herramientas de defensa. «A las personas sentadas delante del ordenador que ejecutan el programa infectado o abren el enlace del correo de phishing no podemos instalarles un antivirus. Pero sí es posible adoptar una estrategia similar a la que se hace cuando se gestionan riesgos tecnológicos, intentando identificar las vulnerabilidades de los empleados, para saber la amenaza a la que están expuestos y así poder mitigarla». Fernando Mateus afirma que para reducir el riesgo que supone la ingeniería social la herramienta más potente es la concienciación. «Que las personas entiendan a qué se están enfrentando, que sepan que son un objetivo de los criminales, que sus datos son valiosos y que un pequeño descuido puede suponer la pérdida de mucho dinero para su organización o para ellos mismos», añade. Asimismo, remarca la importancia de que la concienciación se adapte a cada persona. Porque al igual que hay distintos tipos de ingeniería social, existen diferentes técnicas dentro de cada uno de ellos. «Cada persona es más vulnerable a unos tipos que a otros, y lo que para uno es un engaño obvio, para otro puede ser más difícil de reconocer. Por eso, hay que formar a cada empleado en lo que más requiera, poniendo los parches necesarios, como hacemos con los ordenadores», apostilla. Las pymes, menos concienciadas El 86% de las compañías tienen plantillas que desconocen los riesgos y no toman precauciones, según recientes estudios. Pero el CEO de Kymatio señala diferencias en torno a la cultura de ciberseguridad, pues las compañías que demuestran un mayor nivel cultural en este ámbito superan los 10.000 empleados. «Esta diferencia se debe a que disponen de más recursos y a que la organización -y en especial su dirección- está concienciada del problema y del mayor grado de exposición a los riesgos y amenazas derivados del factor humano», aclara Mateus. Un 71% más de amenazas Durante el último año, las amenazas se han incrementado un 71%. Un aumento que responde a la extensión del teletrabajo, que conlleva nuevos riesgos, como consecuencia de que los empleados que trabajan desde casa han pasado a situarse en el punto de mira de los ciberdelincuentes. No es una cuestión baladí. De hecho, Fernando Mateus señala que el coste medio por incidente ronda los 4 millones de euros en las grandes compañías y los 40.000 euros en las pymes. Además, seis de cada diez pequeñas empresas que reciben un ciberataque se ven obligadas a echar el cierre medio año después de sufrirlo. Kymatio, una coraza para los trabajadores Ya sea por el asentamiento del teletrabajo durante la pandemia, o por la proliferación de ataques dirigidos contra los empleados, lo cierto es que cada vez más compañías son conscientes de la necesidad de afrontar el ciberriesgo de sus trabajadores de una forma diferente. Prueba de ello es que durante el primer mes y medio de 2021 Kymatio igualó la facturación del último trimestre de 2020. Kymatio es un SaaS (Software as a Service) que identifica, analiza y proporciona todo lo necesario para gestionar los ciberriesgos de los empleados. Esta startup fue una de las 39 en las que Wayra invirtió un total de 4,5 millones de euros a lo largo de 2020. Y también forma parte del portafolio de Telefónica Tech Ventures. Se trata de un servicio de suscripción anual que automatiza la concienciación de los trabajadores, haciendo que la necesaria sensibilización sea realmente eficaz, y proporciona a personas y organizaciones visibilidad sobre los riesgos de ciberseguridad. Su CEO revela que Kymatio evalúa las necesidades de cada persona, a quienes entrega contenidos adaptados. Y, en paralelo, lanza simulaciones de ataques, en especial campañas de phishing, para preparar a la plantilla frente a estas amenazas. “También entregamos a las empresas recomendaciones de fortalecimiento adaptadas a su realidad, para que sean resilientes y puedan definir sus estrategias de mitigación del riesgo basadas en datos reales”, concluye. Artículos relacionados: Amenazas y principales ciberataques en 2021 (Infografía) Angelo Huang, CEO de BlaBla: «en mi primera startup, el producto maduró mucho y sentí que mi contribución ya no iba a ser tan importante»Tendencias en transportes, logística y cadena de suministros
Telefónica Pymes AVISO: En Think Big Pymes nos trasladamos A partir de ahora, TODOS los contenidos del blog Think Big Pymes, se trasladan a la Comunidad Empresas, un espacio de referencia para la pequeña y mediana empresa, donde...
Íñigo Morete Ortiz Explora las novedades de Telefónica Open Gateway en su newsletter En la actualidad, acceder a información actualizada es un impulsor indispensable para el progreso empresarial, permitiendo que las empresas avancen de manera más ágil y eficiente. Hoy en día...
Telefónica Pymes Joinup, movilidad sostenible para empresas y empleados Los servicios de movilidad corporativa cada día toman una mayor relevancia en el panorama laboral, una oportunidad de negocio que hace más de una década detectaron Elena Peyró y...
Telefónica Pymes Transformando el calor en frío para ser más eficientes. El caso de Castellana de Carnes ¿Y si el sol pudiera convertir el calor en frío? Seguimos visitando empresas que ya han descubierto las grandes ventajas de pasarse a la energía solar. En esta ocasión...
Raúl Alonso ¿Estás preparado para cumplir con la nueva factura electrónica obligatoria? La obligación para pymes y autónomos de emitir facturas de forma electrónica o digital se demora hasta mediados de 2025. Cierto que aún queda tiempo para prepararse, pero aquellos...
Álvaro Álvarez ¿Cómo mejorar la protección de los datos personales de tus clientes? La protección de los datos personales de los clientes es una prioridad para las empresas. No solo por la obligación de cumplir con la jurisprudencia de la conocida LOPD...
