Los empleados, el eslabón más débil frente a la ciberdelincuenciaRaúl Salgado 7 abril, 2021 Actualmente, alrededor del 95% de los ciberataques que sufren las empresas tiene su origen en el llamado «factor humano». Es decir, en los deslices que se cometen por desconocimiento o error. Y es que si antes de la pandemia los trabajadores constituían el flanco más débil en la lucha contra los ciberdelincuentes, esta vulnerabilidad se ha agravado en la era del teletrabajo. Muchas soluciones tecnológicas protegen los sistemas informáticos, pero las personas estamos expuestas a un tipo de ataques muy específicos que nos tienen a nosotros mismos como objetivo: la ingeniería social. Siete hacking de personas Los ciberdelincuentes pretenden engañar a los empleados para conseguir información confidencial o algún beneficio, tras instalar un programa malicioso que posteriormente robará o secuestrará datos o infectará otros sistemas. Ahora bien, Fernando Mateus, CEO de Kymatio, aclara que dentro de la ingeniería Social o hacking de personas existen multitud de ciberataques: Phishing Es el envío de mensajes que buscan conseguir información o infectar el ordenador a través de un archivo o un enlace. Puede realizarse a través de casi cualquier plataforma digital y adoptar diversas formas, como correos electrónicos en los que se suplanta la identidad de otra persona o entidad de confianza. Se trata de un ataque que se realiza masiva e indiscriminadamente, enviando miles de correos de manera simultánea, con un coste muy bajo para el atacante, que solo tiene que esperar a que un pequeño porcentaje de las víctimas pique y le proporcione una contraseña, el número de tarjeta de crédito, una transferencia… Spear phishing Es un tipo de phishing dirigido a una víctima o grupo de víctimas, donde los atacantes investigan a sus objetivos para personalizar el mensaje e incrementar las probabilidades de éxito. Vishing Son ataques que pretenden manipular al interlocutor mediante una llamada telefónica, para obtener la información necesaria. Se pueden hacer pasar por personas de otros departamentos o entidades de confianza con las que la empresa trabaje para engañar a sus víctimas. Dumpster diving Es un ataque presencial, un “buceo en la basura”, con el que se buscan archivos en la papelera de otra persona. A priori podría parecer poco probable encontrar bases de datos, por ejemplo, en un sitio así; pero no claves de acceso, fechas señaladas o informaciones susceptibles de abrir una brecha de seguridad. Shoulder surfing Es una modalidad presencial a través de la cual una persona es capaz de ver la información que otra está manejando al mirar por encima de su hombro. Waterholing Se trata de una infección de sitios web para extenderla a todos los ordenadores de las personas que accedan a ellos. Baiting Consiste en infectar un medio físico (como un USB, una tarjeta de memoria o un disco duro) y abandonarlo en un lugar donde probablemente lo vaya a encontrar otra persona, para que cuando la conecte a su ordenador, este sea infectado por el programa malicioso. La mejor defensa es la concienciación Frente a muchas de estas amenazas y ciberataques, no hay antivirus o antispam que valgan. Porque siempre habrá algún atacante capaz de pasar desapercibido entre las herramientas de defensa. «A las personas sentadas delante del ordenador que ejecutan el programa infectado o abren el enlace del correo de phishing no podemos instalarles un antivirus. Pero sí es posible adoptar una estrategia similar a la que se hace cuando se gestionan riesgos tecnológicos, intentando identificar las vulnerabilidades de los empleados, para saber la amenaza a la que están expuestos y así poder mitigarla». Fernando Mateus afirma que para reducir el riesgo que supone la ingeniería social la herramienta más potente es la concienciación. «Que las personas entiendan a qué se están enfrentando, que sepan que son un objetivo de los criminales, que sus datos son valiosos y que un pequeño descuido puede suponer la pérdida de mucho dinero para su organización o para ellos mismos», añade. Asimismo, remarca la importancia de que la concienciación se adapte a cada persona. Porque al igual que hay distintos tipos de ingeniería social, existen diferentes técnicas dentro de cada uno de ellos. «Cada persona es más vulnerable a unos tipos que a otros, y lo que para uno es un engaño obvio, para otro puede ser más difícil de reconocer. Por eso, hay que formar a cada empleado en lo que más requiera, poniendo los parches necesarios, como hacemos con los ordenadores», apostilla. Las pymes, menos concienciadas El 86% de las compañías tienen plantillas que desconocen los riesgos y no toman precauciones, según recientes estudios. Pero el CEO de Kymatio señala diferencias en torno a la cultura de ciberseguridad, pues las compañías que demuestran un mayor nivel cultural en este ámbito superan los 10.000 empleados. «Esta diferencia se debe a que disponen de más recursos y a que la organización -y en especial su dirección- está concienciada del problema y del mayor grado de exposición a los riesgos y amenazas derivados del factor humano», aclara Mateus. Un 71% más de amenazas Durante el último año, las amenazas se han incrementado un 71%. Un aumento que responde a la extensión del teletrabajo, que conlleva nuevos riesgos, como consecuencia de que los empleados que trabajan desde casa han pasado a situarse en el punto de mira de los ciberdelincuentes. No es una cuestión baladí. De hecho, Fernando Mateus señala que el coste medio por incidente ronda los 4 millones de euros en las grandes compañías y los 40.000 euros en las pymes. Además, seis de cada diez pequeñas empresas que reciben un ciberataque se ven obligadas a echar el cierre medio año después de sufrirlo. Kymatio, una coraza para los trabajadores Ya sea por el asentamiento del teletrabajo durante la pandemia, o por la proliferación de ataques dirigidos contra los empleados, lo cierto es que cada vez más compañías son conscientes de la necesidad de afrontar el ciberriesgo de sus trabajadores de una forma diferente. Prueba de ello es que durante el primer mes y medio de 2021 Kymatio igualó la facturación del último trimestre de 2020. Kymatio es un SaaS (Software as a Service) que identifica, analiza y proporciona todo lo necesario para gestionar los ciberriesgos de los empleados. Esta startup fue una de las 39 en las que Wayra invirtió un total de 4,5 millones de euros a lo largo de 2020. Y también forma parte del portafolio de Telefónica Tech Ventures. Se trata de un servicio de suscripción anual que automatiza la concienciación de los trabajadores, haciendo que la necesaria sensibilización sea realmente eficaz, y proporciona a personas y organizaciones visibilidad sobre los riesgos de ciberseguridad. Su CEO revela que Kymatio evalúa las necesidades de cada persona, a quienes entrega contenidos adaptados. Y, en paralelo, lanza simulaciones de ataques, en especial campañas de phishing, para preparar a la plantilla frente a estas amenazas. “También entregamos a las empresas recomendaciones de fortalecimiento adaptadas a su realidad, para que sean resilientes y puedan definir sus estrategias de mitigación del riesgo basadas en datos reales”, concluye. Artículos relacionados: Amenazas y principales ciberataques en 2021 (Infografía) Angelo Huang, CEO de BlaBla: «en mi primera startup, el producto maduró mucho y sentí que mi contribución ya no iba a ser tan importante»Tendencias en transportes, logística y cadena de suministros
Raúl Alonso Cómo hacer encuestas en Whatsapp y crear comunidades Se acabaron las conversaciones interminables para elegir día y hora de una reunión, o decidir cuál es la mejor campaña para promocionar el último lanzamiento. Ahora es posible imponer...
Raúl Salgado Cuatro claves para cumplir con la nueva Ley de Protección de Informantes El pasado 13 de marzo entró en vigor la Ley de Protección Integral de Informantes, que establece medidas específicas para garantizar la confidencialidad y seguridad de las personas que...
Mercedes Blanco ¿Por qué deberíamos ser asíncronos en nuestros trabajos? Después de muchos años abogando por la inmediatez y la sincronización, tanto de tareas como de equipos de trabajo, nos hemos dado cuenta de que no sólo no nos...
Raúl Alonso ‘Mindfulness’, el mundo puede esperar ¿Es posible ser más feliz sin tener más? En los últimos años son muchos los que hablan de los beneficios del mindfulness, pero ¿qué ofrece esta técnica de meditación...
Lluis Serra Un buen diagnóstico es la base de un plan estratégico eficaz Hace unas semanas me llamó un empresario del sector industrial, para que le ayudara a iniciar un proceso de digitalización y transformación de su compañía. A medida que iba...
Raúl Alonso Cómo elaborar un plan de formación empresarial El objetivo de cualquier plan de formación empresarial es que los empleados realicen mejor el trabajo y aumente la competitividad de la empresa. Como en tantas otras áreas clave...
