De un tiempo a esta parte, crece la preocupación por cuestiones de ciberseguridad y, especialmente, por el tiempo de dedicación que requieren los ataques de phishing y de ingeniería social. Esto no sorprende si se tiene en cuenta el aumento de los ataques BEC (Business Email Compromise) y que gran parte del ransomware se está distribuyendo por correo electrónico. Igualmente, queda patente que el eslabón más débil en las estrategias de seguridad son los usuarios finales, ya que son más susceptibles de sucumbir a este tipo de ataques.
Con este panorama es normal preguntarse: ¿cómo podemos atajar este problema y ayudar a los usuarios para que no “piquen” con tanta facilidad? La respuesta pasa por practicar, practicar y practicar, trabajando de cerca con los usuarios y formándoles. La tecnología vuelve a ser un gran aliado para los negocios, que ahora pueden contar con innovadoras herramientas gratuitas que permiten generar exactamente la información necesaria para crear programas de formación y concienciación en seguridad más efectivos.
El mayor vector de amenaza
El email sigue siendo el vector de amenaza más grande que afecta a las organizaciones en la actualidad. En 2017 se contabilizaron más de 66.400 millones de amenazas, de las que más del 85% fueron correos electrónicos con contenido malicioso. Sin duda, el phishing es una de las tácticas a la que más recurren los cibercriminales. Empleando estrategias de ingeniería social para engañar al usuario, buscan que este acceda a un enlace malicioso o abra un archivo adjunto cargado de malware que puede derivar en el robo de datos de clientes o de propiedad intelectual altamente sensible.
Llama la atención que el 94% de todo el ransomware bloqueado en 2017 se distribuyera por correo electrónico. Además, las últimas estadísticas de Verizon revelan que el phishing representó el 93% de todas las brechas de datos registradas el año pasado. BEC, o el “timo del CEO”, es otra amenaza creciente que llega por email y se prevé que genere pérdidas acumuladas de más de 9.000 millones de dólares este año.
Descrito el contexto general, se ratifica que la ingeniería social y las técnicas de phishing desempeñan un papel cada vez más importante en los ciberataques, y lo que está en juego solo se verá incrementado. Y para muestra un botón: el precio de las acciones de una compañía aeroespacial cayó un 38% después de que fuera golpeada por un ataque BEC, provocando pérdidas de más de 50 millones de euros. ¡Se dice pronto! Entonces, ¿qué hacer? Claramente, las organizaciones deben fortalecer el eslabón más débil en la cadena de ciberseguridad: los empleados.
A diferencia de la tecnología, el personal no puede ser parcheado. Sin embargo, con programas de educación adecuados se les puede enseñar cómo detectar estafas de correo electrónico. Según Verizon, el 4% de los objetivos de cualquier campaña de phishing hará clic en él. Esta cifra puede parecer poco elevada, pero solo se necesita un clic perdido para, potencialmente, poner a la organización en problemas.
Los programas de sensibilización y educación son un complemento importante de las herramientas y tecnologías de ciberseguridad, pero para diseñar un programa efectivo es crucial comprender el comportamiento del usuario. Los nuevos avances facilitan el cambio de mentalidad en las organizaciones respecto a la seguridad, haciendo de ello un asunto de interés general.
Replantearse la formación y el entrenamiento de los usuarios poniendo a su disposición soluciones para realizar simulacros personalizados de campañas de phishing con datos reales puede ser altamente beneficioso para el conjunto de la compañía, pues los trabajadores actuarán como si se tratara de ataques reales. Una vez que la campaña está en marcha, la información se retroalimenta mediante estadísticas detalladas a través de centros de monitorización, permitiendo identificar los perfiles y regiones más susceptibles de caer en una trampa e intensificar las medidas correctivas.
En definitiva, se trata de evolucionar y adaptarse, tal y como lo hacen los hackers. Para ello la industria se vale de los nuevos avances y pone a disposición del usuario los últimos métodos de detección, evaluación y reacción ante las amenazas, aportando información muy valiosa para las compañías sobre cómo los usuarios perciben e interactúan con correos electrónicos de phishing
Trabajar para que el mundo sea más seguro a la hora de intercambiar información digital, no es una tarea fácil, pero gracias a los avances en innovación existe una oportunidad real de mejorar radicalmente la seguridad básica para innumerables organizaciones, y si estos son gratuitos, el alcance será mucho mayor. Los humanos son criaturas de hábitos y si se les puede persuadir para que adopten buenas prácticas, darán un gran paso en el camino hacia una postura de seguridad más proactiva. Todo comienza con una mejor comprensión y por tener una visión más amplia de lo que nos rodea.
José Battat, es director general de Trend Micro Iberia.