El arte de la ciberseguridad en la empresa
La adaptación al medio es el principal vector de funcionamiento y supervivencia para una empresa. Y en todo este proceso, el entorno tecnológico juega un papel crucial. Lo cual convierte a la ciberseguridad en un pilar fundamental y a los empleados, en actores clave. No en vano, el 62 % de los incidentes de esta índole que tienen lugar en las organizaciones están precedidos de un fallo humano, tal y como refleja el último informe de ‘Ciberamenazas y Tendencias’ elaborado por el Centro Criptológico Nacional.
Ese error puede deberse a una negligencia de seguridad, aunque también puede suceder que algún empleado sea engañado por el cibercrimen y, sin saberlo, le abra las puertas de la organización a través de uno de estos ataques de ingeniería social. Es decir, todas esas técnicas de manipulación que emplean los ciberdelincuentes para tratar de acceder a información confidencial, robar importantes sumas de dinero o hacerse con el control de los equipos, que son cada vez más elaboradas y frecuentes. Si en 2016, se produjeron en España algo más de 92.000 ciberdelitos, en 2020 ascendieron a casi 288.000, según se desprende del último estudio sobre la cibercriminalidad publicado en nuestro país.
El ‘phishing’, la técnica favorita del cibercrimen
Se sabe que el ‘phishing’ es la técnica de ataque más utilizada por los cibercriminales, pero hay otras muchas. Se estima que descuidar la ciberseguridad puede suponer un coste medio de recuperación de 75.000 euros para una pyme, y de varios millones si se trata de una multinacional. Esta clase de delincuentes decide, por ejemplo, extorsionar a los responsables de las empresas a cambio de recuperar la información del grupo y no hacerla pública o subastarla en la Dark Web. Lo cual explica, por otro lado, por qué el cibercrimen es hoy en día una franquicia con un servicio a demanda que factura incluso más que el narcotráfico.
Con estos antecedentes, cabe preguntarse qué se puede hacer para evitar caer en sus trampas. Y lo primero es conocer cómo se desarrollan este tipo de ataques.
¿Cómo se desarrollan estos ataques?
Gracias a técnicas de ingeniería social como el ‘phishing’, los ciberdelincuentes se ganan la confianza del usuario y consiguen obtener sus claves o derivarle a páginas fraudulentas. Pero, ¿cómo consiguen que caiga en ese embuste cibernético? Fácil: recopilando toda la información que hay disponible en fuentes de redes abiertas, como foros, redes sociales o medios de comunicación. Y esto incluye, naturalmente, a las empresas. En esta primera fase, los cibercriminales también seleccionan y criban todo tipo de documentación relevante para sus intereses como listas de empleados, direcciones de correo o el organigrama de la organización. Con esta información perfilan mejor sus engaños y lanzan campañas masivas de tipo ‘phishing’ o correos maliciosos; de ‘smishing’ o SMS fraudulentos; de ‘vishing’ o falsas llamadas. O bien pueden personalizar, aún más, sus fraudes y suplantar la identidad de un directivo para ponerse en contacto con algún empleado, que esté autorizado a realizar pagos, y embaucarle para que se salte el procedimiento habitual.
Los ciberdelincuentes se ganan la confianza del usuario y consiguen obtener claves o derivarlo a páginas fraudulentas
Esto último se conoce como Fraude del CEO y es un ciberataque mucho más dirigido. Pero existe una manera de embuste todavía más precisa: el ataque de tipo ‘whaling’. En el argot criminal se conoce así porque está dirigido a los “peces gordos''; los delincuentes contactan directamente con el CEO de la empresa en cuestión y tratan de persuadirlo para que les proporcione, igualmente, información confidencial o autorice algún tipo de transferencia usando esas mismas técnicas de ingeniería social.
¿Cuáles suelen ser los ganchos más comunes?
Los cibercriminales suelen usar como pretexto ese respeto a la autoridad, la voluntad de ayudar a los demás o el temor a un bloqueo de un servicio. Apelan al miedo o a la urgencia, o tientan a su objetivo con alguna oferta muy llamativa que le haga pinchar en un enlace fraudulento y facilitar sus credenciales o ejecutar un archivo infectado.
La importancia de estar protegidos
La mejor forma de protegerse contra los ataques de ingeniería social es concienciar a los empleados y convertirlos en actores clave contra la ciberdelincuencia. Para ello es conveniente seguir las siguientes pautas:
- Difusión de la política de seguridad. Las normas de seguridad de la información deben estar correctamente documentadas, actualizarse periódicamente y siempre al alcance y disposición de todos los empleados .
- Desarrollar un plan de formación. Seleccionar, en primer lugar, los aspectos que queremos tratar, los procedimientos y controles de seguridad básicos; conocer y cumplir normas, leyes y acuerdos; y determinar después el uso correcto de los recursos y protección de datos personales.
- Programas de formación generales y específicos. Concienciar a toda la plantilla de la existencia y peligros de la ingeniería social y de la responsabilidad personal por acción u omisión y sus posibles consecuencias. Analizar si es conveniente desarrollar programas de concienciación especializados para ciertos perfiles de empleados y, por supuesto, crear una actividad formativa introductoria para los nuevos empleados.
- Periodicidad de la formación. De esta manera conseguiremos unos conocimientos actualizados y reforzaremos las debilidades que vayan surgiendo.
- Evaluación de la formación y concienciación. Es vital estudiar el grado que los empleados alcanzan a lo largo del año.
- Extender estas pautas a terceros. Nuestro entorno también puede ser víctima de ataques de ingeniería social que pueden llegar a afectar a nuestra empresa. Por lo tanto, es importante asegurar que nuestros colaboradores externos cuenten con planes de concienciación, formación y entrenamiento.
- Reportar, reportar, reportar. Si creemos haber sido víctimas de un ciberataque, debemos reportarlo lo antes posible. De este modo se podrá evitar que ese ataque llegue a más empleados.