Actualidad

El componente humano de la ciberseguridad

Artículo de Ana Gómez, Global Head of Security Culture - Corporate Security BBVA

La ciberseguridad está de moda. Los ciberataques están a la orden del día y todas las empresas y particulares quieren evitar ser la siguiente víctima. La inversión en medidas técnicas se dispara y se predice la creación de miles de nuevos puestos de trabajo en este sector; sin embargo, más del 90% de los ciberataques tienen como punto de entrada un error o un descuido humano. Por este motivo es importante conocer las amenazas existentes y cómo evitar que nos afecten a nosotros o a nuestro entorno: familia, empresas y público en general.

Ana Gómez, Global Head of Security Culture - Corporate Security BBVA

Para que seamos conscientes de la dimensión del contexto, en 1991 se crea la World Wide Web, comúnmente conocida como Internet, con menos de un millón de dispositivos conectados. Hoy día se estima que en el mundo hay 7700 millones de habitantes y 22000 millones de dispositivos conectados a Internet, lo que corresponde con más de tres dispositivos inteligentes por persona en media. Si a estas cifras se le suma que cada vez se realizan más tareas de la vida cotidiana en Internet como gestiones bancarias, compartir información, relaciones sociales, ocio, compras online, etc., se entiende por qué hay organizaciones criminales que han optado por dar el salto al mundo digital: la ciberdelincuencia.

Pero al igual que ocurre con los delincuentes, existen ciberdelincuentes solitarios y bandas criminales organizadas, por lo que las técnicas empleadas y la motivación de los ataques son muchas y muy variadas. Los ciberdelincuentes pueden actuar para robar dinero directamente, para sustraer información sensible que venden en la Dark Web por precios insospechados o para prestar servicios contratados por terceros, como el espionaje industrial o daño reputacional.

En función de los objetivos y el retorno económico esperado, se emplearán técnicas más o menos sofisticadas. Los ciberdelincuentes suelen entrar a la fuerza cuando los dispositivos están mal protegidos técnicamente o sin actualizar, y cuando los sistemas de defensa son sofisticados, los atacantes optan por combinar técnicas más próximas a la psicología: la ingeniería social.

La ingeniería social es una técnica con la que los ciberdelincuentes intentan conseguir sus objetivos manipulando a usuarios legítimos, principalmente con información pública que encuentran en Internet. Así tratan de convertir a los usuarios en la puerta de entrada a los ordenadores personales o los sistemas empresariales. Incluso, en algunas ocasiones, son los propios usuarios manipulados los que llevan a cabo las acciones delictivas sin necesidad de que los ciberdelincuentes accedan. Según una importante empresa del sector, el 93% de las brechas de seguridad en 2018 son iniciadas mediante ataques de ingeniería social.

De cara a poder reducir estas cifras, los organismos responsables están actualizando las regulaciones. En ellas se establecen una serie de medidas básicas que las empresas, organizaciones sin ánimo de lucro e instituciones públicas deben cumplir. Regulaciones como GDPR y PSD2 en Europa o las comunicaciones del Banco Central de la República Argentina entre otras, no se limitan solo a medidas organizativas y técnicas, sino que también exigen formación y concienciación de seguridad de la información y riesgos tecnológicos tanto para empleados como para clientes.

Al igual que en el mundo físico, en el mundo digital también se debe tener una conducta responsable y segura para evitar ser víctima de los ciberdelincuentes. Existen algunas recomendaciones básicas que debemos aplicar y fomentar entre compañeros, amigos, familiares y sociedad en general. Pero también hay otros conceptos que no se pueden olvidar:

  • Nunca se puede bajar la guardia. Los delincuentes están operativos las 24h del día, todos los días del año. Tenemos que recordar que el código ético de los ciberdelincuentes no está sujeto a regulaciones, por lo que sus actuaciones pueden ser internacionales, invasivas y lucrativas.
  • Los ingresos de la ciberdelincuencia se apoyan en un constante perfeccionamiento y la generación de nuevas técnicas de ataque, por lo que su inversión en I+D es importante.
  • Los delincuentes se aprovechan del instinto de las personas de confiar en otras, de ayudar a quien lo necesita, de no saber decir que no y de su vanidad.
  • Los ciberataques masivos son igual de probables en dispositivos personales como en profesionales, sin embargo, una empresa con defensas sólidas es capaz de rechazar gran parte de ellos antes de que lleguen a los empleados. Las defensas de los dispositivos deben actualizarse para que reconozcan los ‘malware’ y amenazas más recientes.
  • Los ciberdelincuentes pueden aparecer por cualquier medio: SMS, correos electrónicos, llamadas de teléfono, juguetes infantiles, dispositivos inteligentes, etc.
  • La información pública del usuario puede ser usada por los delincuentes para perjudicar a la persona tanto en el mundo digital como en el real.

Debido al amplio catálogo de crímenes y cibercrímenes existente, la mejor opción para defendernos es estar siempre informados y alerta en nuestro entorno, tanto físico como digital, y contactar con las autoridades competentes del país en caso de detectar indicios de alguno de ellos. Recuerda, incluso con las mejores medidas técnicas de seguridad instaladas:

¡LA DEFENSA ERES TÚ!