No todos los ciberataques tienen éxito, pero los que lo consiguen acarrean consecuencias catastróficas a las empresas. Además de las pérdidas económicas, pueden ocasionar daños irreparables a su reputación y, en ocasiones, el cierre de la compañía.
Una de las técnicas más comunes de ataque es el phishing y los expertos calculan que alrededor del 90% de las organizaciones ha recibido intentos de este tipo en el último año. Lo más habitual es que los ciberdelincuentes hagan envíos masivos de correos electrónicos genéricos, a un gran número de usuarios, con la esperanza de que alguno de ellos caiga en la trampa.
Este tipo de ataques son cada vez más elaborados, selectivos y estudiados. En algunos casos, los atacantes pueden pasar meses o, incluso, años investigando a su víctima y recopilando información para que el mensaje sea creíble. Es el conocido como “fraude al CEO”, que está dirigido a personas con un perfil alto en las organizaciones.
La mayor parte de los ataques son internos
Son solo algunos ejemplos de los riesgos que sufren las compañías. Pero, los ataques externos, llevados a cabo por ciberdelincuentes, solo suponen un 23% del total. El resto de ciberataques se debe, entro otros, a errores humanos, empleados descontentos, competencia desleal, incumplimientos legales o contractuales, falta de medidas técnicas o formación insuficiente.
De hecho, los factores que generan la mayoría de los problemas en seguridad de la información son, fundamentalmente, tres: la falta de valoración de activos, la escasa comunicación entre los departamentos y una deficiente formación y concienciación de los usuarios.
Según datos del informe sobre la brecha de habilidades en ciberseguridad 2022, elaborado por Fortinet, ocho de cada diez organizaciones han sufrido, al menos, una brecha que podría estar relacionada con falta de habilidades y formación. Esto demuestra que el usuario sigue siendo uno de los eslabones más débiles en la cadena de ciberseguridad y revela que la formación y concienciación a empleados es fundamental.
“Ciberataques, cookies, protección de datos, seguridad en redes y sistemas, inteligencia artificial, industria 4.0… son términos que aparecen constantemente en nuestro día a día. La evolución de la tecnología puede llegar a ser tan interesante a la par que abrumadora, sobre todo, si nadie nos ha explicado, desde el principio y de una forma adecuada, en qué consisten esos conceptos. Usuarios y empresas deben saber que es posible detectar a tiempo los ciberataques con la formación adecuada”, señala Estefanía Macías, responsable de Secure&IT, Secure&Academy.
Formación según responsabilidad
No todos los empleados requieren el mismo grado de formación contra posibles ciberataques, todo dependerá de las asignaciones y responsabilidades que tengan en la organización. Pero, hay algunos aspectos que, según Macías, debemos tener en cuenta de forma general. “Es importante que los usuarios aprendan a reconocer los ataques de ingeniería social y cómo evitarlos. Cuando hablamos de estas técnicas, solemos pensar en correos electrónicos fraudulentos. Pero, también puede suceder que esa suplantación de identidad sea telefónica o, incluso, física, en la propia oficina”.
Desde la compañía explican que, en ocasiones, “los delincuentes se hacen pasar por otros empleados, directivos, personal subcontratado, etc., para tener acceso a los equipos o a cierta información”. De ahí que pueda ser necesario, también, aplicar controles de acceso físico. Además, el correcto tratamiento y manejo de los dispositivos corporativos por parte de los empleados es muy importante. “Entre otras cosas, deben entender los riesgos que conlleva el uso de páginas web externas, aplicaciones de terceros o descargas y actualizaciones no autorizadas”, insisten los expertos.
Macías también apunta que desarrollar una “cultura de seguridad” en una organización puede ser una tarea complicada. Por este motivo, es necesario contar con profesionales cualificados, que tengan los conocimientos adecuados y que sean capaces de afrontar situaciones críticas ocasionadas por ciberataques, tanto externos como internos.
“Las compañías deben ser conscientes de que, en definitiva, es el trabajador el encargado de gestionar y utilizar los sistemas de información de la organización. Además, atendiendo a lo que indica el Reglamento General de Protección de Datos (RGPD), es obligatorio, por parte de la empresa, formar a los empleados en materia de ciberseguridad”, concluye.
Imágenes cedidas: Shutterstock.com
