El componente social e interpersonal, la faceta más ignorada de las amenazas de ciberseguridad
Las amenazas más comunes que ponen en peligro las operaciones informáticas de las empresas tienen la particularidad de que todas pueden posibilitarse gracias a la imprudencia de personas que manejen información delicada sin saber cómo identificarlas.

El componente social e interpersonal, la faceta más ignorada de las amenazas de ciberseguridad

|
14/2/2023 06:50
|
Actualizado: 14/2/2023 11:00
|

Según el informe «Las 10 principales amenazas para la ciberseguridad en 2023«, de la firma de servicios profesionales BDO, el coste medio de una filtración de datos en Estados Unidos es de 9,4 millones de dólares, equivalente a casi 8,77 millones de euros. En los casos de ‘phishing‘ (suplantación de la identidad), las pérdidas pueden llegar a los 17.700 dólares, 16.510 euros, por cada minuto que dure el ataque. Y en varias instancias, la vulnerabilidad expuesta no son los sistemas informáticos, sino el descuido de los empleados.

El ‘ransomware‘, el ‘business email compromise’ (que piratea el sistema para comprometer los sistemas de pago y poder enviar correos corporativos) las amenazas internas y la exfiltración de datos son algunas de las amenazas más comunes que ponen en peligro las operaciones informáticas de las empresas, con la particularidad de que todas pueden posibilitarse gracias a la imprudencia de personas que manejen información delicada sin saber cómo identificarlas.

En conversación con Confilegal, Juan Manzano, director del área de ‘risk advisory’ de BDO, identifica los medios más comunes que usan los ciberdelincuentes para aprovecharse de los empleados desprevenidos y cómo evitar estas situaciones.

¿Qué rol juega la parte social en los procesos de infiltración? ¿Qué es lo que debe evitar un empleado compartir con gente fuera de la empresa y cómo puede detectar lo que podría ser un acercamiento con intenciones de infiltración?

Vivimos en una escalada constante de nuevos tipos de ataques a los sistemas de información de las entidades y de nuevos mecanismos para tratar de protegerlas. No obstante, lo que no evoluciona al mismo ritmo es la prevención y protección ante la filtración de información que pueden realizar los propios miembros de la entidad al verse engañados o extorsionados.

Por ello, la parte social resulta de vital atención ya que es un punto clave a través del cual los atacantes van a tratar de contactar y sonsacar, mediante el engaño, información corporativa y especialmente los datos de acceso del usuario, como usuarios, claves, correos electrónicos, etcétera, que les darían acceso a los sistemas de la compañía.

Para obtener esta información pueden recurrir a hacerse pasar por parte de un servicio técnico de la compañía, de un cliente o de un proveedor, por supuestos compañeros, jefes o por comerciales, entre otros. Todo vale con tal de pedir esta información o que el usuario pruebe con sus datos corporativos su acceso en el enlace que el atacante les proporciona, que será una página ilegitima, pero de apariencia correcta.

Pero no solo deben evitar compartir estos datos, si no también cualquier otro tipo de información confidencial e incluso organizativa interna que pueda dar pie a un atacante a hacerse pasar por una persona especifica en base a la información proporcionada o directamente atacar la cuenta deduciendo el nombre de usuario y hackeando la contraseña.

Es vital que los empleados estén atentos y puedan detectar este tipo de acercamientos en los que se consulta por este tipo de información o se pide que usen las credenciales de alguna manera. 

También es importante recordar que los documentos que se comparten pueden tener información como usuarios, correos, direcciones IP, etcétera, que no se ve a simple vista por estar en las propiedades y metadatos del documento y que conviene borrar antes de compartirlos, especialmente fuera de la organización.

Juan Manzano, director del área de ‘risk advisory’ de BDO.

¿Cuáles servicios se pueden ofrecer, tanto antes de un ataque como durante el mismo y después, a las empresas en esta materia en consultoría y abogados?

La prevención es la clave. Si estamos preparados para un ataque, tendremos recursos y medios que podremos poner en práctica durante y después de los ataques que de otra manera no tendríamos. 

Resultan de vital importancia los servicios de evaluación previa que analizan la situación actual de la entidad en materia de seguridad y detectan qué medidas no están presentes y pueden implantarse para protegerse y sobrellevar un ataque. Quedará en manos de la compañía decidir qué medidas implantar en función de la inversión y el riesgo que estén dispuestos a asumir.

Durante el propio ataque podrán activarse mecanismos de mitigación (limitación de las comunicaciones, aislamiento de sistemas vulnerados, etcétera) y recuperación (recuperación de copias de seguridad, comunicaciones alternativas, entre otros) en función de las medidas que se hubiesen provisionado y contar complementariamente con servicios especializados en restauración de información, desinfección de equipos infectados con ‘malware’ y otros. 

No obstante, siempre es preferible actuar antes que durante el ataque, ya que en muchos casos puede incluso llegar a evitarse el mismo, como, por ejemplo, mediante la concienciación del personal.

¿Qué formación técnica se puede dar a los empleados de una compañía que pueda proteger sus datos? ¿Y cómo sería la formación que va más allá de la técnica?

La formación más técnica debe quedar en manos del personal especializado que actuaría ante un incidente, gestionando comunicaciones y recuperando información, pero es vital que el resto de los empleados reciban periódicamente una formación que sea sencilla y práctica que conciencie sobre ciberseguridad.

Esta concienciación debe incluir al menos cuales son los peligros, las buenas prácticas y como detectar y actuar ante un incidente de seguridad, incluyendo a quien contactar y como notificarlo. El tiempo de reacción es clave ante las sospechas de un incidente de seguridad.

Un aspecto clave para verificar si la formación realmente ha resultado de utilidad es realizar campañas periódicas internas de phishing para identificar cuántos empleados terminarían siendo víctimas de los correos maliciosos, cuántos lo ignoran y no caen en el engaño y cuántos lo reportan a la organización para que puedan actuar al respecto.

¿Qué considera que más gente debería conocer y aplicar al reforzar la ciberseguridad de las empresas?

Las organizaciones, de manera natural, tienen un gran foco puesto en sus sistemas de información pero debería hacerse más hincapié en el riesgo para la seguridad que puede venir de las propias personas, por ser víctimas de engaños, extorsión o actuar con malicia, y de los sistemas que se soportan en servicios de proveedores, como los servicios ‘cloud’.

En este último caso, la responsabilidad de la seguridad sigue siendo de la entidad y debe saber que medidas aporta el proveedor, qué mecanismos debe configurar en los servicios prestados y qué medidas no están cubiertas y debe establecer por su parte o contratando servicios complementarios.

En estos escenarios resulta de vital importancia disponer de un Sistema de Gestión de Riesgo en Proveedores con el fin de identificar y gestionar el riesgo que supone la subcontratación de servicios.

Noticias Relacionadas:
Lo último en Áreas y sectores