Ha sido un mantra tan repetido que se ha convertido en un cliché: los humanos son el eslabón más débil en la ciberseguridad. La mejor tecnología del mundo no puede proteger a una organización de un empleado (y esto incluye a grandes directivos) de caer en un elaborado ataque de ingeniería social o phishing.
Por supuesto que una buena formación en ciberseguridad puede ayudar a reforzar ese eslabón, pero según expertos como Lance Spitzner, director de formación del SANS Securing the Human Program, esto no pasa.
“Hemos realizado un enorme esfuerzo durante los últimos 15-20 años en mejorar la seguridad de un tipo de sistema operativo (Windows) mientras que prácticamente nos olvidamos del otro factor (el humano)” sostiene.
En este punto muestra el siguiente gráfico:
Diagrama cortesía de Lance Spitzner
No debe sorprendernos que el último informe del Ponemon Institute, quien entrevistó a 1.000 informáticos en EEUU y el Reino Unido, encontrara que la mayoría (54%) ha sufrido accesos no permitidos a bases de datos debido a “empleados negligentes”.
Pese a las constantes llamadas para mejorar la formación sobre ciberseguridad, ese porcentaje subió con respecto al año pasado (48%). Y podía ser incluso peor ya que casi un tercio de las empresas no pudo identificar la causa de la filtración, según el informe.
Las pruebas anecdóticas, con el paso de los años, apoyan a las estadísticas. En el DEF CON de 2012, Shane MacDougall ganó el concurso “captura la bandera” en ingeniería social al conseguir que el gerente de una tienda de Wal-Mart le diera 75 datos en 20 minutos al teléfono.
El periodista de Wired, Mat Honan, informó ese mismo año que en una sola hora se destruyó todo su vida digital gracias a sus propios lapsos de seguridad (no usaba autenticación de doble factor) y a la “ayuda” del soporte técnico de Amazon y Apple.
Y esta semana, la BBC publicó el despido de un director financiero quien pagó 50.000 libras a un supuesto proveedor por una falsa orden de su jefe.
Los resultados de ese eslabón más débil son también deprimentemente familiares. Ponemon informa de:
- Los ataques a pequeñas y medianas empresas (PYMEs) aumentó de un 55% a un 61% en los últimos 12 meses.
- El ransomware creció considerablemente de un 2% del año anterior a un 52% en este, con el 79% de los afectados diciendo que se vieron infectados por ransomware debido a phishing/ingeniería social.
- Pese a que las contraseñas robustas y la biométrica son una parte esencial de la ciberseguridad, el 59% afirma que no tienen control sobre las prácticas de sus empleados en esos temas.
- El coste medio de un ataque subió de $879.582 a $1.027.053 por daños o robos en la infraestructura TIC, y de $955.429 a $1.207.965 por disrupción en el funcionamiento normal.
Y las razones de todo esto también son conocidas. Entre ellas:
- Los atacantes se aprovechan de la tendencia general a ayudar de las personas.
- Las personas están entrenadas para obedecer órdenes de las autoridades, por lo que es más fácil que caigan en ataques que se hagan pasar por sus jefes, la policía o incluso recursos humanos.
- El phishing continúa mejorando. En el caso del director financiero mencionado anteriormente, la dirección de correo electrónico parecía genuina, y desde que su jefe real había publicado fotos de su escapada a una isla griega, tenía sentido que el falso jefe dijera que no quería ser molestado porque estaba de vacaciones.
Según Spitzner la razón por la que el factor humano continúe siendo el eslabón más débil en una organización es porque se sigue sin invertir en él. Si no se ponen los recursos adecuados ni personas con poder a cargo de un programa de concienciación sobre la ciberseguridad, este fracasará.
Desde que los empleados almacenan, procesan y transfieren información, son objetivo del mismo modo que sistemas operativos, apps y otros tipos de tecnología.
Según él, la comunidad de la ciberseguridad ha fallado a la hora de protegerlos.
Para hacerlo, deberían implementarse importantes programas que se focalizaran en comportamientos clave de las personas. Empleando términos que pudieran entender fácilmente.
Pero también existe un debate sobre cuál es la mejor manera de llevar a cabo esos programas. En el Black Hat del pasado año, varios conferenciantes argüían que hacer que los empleados fueran híper-vigilantes podría crear una paranoia que derivaría en un estado constante de recelo que podría interferir con el trabajo que realizan.
Pero Kevin Mitnick, quien un día fue conocido como el hacker más buscado del mundo y ahora director de Mitnick Security Consulting, afirma que un entrenamiento intenso en ciberseguridad no debería tener aspectos negativos. Sería cómo decir que llevar un cinturón de seguridad priva de disfrutar del hecho de conducir.
Añade que en el mundo en el que vivimos las precauciones de seguridad se han convertido en una segunda piel a la que la gente se adapta.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario