¿Por qué las personas son el objetivo de los ciberdelincuentes?



En esta ocasión hablaremos del "problema que representan las personas" en el área de ciberseguridad. Las defensas y los ataques evolucionan rápidamente, pero los seres humanos no lo hacemos al mismo ritmo, es por eso que casi todos los ataques ahora se basan en la explotación de la naturaleza humana o de las personas.


Este mes, Proofpoint hizo la sorprendente y aterradora afirmación de que más del 99% de los ataques observados por sus investigadores requirieron interacción con personas. Estas interacciones, son parte de ataques de ingeniería social, y muchas de ellas incluyen el dar click en un enlace, abrir un documento, habilitar una macro, abrir un archivo y algunos otros. Es por eso que los especialistas de seguridad y TI deben de centrarse en las defensas perimetrales, proteger los activos contra vulnerabilidades y algunos otros controles para salvaguardar la información. Pero la pregunta más interesante y complicada es ¿Cómo evitar que los usuarios caigan en estos ataques?

Para un ciberdelincuente, enviar un ataque dirigido a las personas es más rápido, fácil y rentable que los sistemas ya que explotan la naturaleza humana con técnicas de distracción, como crear un falso sentido de urgencia o hacerse pasar por personas de confianza y por supuesto, la respuesta depende de la personalidad de cada posible víctima, incrementando o disminuyendo el grado en que pueden caer o no en estas manipulaciones.

La frase "personas muy atacadas" hace referencia a aquellas personalidades que se encuentran en rangos bajos y que normalmente sus correos y datos suelen estar disponibles en la página de la empresa, redes sociales o son fácilmente detectables a través de una búsqueda web. Los objetivos a los que apuntan los ciberdelincuentes tienen favoritismo por el área de finanzas, publicidad y marketing, también, últimamente se han enfocado en cadenas de suministro complejas, como la industria automotriz.

Es muy fácil ver a los colaboradores como la base del problema, pero es mejor verlos como parte de la solución. También es fácil quitarles la capacidad de tomar decisiones y restringir sus actividades y lo que pueden realizar, sin embargo, es mejor capacitarlos para tomar buenas decisiones.

Te dejamos algunos pasos para poder convertir el problema en una solución.

  • Adopta un enfoque holístico y centrado en las personas que implique capacitación efectiva en concientización combinada con las mejores herramientas para el usuario. Concentrate en capacitarlos para que tomen el control de su propia capacidad de evitar malas prácticas de ciberseguridad y se sientan como socios del departamento de TI.
  • Presta especial atención a los correos electrónicos que contienen palabras en el asunto comúnmente utilizadas en ataques, como "pago", "adeudo" y "urgente". Realiza un seguimiento de tendencias en los ataques de ingeniería social y emplea ese conocimiento en capacitación y monitoreo.
  • Haz que la capacitación sea interesante y moderna para los colaboradores. Realiza ataques simulados del Red Team para no solo generar conciencia, sino que acostumbres a los usuarios, inspirandolos a enfrentar desafíos de actuar como socio para defender a la empresa.
  • La capacitación de ciberseguridad debe de incluir tendencias y futuros ataques, no solo lo actual. 
  • Reduce la superficie de ataque con la implementación de listas blancas de aplicaciones.
  • Ofrece a tus colaboradores las herramientas que necesitan para evitar errores de ciberseguridad, por ejemplo, proporciona alternativas seguras de transferencia de archivos adjuntos de correo, herramientas de sincronización y uso compartido de información empresarial (EFSS) y herramientas de cifrado más sólidas.

Es un hecho que casi todos los ciberataques realizados contra las organizaciones serán habilitados por la interacción humana. La superficie de ataque está compuesta por personas principalmente y eso significa que tu defensa también debe de estar constituida por ellas.

Los colaboradores pueden ser el eslabón más fuerte en la cadena de la ciberseguridad.