En el Mes de la Concientización sobre la Ciberseguridad (CSAM) se destaca que a medida que el trabajo remoto es cada vez más común, las líneas entre ser un usuario hogareño y uno corporativo se hacen difusas y los riesgos de compromiso nunca han sido tan agudos. Según Verizon, tres cuartas partes (74%) de todas las violaciones de acceso globales del año pasado incluyen el “elemento humano”, que en muchos casos significa error, negligencia o usuarios que caen víctimas del phishing y la ingeniería social.
“El conocimiento es un arma poderosa que puede convertir a los colaboradores de una organización en la primera línea de defensa contra las amenazas. Para construir un entorno corporativo más ciberseguro, los equipos responsables de TI deberían incorporar a sus programas de concientización sobre seguridad para asegurarse de que se está haciendo frente a las ciberamenazas de hoy y de mañana, no a los riesgos del pasado.”, comparte Camilo Gutiérrez Amaya, Jefe del laboratorio de Investigación de ESET Latinoamérica.
Los programas de formación y concientización en materia de seguridad son una forma fundamental de mitigar estos riesgos. Desde ESET aseguran que no hay un camino rápido y fácil hacia el éxito, de hecho, lo que hay que buscar no es tanto la formación o la concienciación, ya que ambas pueden olvidarse con el tiempo, sino que se trata de cambiar los comportamientos de los usuarios a largo plazo.
“La recomendación es ejecutar programas de forma continua, para tener siempre presente lo aprendido y asegurarse de que nadie se quede al margen, lo que significa incluir a trabajadores y trabajadoras temporales, contratistas y el equipo de ejecutivo; cualquiera puede ser un objetivo, y basta un solo error para abrir la puerta de una organización a una amenaza”.
Es importante organizar sesiones de aprendizaje breves para que los mensajes calen mejor y, siempre que sea posible, incluir ejercicios de simulación o gamificación que sirvan de práctica ante una amenaza concreta.”, agregan desde ESET.
Las lecciones pueden personalizarse para funciones y sectores específicos, a fin de hacerlas más pertinentes para el individuo. Y las técnicas de gamificación pueden ser un complemento útil para hacer que la formación sea más sólida y atractiva.
Desde ESET aconsejan incluir en los programas los siguientes temas:
1) BEC y phishing: el fraude por correo electrónico comercial (BEC), que aprovecha los mensajes de phishing dirigidos, sigue siendo una de las categorías de ciberdelincuencia con mayores ganancias. En los casos notificados al FBI el año pasado, las víctimas perdieron más de 2,700 millones de dólares. Se trata de un delito basado fundamentalmente en la ingeniería social, normalmente engañando a la víctima para que apruebe una transferencia de fondos corporativos a una cuenta bajo el control del estafador. Existen varios métodos utilizados, como hacerse pasar por un directivo general o un proveedor, que pueden integrarse perfectamente en ejercicios de concientización sobre el phishing.
El phishing sigue siendo uno de los principales vectores de acceso inicial a las redes corporativas. Gracias a la distracción de los trabajadores remotos, los criminales tienen aún más posibilidades de lograr sus objetivos y sus tácticas están cambiando. Los ejercicios de concienciación sobre el phishing deben actualizarse en consecuencia y las simulaciones en vivo pueden ayudar realmente a cambiar los comportamientos de los usuarios.
Para 2024, desde ESET recomiendan considerar incluir contenidos que concienticen sobre phishing a través de aplicaciones de texto o mensajería (smishing), llamadas de voz (vishing) y nuevas técnicas como la omisión de la autenticación multifactor (MFA). Las tácticas específicas de ingeniería social cambian con mucha frecuencia, por lo que es una buena idea asociarse con un proveedor de cursos de formación que mantenga actualizado el contenido.
2) Seguridad en el trabajo remoto e híbrido: los expertos llevan tiempo advirtiendo de que los empleados son más propensos a ignorar las directrices/políticas de seguridad, o simplemente a olvidarlas, cuando trabajan desde casa. Un estudio reveló que el 80% de los trabajadores admiten que trabajar desde casa los viernes en verano les hace estar más relajados y distraídos, por ejemplo. Esto puede exponer a un mayor riesgo de peligro, especialmente cuando las redes y dispositivos domésticos pueden estar peor protegidos que los equivalentes corporativos. Ahí es donde deben intervenir los programas de formación con consejos sobre actualizaciones de seguridad para portátiles, gestión de contraseñas y uso exclusivo de dispositivos aprobados por la empresa. Esto debería ir acompañado de formación sobre phishing.
Además, el trabajo híbrido se ha convertido en la norma para muchas empresas. Según un estudio, el 53% de ellas cuenta ya con una política al respecto, y esta cifra seguramente irá en aumento. Sin embargo, desplazarse a la oficina o trabajar desde un lugar público tiene sus riesgos. Uno de ellos son las amenazas de los puntos de acceso Wi-Fi públicos, que pueden exponer a los trabajadores móviles a ataques de intermediario (AitM), en los que los piratas informáticos acceden a una red y espían los datos que viajan entre los dispositivos conectados y el router. Otro de los riesgos son las amenazas de los “gemelos malvados”, en los que los delincuentes crean un punto de acceso Wi-Fi duplicado que se hace pasar por uno legítimo en una ubicación específica. También existen riesgos menos “tecnológicos”. Las sesiones de formación pueden ser una buena oportunidad para recordar a los empleados los peligros de la navegación clandestina.
3) Protección de datos: las multas del GDPR aumentaron un 168% anual hasta superar los 2,900 millones de euros (3,100 millones de dólares) en 2022, ya que los reguladores tomaron medidas enérgicas contra el incumplimiento. Esto supone un argumento de peso para que las organizaciones se aseguren de que su personal sigue correctamente las políticas de protección de datos.
Según ESET, la formación periódica es una de las mejores formas de tener presentes las buenas prácticas en el tratamiento de datos. Esto implica el uso de un cifrado seguro, una buena gestión de las contraseñas, el mantenimiento de la seguridad de los dispositivos y la notificación inmediata de cualquier incidente al contacto pertinente.
El personal también puede beneficiarse de una actualización en el uso de la copia oculta (CCO), un error común que conduce a fugas involuntarias de datos de correo electrónico, y otra formación técnica. Además, se debería considerar si lo que se publica en las redes sociales debe mantenerse confidencial.
