En la actualidad, la ciberseguridad es un quebradero de cabeza para las empresas, tal y como reflejan los ataques que ocupan las portadas de los medios. Y esto es solo la punta del iceberg. Sin embargo, tal y como señala Jessica Barker, nuestra firma invitada de este mes, “la parte positiva es que, en términos generales, la sensibilización ante este problema es mayor que nunca”. Según Barker (consultora independiente de ciberseguridad, fundadora de cyber.uk y cofundadora de Redacted firm) “aún queda mucho camino por recorrer, pero estamos sentando las bases”. Y añade: “Empresas e individuos saben que la ciberseguridad es un tema relevante a pesar de que quizás no sepan cómo les afecta o qué deberían hacer”. Barker reconoce que la ciberseguridad aún se percibe como un asunto que atañe a los responsables de IT de una empresa, pero en los últimos años ha visto como se extiende la idea de que “la ciberseguridad es una cuestión humana a la par que tecnológica”.
Para la experta, “el problema de la ciberseguridad son las personas, los procesos y la tecnología. Y es allí donde están también las soluciones”. “No podemos resolver este problema centrándonos en una sola área; debemos atajar este problema polifacético con soluciones polifacéticas”.
El peligro de las nuevas tecnologías
En materia de ciberseguridad, el auge del Internet de las Cosas plantea un gran reto. Un claro ejemplo del problema que entraña el IoT es el ataque DDoS causado por el botnet Mirai: con 60 comprobaciones de combinaciones de nombres de usuario y contraseñas, el botnet consiguió acceder a casi 400.000 dispositivos con bajos niveles de seguridad.
Los sistemas de protección tradicionales no son capaces de ampliar el perímetro hasta llegar a abarcar las potenciales vulnerabilidades de cada nuevo dispositivo o gadget, smartphone o incluso coches conectados. Según Barker, a pesar de que ciertas innovaciones tecnológicas, como el IoT o la IA, sean oportunidades para criminales, “tecnologías como la inteligencia artificial pueden mejorar la ciberseguridad de distintas formas, como por ejemplo, reduciendo el volumen de notificaciones de amenazas al utilizar sistemas cognitivos para mejorar la detección de amenazas en tiempo real”.
En el caso de los sistemas biométricos el problema es distinto. La experta opina que, al intentar que esta tecnología sea rentable y fácil de usar, se perjudica la seguridad de la información. Una vez comprometida dicha información, las soluciones son mínimas porque “cambiar una contraseña es relativamente fácil, pero cambiar de huella o de voz resulta complicado”. La información biométrica puede verse afectada a pesar de ser de difícil acceso y todavía existen aspectos que hacen de las contraseñas seguras la solución “menos mala”.
Por qué caemos en los ataques de ingeniería social
Jessica Barker es también especialista en el lado humano de la ciberseguridad y opina que somos especialmente susceptibles a ataques de ingeniería social porque “los atacantes se alimentan de patrones psicológicos y sociológicos específicos”. Para evitar este tipo de ataques, dice, “es importante concienciar de forma que capte el interés, que provoque un impacto y que permita la capacitación de las personas”. “Si creamos una cultura en la que las personas se sientan abiertas a reportar posibles incidentes, eliminando el miedo y la culpa en torno a estos problemas, lograremos cambiar comportamientos negativos”, prosigue. Según Barker, “teniendo un enfoque que recompense las reacciones positivas por encima de las negativas, dejando de castigar o avergonzar a aquellos que no respondan de forma adecuada, se crea un ambiente que permite el aprendizaje real”.
Jessica nos cuenta que en una ocasión fue contactada como consultora justo después de que un cliente fuese víctima de un “fraude del CEO”, una modalidad de estafa BEC (Business Email Compromise) muy extendida. Cabe recordar que los fraudes BEC supusieron más de la cuarta parte de las pérdidas de ciberseguridad registradas en 2016, llegando a acumular 360,5 millones de dólares de un total de 1.300 millones. Un miembro del equipo de finanzas del cliente, menciona Barker, había recibido un correo de un destinatario que se hacía pasar por el CEO de la compañía y en él pedía cierta suma de dinero. Dicho correo incluía detonantes típicos de esta modalidad de ataque, relativos a la autoridad del jefe, el empleo de halagos y recalcando la necesidad de confidencialidad. De esta manera, el atacante engañó al empleado que, sin pensárselo, transfirió la cantidad exigida.
Cómo defender desde todos los frentes
Según Barker, el método más efectivo para cambiar estos comportamientos nocivos y lograr que los empleados sean conscientes de la importancia de la seguridad es “desmitificar la ciberseguridad: demostrar cómo suceden los ataques y hablar un lenguaje que todos puedan comprender”. Al utilizar ejemplos con los que el público puede identificarse, permitiendo preguntas e interacciones, los empleados suelen estar más abiertos a la concienciación. Jessica ha recurrido incluso al enfoque de la ciberseguridad personal en sus capacitaciones. Con él, por ejemplo, comparte consejos para que los padres puedan potenciar el compromiso y la sensibilización desde edades tempranas, y busca así abarcar un espectro más amplio para ayudar a comprender cómo la vulnerabilidad nos afecta a todos nosotros.
Barker también destaca que solo porque ataques como los de ingeniería social sean dirigidos a humanos no quiere decir que no existan medidas técnicas para mitigar su riesgo e impacto. Según ella, “la segmentación de redes es importante para asegurase de que, si alguien hace clic en un link malicioso, la amenaza se aísla y no se dispersa a través de toda la empresa”. La experta opina que otros ataques como los de ransomware también pueden mitigarse segmentando la red, aplicando parches necesarios y educando a nuestros empleados a no hacer clic en links sospechosos o descargar adjuntos de direcciones desconocidas.
En el contexto actual, las soluciones tecnológicas, aunque útiles, no son suficientes por sí solas. También hace falta priorizar la prevención en ciberseguridad para transformar hábitos maliciosos, creando una cultura de confianza y cooperación, y educando a los empleados sobre amenazas existentes y cómo reaccionar ante ellas.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
1 comment