El factor humano está implicado en la mayoría de ciberataques. Las acciones de los trabajadores suponen en muchos casos una amenaza para su propia empresa. ¿Qué errores suelen cometer? ¿Cómo suelen abordar las empresas la formación para que no resulten peligrosas sus acciones?
“Me gusta proteger el correo electrónico de mi empresa no teniendo correo electrónico”. Se podría considerar una opción inteligente, en tiempos del WannaCry, cryptojacking o de los continuos ciberataques, pero imposible de implementar. Las empresas necesitan el correo electrónico.
A finales de 2017, la firma financiera Equifax sufrió el mayor ciberrobo de datos hasta entonces (afectó a más de 140 millones de estadounidenses) y, probablemente, el más importante en lo que se refería al tipo de información sustraída ( datos bancarios y personales). Sin embargo, para llevar a cabo el ciberataque, no se utilizó ningún tipo de malware. Los hackers, simplemente, consiguieron descifrar la contraseña de uno de los altos directivos de la compañía.
Según el Informe Anual PandaLabs, el 1,14% de todos los equipos digitales que hay en España sufrió un ciberataque en 2017. Puede pensarse que es cuestión de lotería y a uno nunca le va a tocar, pero lo cierto es que tiene mucho que ver con el dinero que se gaste en prevenirlos. Así, mientras que los usuarios domésticos y pequeñas empresas sufrieron un 4,41% de ataques, en las medianas y grandes corporaciones la cifra bajó al 2,41%. Como en el caso de Equifax, los cibercriminales no necesitan atacar todos los ordenadores, sino el más vulnerable.
La importancia de mantener un entorno seguro
Cuando una compañía quiere entender cómo de vulnerable es su infraestructura, lo recomendable es empezar con una auditoría que realice una evaluación de ciberseguridad, y más desde que la GDPR exige unas pruebas forenses en caso de incidencia, y multa si no se disponen de ellas. Lo más habitual es subcontratar este trabajo a una empresa especializada.
Lo primero que habrá que hacer es crear el inventario de dispositivos que estén conectados a la red (equipos de escritorio, portátiles, smartphones, impresoras multifunción o appliances de seguridad), con sus altas y bajas al día y firmware actualizados, así como de los programas y licencias de software que se empleen, procurando tener su última versión y sus parches descargados. También hay que supervisar todos los sistemas operativos, navegadores e incluso impresoras o routers, para comprobar que sus políticas de configuración han tenido en cuenta la seguridad (cambio de contraseñas por defecto, passwords de doble factor…).
Lo cual no impide que los ciberdelincuentes anden siempre intensificando sus esfuerzos en explotar nuevas vulnerabilidades, en especial lo que se llama Shadow IT, todos aquellos equipos y programas que quedan fuera del radar de los supervisores por desconocimiento u ocultación de su existencia por parte de los empleados. La tendencia de BYOD (“trae tu propio dispositivo”) tampoco ayuda si no se tiene en cuenta para aplicar una capa de seguridad extra que prevea estos usos. El teletrabajo es otra tendencia que puede comprometer la seguridad si no se emplean mecanismos de conexión segura y cifrada extremo a extremo como las VPN.
“El factor humano suele ser uno de los elementos más débiles de los implicados en un incidente de ciberseguridad, aunque no sea el único. El atacante suele aprovecharse de ello y, casi siempre, se sale con la suya”, afirma Héctor Sánchez Montenegro, National Technology Officer de Microsoft Ibérica. “Es fundamental concienciar a los empleados de la importancia de mantener un entorno seguro y de la responsabilidad que tienen por el hecho de pertenecer a la empresa. Sin embargo, las compañías deben tener siempre en mente la posibilidad de enfrentarse a una amenaza de seguridad por la imprudencia de un empleado que, por ejemplo, ejecuta un archivo adjunto de un mail desconocido, navega por webs maliciosas o descarga software no autorizado evadiendo todos los controles de seguridad en lo que bien podría llamarse BYOA! (Bring your own… ATTACK!)”.
La planificación de una estrategia de respuesta a incidentes incluye una evaluación de la situación, la identificación del tipo y la gravedad del ataque sufrido, y la notificación, documentación y revisión de estos incidentes y los posibles daños sufridos por la compañía
Además de la concienciación de los empleados, hay que habilitar las medidas necesarias para detectar la peligrosidad de esos archivos antes siquiera de que lleguen al usuario, al tiempo que se evalúan comportamientos extraños de los trabajadores o se indaga en el uso no controlado de servicios en la nube.
Y aun así, aunque se cuente con un protocolo de prevención y un gran equipo de seguridad, las brechas ocurren, por lo que es indispensable contar con un Plan de Respuesta a Incidentes (SIRP) para saber cómo actuar y pasar el menor tiempo posible expuesto. “La planificación de una estrategia de respuesta a incidentes incluye la puesta en marcha de una evaluación de la situación, la identificación del tipo y la gravedad del ataque sufrido (naturaleza del ataque, su punto de origen, la posible intención y los sistemas y archivos expuestos) y la notificación, documentación y revisión de estos incidentes y los posibles daños sufridos por la compañía”, señalan desde el Mediacenter de Panda Security.
¿Quién se hace cargo cuando se produce un ciberataque?
Cuando una empresa sufre una fuga de información, pueden verse afectadas sus finanzas, su reputación y la privacidad del cliente, pero también las carreras de sus directivos.
Según un reciente estudio de Kaspersky y B2B International en el Reino Unido, casi un tercio (31,9%) de las fugas de información en el pasado año acabó con despidos. Y, en la mitad de las ocasiones, hasta los empleados senior de otros departamentos distintos a TI tuvieron que responder con su cargo por la responsabilidad a la hora de vigilar.
El mismo estudio también muestra que el 88% de las grandes empresas cree que la negligencia en el día a día es el riesgo más importante al que se enfrentan en cuanto a la seguridad de la información. Y por negligencia se entiende tanto una contraseña débil como la pérdida accidental de un dispositivo de trabajo en la calle.
Son errores humanos y no del diseño del sistema informático los que abren la puerta al hacker. Una máquina nunca busca atajos, ni se deja engañar y engatusar, y siempre actúa bajo las reglas en que fue programada. Por ello, es fundamental una labor educativa sobre buenos hábitos y malas prácticas a toda la plantilla, incluidos los jefes.
Y es que no toda la culpa es del empleado, en especial si jamás ha recibido las más mínimas instrucciones al respecto. “El equilibrio entre seguridad y complejidad es necesario para que los empleados se pongan de tu parte y escuchen todos estos consejos. Pueden ser tus mayores aliados o tus peores enemigos. Tú eliges”, asevera un directivo de Panda.
Los resultados de un test de habilidades informáticas básicas subrayan más aún la falta de una concienciación elemental en materias de IT: solo el 1% de los participantes acertó todas las preguntas. “Una tendencia preocupante era la incapacidad de identificar las extensiones de archivos. Esto podría facilitar el trabajo de los que quieren introducir malware en los ordenadores al adjuntar ficheros .exe maliciosos”.
“Si hablamos de ciberseguridad en la empresa, no hay duda de que el empleado es siempre el eslabón más débil. Los delincuentes lo saben, y por eso los empleados se han convertido en uno de los principales objetivos de los ataques basados en ingeniería social como el phishing, aquel que suplanta la identidad de una persona o empresa. Este tipo de ataques busca ganarse la confianza del usuario y engañarle para así poder robarle datos, infectarles con ransomware o acceder a otros equipos a través de sus dispositivos. Estos emails funcionan como trampas al contener enlaces, documentos o imágenes adjuntos que al clicar sobre ellos descargan malware, infectando el sistema sin que el empleado sea consciente de la repercusión de sus acciones”, asegura Ricardo Maté, director general de Sophos Iberia. “Hoy día se cuenta con soluciones basadas en deep learning y análisis predictivo de gran efectividad. Asimismo, las empresas están implementando programas de formación en ciberseguiridad que aplican herramientas de simulación que permiten al empleado una mayor sensibilización”.
Las organizaciones se enfrentan a la problemática de contar con usuarios no formados, dado que la mayoría del malware y ransomware busca aprovecharse de fallos humanos y no tanto de los tecnológicos
La empresa será tan débil como el menos formado de sus empleados. Y esto incluye a los mandos medios y superiores. Toda empresa trabaja con información valiosa sobre su negocio, pero ¿qué pasa cuando el trabajador que se marcha es un alto directivo o el mismo CEO, y recala en la competencia? La mayoría de las empresas no toman las precauciones adecuadas antes y después de despedir a un empleado o de aceptar su dimisión. De hecho, según un estudio de Osterman Research, el 89% de los trabajadores mantienen el nombre de usuario y la contraseña de sus cuentas corporativas tras dejar su puesto de trabajo, y casi la mitad admite haberlos usado para acceder a algún servicio de su antigua empresa.
Y de ahí para abajo, nadie se salva. Es más probable recibir un ataque interno que un ciberataque, y a menudo, estos pueden resultar más catastróficos. Según estiman desde Haystax, se habla de un coste de entre 500.000 y más de un millón de dólares por incidente. ¿Es este el precio de la brecha?
Según Kaspersky, independientemente del tamaño de la empresa, los costes de violación de datos han aumentado dramáticamente en los últimos dos años. Para grandes compañías, de media las pérdidas de un incidente alcanzaba 1,23 millones de dólares entre marzo de 2017 y febrero de 2018 (un 24% más alto que en 2016-17, y un 38% más que en 2015-16).
El precio de la no seguridad siempre será más alto que el precio de cualquier presupuesto dado previamente, porque los datos, una vez perdidos o secuestrados, no tienen precio si no hay manera de obtenerlos otra vez vía copia de seguridad o recovery. Sólo cuando se ha sido víctima en primera persona es cuando la directiva reacciona, pero estos gastos de emergencia llegan tarde y a veces no sirven ni para cerrar la brecha.
“Los empleados sin concienciación en seguridad suelen ser uno de los principales problemas en las empresas, ya que cometen errores tan básicos como la apertura de archivos infectados, pulsar sobre enlaces maliciosos o proporcionar información confidencial a personas no autorizadas. Por desgracia, la mayoría de empresas españolas no suelen abordar este problema con contundencia, limitándose en muchos casos a impartir una serie de cursos básicos y de corta duración. Es necesario afrontar este problema a todos los niveles y concienciar de forma continua para adaptarse a las nuevas amenazas, ya sean trabajadores recién incorporados como directivos de alto nivel, de forma que la seguridad de la empresa sea algo que implique a todos los empleados”, avisa Josep Albors, responsable de investigación y concienciación en ESET España.
Estrategias para minimizar los fallos
Cabe distinguir dos casos claramente diferenciados: la negligencia y la intención maliciosa. Mientras que el primero suele darse por una deficiencia en la organización, el segundo es más peligroso, ya que tiene una intención dañina y un objetivo perjudicial manifiesto.
Crowd Research alerta de que el número de ataques internos sigue aumentando, aunque está cambiando el perfil desde las negligencias inintencionadas a los de origen deliberado. En cualquier caso, una vez producido el roto, hay que identificar cuanto antes el origen de la filtración.
Para la prevención de fuga de información originada por el malware o los trabajadores, así como la protección ante ataques o la remediación de vulnerabilidades, hay que tener una estrategia de Prevención de Pérdida de Datos (DLP) y cifrar la información, según señala el 60% de los profesionales de seguridad encuestados por Crowd Research. En especial, hay que tener cuidado con la falta de control debida al exceso de usuarios con privilegios, lo que alienta accesos sin supervisión, y el aumento en el número de dispositivos particulares que tienen acceso a la red, aumentándose la complejidad.
“Las organizaciones se enfrentan a la problemática de contar con usuarios no formados, dado que la mayoría del malware y ransomware busca aprovecharse de fallos humanos y no tanto de los tecnológicos. En la mejor estrategia y práctica de seguridad siempre cabe un error humano: elegir una contraseña débil, hacer clic en un enlace no seguro, etc. Estos fallos se pueden minimizar con una doble estrategia: por un lado, fomentando la cultura de la ciberseguridad, ya que el conocimiento es la única herramienta segura, y es imprescindible ofrecer esta formación a los trabajadores; y por otra parte, disponer de herramientas que sean capaces de minimizar e incluso eliminar los efectos perniciosos de esos ataques. Si un ciberataque consigue engañar al usuario, pero no consigue pasar las barreras de protección de ciberseguridad, todo ese engaño habrá sido en vano y nuestra empresa estará segura”, añade Mario García, director de Check Point Iberia.
La fatiga de seguridad entre los empleados
El auge de la ciberseguridad está produciendo un efecto rebote, la denominada “fatiga de seguridad”. Los empleados están sobreexpuestos a alertas en su vida fuera de la oficina: páginas que les recuerdan que sus contraseñas son poco seguras, antivirus que alertan del peligro de acceder a una página web o descargar un determinado archivo… la verdad, uno acaba un poco hastiado. Y los ataques persisten. “Si las grandes empresas sufren ataques, ¿cómo voy a protegerme yo de un cibercriminal? A pesar de haberse vertido tantos ríos de tinta al respecto, no conozco a nadie que haya sido hackeado, ¿realmente soy un objetivo para un cibercriminal?” Esta confusión entre inevitabilidad y probabilidad de ser víctima del cibercrimen está derivando en una despreocupación en la toma de medidas de seguridad tanto en su vida personal como en el puesto de trabajo, que pone en riesgo al usuario y a la empresa para la que trabaja. Hay que impedir que cunda el desánimo.
“Pero el usuario medio de internet tiene más de cien cuentas asociadas a una mismo email. Lo ideal, por tanto, sería que tuvieran cien contraseñas diferentes. Evidentemente, es imposible memorizar tal cantidad de credenciales. Además, cada cierto tiempo requerimos a nuestros empleados que actualicen su contraseña para iniciar el PC o acceder a un determinado programa de software. ¿Y qué hacen? Elegir la opción más rápida y sencilla. El 81% de los usuarios utiliza la misma contraseña en distintas cuentas y el 36% reutiliza la contraseña en más del 25% de sus cuentas online”, señala el experto del Mediacenter de Panda Security. Una buena solución a este problema sería instaurar un gestor de contraseñas para todos los empleados. Con ello, los empleados solo necesitarán recordar una contraseña en vez de cien.
“No solo los posibles despistes de los empleados representan una grave amenaza para la seguridad de la empresa. El uso del Wi-Fi público no seguro en aeropuertos y cafeterías permite que personas ajenas a la organización puedan infiltrarse en las redes corporativas evadiendo los sistemas de seguridad”, añade Karim Bouamrane, director regional de Bitglass para el Sur de Europa. “Además, abrir los enlaces de correo electrónico sospechosos y compartir información confidencial con partes no autorizadas también representan un peligro. Para defenderse de las amenazas internas, es necesario que las organizaciones verifiquen la identidad de los usuarios y otorguen acceso a los datos solo a las personas apropiadas. Las contraseñas básicas ya no son una estrategia útil para proteger la información corporativa. Las empresas necesitan disponer de una autentificación de múltiples factores (MFA), que requiere de una segunda forma de verificación, ya sea un mensaje SMS o correo electrónico. Otras opciones podrían incluir el control de acceso contextual, que controla el acceso a los datos por factores como la función del trabajo y la ubicación geográfica, así como la gestión de sesión, que registra automáticamente los usuarios inactivos de las aplicaciones corporativas, para evitar que alguien no autorizado pueda acceder a la cuenta”.
Los fallos se pueden minimizar con una doble estrategia: fomentando la cultura de la ciberseguridad, ya que el conocimiento es la única herramienta segura; y con la ayuda de herramientas que sean capaces de minimizar e incluso eliminar los efectos perniciosos de los ataques
También es muy útil limitar en la medida de lo posible el número de decisiones de seguridad que tengan que tomar los empleados. Es mejor que desde el equipo de seguridad se mantengan las actualizaciones y parcheados al día, liberando de esta carga al empleado. Una medida más para reforzar la seguridad sería disponer, como ya se ha mencionado, de un software de monitorización del tráfico que indique del funcionamiento normal de la red y de los accesos imprudentes o no autorizados.
Las compañías de seguridad creen que prevenir el ataque antes de que ocurra ayudará a reducir la ‘fatiga de seguridad’ y el estrés que produce en un empleado ser víctima de un ciberataque. Si se ponen las cosas demasiado difíciles a los trabajadores, encontrarán la forma de burlar las medidas de seguridad. Si se les pide que cambian de contraseña todas las semanas, aparecerán los post-its pegados a sus monitores. Si acceder a una herramienta que utilizan a diario se vuelve demasiado complicado por razones de seguridad, usarán otra. Si no saben cómo almacenar archivos como demanda la compañía, encontrarán su forma, probablemente insegura y poco confiable. El camino fácil suele ser el más inseguro.
Por Javier Renovell
Imágenes / iStock
