Una parte de las incidencias que una empresa puede tener en materia de ciberseguridad se producen por la parte de los empleados. Por eso en Ciberso pensamos que es importante tanto la concienciación de las personas como la protección de los sistemas.
La ciberseguridad es una parte importante del aseguramiento de negocios digitales, actividad que realizamos en Ciberso.
Es de todos sabido que, en lo referente a la ciberseguridad en las empresas, independientemente de lo que fortalezcas la infraestructura y aplicaciones -que, por supuesto, también son muy importantes-, hay que prestar especial atención a las personas. Somos el eslabón más débil y el objetivo de un porcentaje muy alto de los ataques.
Por eso, en este artículo queremos destacar la importancia de enseñar a todas las personas, independientemente del puesto que desempeñen, del sector al que pertenezca su organización o del tamaño de ésta, en qué circunstancias pueden ser víctimas de un ataque y qué prevención deben tener para estar concienciadas y no ser un peligro para las organizaciones y para sí mismas.
Los posibles peligros que tenemos a diario son múltiples, aunque vamos a ver únicamente tres ejemplos de incidentes que en este momento se encuentran en auge. Cada usuario en menor o mayor medida se enfrenta a estas situaciones a diario.
El primero de ellos, es la prueba de ingeniería social por excelencia, el phishing (envío de mails fraudulentos a un usuario intentando engañarle). Esta prueba es la más extendida, pero también es con la que los usuarios más cuidado tienen, ya que ha existido más labor de concienciación, especialmente entre personas que utilizan servicios bancarios online.
Las ultimas técnicas de los atacantes pasan por investigar el entorno de cada víctima, entorno de trabajo, relaciones personales con compañeros, puestos y responsabilidades (por ello es tan importante filtrar la información que exponemos). Aunque no solo utilizan esto, en ocasiones los ciberdelincuentes se cuelan en las empresas vulnerando sus sistemas de información y pasan meses observando para hacer un escenario del ataque que van a ejecutar.
Un buen ejemplo de este hallazgo es el fraude del CEO, que consiste en engañar a un empleado de dirección o de los departamentos financiero / contabilidad de la empresa, con capacidad para hacer transferencias o acceso a datos de cuentas, simulando mandar un correo supuestamente de su jefe, ya sea su CEO, presidente o director de la empresa para llevar a cabo operaciones en su nombre. Prototipo de esto fue el caso de la EMT de Valencia.
Brechas de seguridad
El segundo ejemplo que implica a los usuarios son las grandes brechas de seguridad que están extendiéndose. Es verdad que muchas de ellas provienen de fallos en las aplicaciones o infraestructura, que son aprovechados por los ciberdelincuentes para realizar otro tipo de ataques contra los propios usuarios.
Lo más crítico en la mayoría de las ocasiones son las filtraciones de listados completos de usuarios y contraseñas de diversos servicios o plataformas, desde los datos corporativos de la empresa hasta datos de servicios personales que utilizamos en nuestra vida cotidiana.
Por ello, realmente, aunque en esta ocasión el usuario no pueda evitarlo en la mayoría de los casos, si puede intentar que esa información no sea usada para fines delictivos. Por ello, es tan importante tener un uso seguro de las contraseñas, tener una buena política de complejidad de estas y hacer hincapié en cambiar la contraseña de todos los servicios que se utilizan de manera periódica usando diferentes contraseñas en cada uno.
En los últimos tiempos ha habido grandes filtraciones de datos en grandes empresas, Equifax, Facebook, Adobe, LinkedIn, o incluso Decathlon en las últimas semanas han sido victimas de ello, aunque la mayor base de datos de usuarios de todo tipo que se ha conseguido es la llamada Collection1.
Por último, hay una estafa que están realizando muchos delincuentes en los últimos tiempos que es el intento de obtener información o realizar ingeniería social a través del teléfono, técnica llamada vhishing.
En la mayoría de las ocasiones los atacantes se hacen pasar por una empresa externa que pueda tener confianza para la posible víctima, desde su propio Banco, compañía de suministros o el propio taller de reparación su coche.
Referente a esto, se está produciendo un caso que, aunque lleva bastante tiempo en uso, en las últimas semanas está teniendo especial envergadura. Es la llamada falsa de Microsoft, en la que se hacen pasar por el servicio técnico alegando que han detectado un problema en tu ordenador y que necesitan hacer unas pruebas en el mismo, con el objetivo de poder tener acceso y utilizarlo para otros fines.
Hay que tener en cuenta que en estos ejemplos vistos o en cualquier otra situación que se nos pueda plantear en nuestro día a día, nadie te debería solicitar datos por teléfono/mail o por cualquier otro medio, y todos debemos tener en cuenta la protección de la información que manejamos cotidianamente.
Desde Ciberso ayudamos a nuestros clientes en esta labor, realizando planes de concienciación a medida para que todos sus empleados tengan un buen nivel de sensibilización en ciberseguridad y no sean víctimas de ataques.