El eslabón más débil de la ciberseguridad eres tú

La palabra ciberseguridad está de moda. La habrás visto mucho en prensa en las últimas semanas, sobre todo a raíz del ataque al Servicio Público de Empleo Estatal (SEPE) del ransomware Ryuk, que encriptó sus archivos, secuestrando su información. Este tipo de ataques es cada vez más frecuente. Lo vemos contra instituciones, administraciones públicas, empresas de todos los tamaños y hasta contra hospitales. Sus consecuencias pueden ser devastadoras para cualquier organización.

De forma sencilla, la ciberseguridad puede definirse como la protección de la infraestructura computacional y todo lo vinculado a ella, con especial atención a la información contenida en los ordenadores y la que circula a través de las redes de ordenadores y teniendo en cuenta el papel que juegan las personas en ese esquema.

Uno de los retos más importantes de la actualidad

Las medidas de ciberseguridad de infraestructuras críticas, empresas, gobiernos y demás organizaciones quedan rápidamente obsoletas por ciberdelitos cada vez más sofisticados y frecuentes, cuyas consecuencias son pérdidas económicas, tensiones geopolíticas o inestabilidad social.

Según el último Dossier de Indicadores sobre Ciberseguridad y Confianza Digital en España y Europa (mayo 2020) del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI), solo un 34,5 % de las empresas españolas contaban con documentación sobre seguridad TIC y solo el 30 % definieron o revisaron su política de seguridad TIC en los dos años previos al estudio. Las pymes, mayoría en el tejido empresarial español, van además más retrasadas que las grandes empresas. Solo un 29 % había definido su política de seguridad TIC en los dos años anteriores (frente al 65 % de las grandes) y solo el 32 % tenía documentación sobre seguridad TIC (un 72 % en las grandes).

El Dossier del ONTSI indica además que entre las empresas españolas que poseen documentación sobre seguridad TIC, la menos frecuente es la formación a los empleados (59,6%). Gran carencia porque si la concienciación no es una parte importante de la inversión en ciberseguridad, es posible que el resto de los esfuerzos económicos no sirvan de nada.

Pongamos que una organización (empresa, institución, administración pública, etc.) invierte en levantar técnicamente un sistema de seguridad excelente. Esto quiere decir, entre otras cosas, que se han analizado y subsanado las vulnerabilidades y fallos técnicos y que se cuenta con un buen procedimiento de actualización de los que vayan surgiendo. No hay sistema seguro al 100 %, pero pongamos que en este del que hablamos es muy difícil entrar. La situación ideal de toda organización, ¿verdad? Pues no. En el proceso ha quedado olvidada una pieza elemental: tú, es decir, los trabajadores. Si los ciberdelincuentes logran que abras el email que te van a mandar y que pinches en el enlace que aparece en él, estarán dentro de la organización en cuestión de segundos.

La importancia de la concienciación

“Pero a mí eso no me pasa”. Lo pensamos todos porque nos imaginamos que ese email con el que nos van a tratar de engañar será como los que recibimos en ocasiones en nuestro correo personal: traducciones incomprensibles llenas de errores ortográficos y gramaticales y procedentes de una cuenta con un nombre que prácticamente grita que se trata de una estafa.

Esos emails existen, claro, pero el que te va a mandar una organización de ciberdelincuencia para entrar en tu empresa no tiene nada que ver. Es probable que pienses que es de tu jefe, de tu compañero de enfrente o hasta de un familiar. Y seguramente pinches en el enlace porque su nombre o descripción tendrá relación con tu trabajo diario o con alguna de las actividades extralaborales que has hecho con una persona cuya identidad están suplantando. Es solo un ejemplo porque los tipos de narrativa para estas acciones son distintos, pero todos tienen algo en común: la verosimilitud.

Muchos ataques tienen lugar gracias a fallos técnicos, pero también muchos se evitarían simplemente con formación, que nos permite discernir las amenazas de ciberseguridad a las que podemos vernos expuestos. Y es que, el eslabón más débil de la ciberseguridad somos nosotros, de ahí que la concienciación sea uno de los vectores más importantes del trabajo en este área. Para proteger a una organización es necesario analizar fallos y vulnerabilidades y buscar, proponer e implementar soluciones técnicas. Pero, además, es imprescindible que los integrantes de esa organización reciban formación y sepan cómo pueden ser utilizados para burlar unos sistemas de protección muy trabajados. Las dos piezas son indispensables.

En Transparent Edge Services facilitamos ambas. Practicamos el hacking ético en la búsqueda de vulnerabilidades y fallos en los sistemas de las organizaciones. Entre otras cosas, realizamos auditorías de seguridad, pruebas de penetración (pentesting) y simulamos ataques (red team), todo para proponer las soluciones y la mejor protección para los sistemas informáticos y las infraestructuras críticas de las organizaciones. Pero también impartimos cursos específicos y prácticos en Seguridad de la Información, respondiendo a las necesidades concretas de cada organización después de analizarlas.