Si trabajas en la implementación de un plan de ciberseguridad para tu empresa, seguro que has escuchado acerca de todos los puntos que debes determinar para asegurar que tu empresa está lo más prevenida posible ante un hipotético ataque.
Pero ¿sabes que más del 80% de los incidentes en ciberseguridad son debidos a errores humanos?
La estrategia de ciberseguridad no tiene un único punto o sólo hay una manera de llevarla a cabo. De hecho, hay muchas maneras de abordar la ciberseguridad dependiendo de las necesidades de cada empresa. Pero sí podemos determinar cómo debería ser, a grandes rasgos, esa estrategia a partir de un caso práctico
Posiblemente el más conocido de todos sea el ataque de Wanna Cry que en mayo de 2017 y a escala global, sufrieron muchísimas grandes corporaciones que se encontraron con sus ordenadores bloqueados y con peticiones de rescates millonarios para recuperar su control.
¿Fue evitable este ataque?
Según se sabe, el ataque se debió a un error no detectado en algunos sistemas operativos que no habían sido correctamente actualizados. Pero para que el ataque se pudiera propagar fue necesario activar el virus, y para ello sólo podía hacerse ejecutándose en un ordenador.
Haciendo uso de este ejemplo podemos analizar qué sucedió para que Wanna Cry llegase a ser el mayor ciberataque del que tenemos conocimiento.
Por un lado los ciberdelincuentes se aprovecharon de un error de seguridad no detectado en ciertos sistemas operativos.
Se trató de EternalBlue (Error MS17-010), un error crítico en Windows que es, como mínimo, tan antiguo como Windows XP y que se aprovecha de una vulnerabilidad para ejecutar de manera remota líneas de código que permitieron secuestrar los ordenadores.
Microsoft lanzó un parche de seguridad que corregía este problema en marzo de 2017, dos meses antes del ataque. Pero una gran mayoría de compañías obviaron esta actualización que, a priori, parecía menor.
Aquí encontramos el primer problema: las empresas no instalaron la actualización de software. Y este es, sin duda, uno de los problemas más habituales en ciberseguridad.
Casi a diario, las compañías de software encuentran y corrigen problemas, bugs o agujeros de seguridad. Casos como este ponen de manifiesto la importancia de tener los programas y el firmware al día.
Por suerte, los update de sistema operativo se realizan actualmente en segundo plano, sin que el usuario deba interrumpir el trabajo en ningún momento.
Lo sabemos: los humanos no somos perfectos ni lo vamos a ser jamás y nuestro papel en la ciberseguridad de las empresas es muy relevante.
Según un estudio de la desarrolladora de software Kaspersky del año 2015, más del 80% de los incidentes relacionados con la ciberseguridad fueron provocados por errores humanos.
En el caso de ejemplo que estamos utilizando, la ejecución del malware que contagió a más de 230 mil ordenadores en 150 países de todo el mundo, se inició por un error humano tan sencillo como abrir un archivo adjunto.
Aquí entra en juego la ingeniería social.
Muchos delincuentes han desarrollado técnicas de ingeniería social para engañar a los usuarios y hacerles creer que un correo electrónico ha sido enviado por uno de sus contactos, cuando realmente contiene software malicioso.
¿Es posible combatir estas prácticas?
Realmente es complicado, pero hay maneras de lograrlo.
Una de las políticas en ciberseguridad que debemos incorporar a nuestra empresa es, sin duda, la formación a los trabajadores para que sean conscientes de los peligros de abrir un archivo adjunto, de quien sea incluso de un conocido, sin haber comprobado antes de qué se trata o si ese envío es legítimo.
En el caso de WannaCry, el virus se propagó a partir de la ejecución del programa que, a su vez enviaba más y más correos electrónicos antes de bloquear y cifrar los ordenadores.
En tal caso, haber desconfiado podría haber sido suficiente para evitar el ataque y bloqueo de los ordenadores.
La transformación digital que hemos vivido y seguimos viviendo en la actualidad nos lleva a una dependencia cada vez mayor ya no de los ordenadores, sino del acceso a los datos que han pasado del PC a los servidores de la empresa y, de aquí, a la nube.
En este proceso aparecen puntos débiles que pueden ser aprovechados por los ciberdelincuentes y el más importante de ellos es, sin duda, el propio usuario del ordenador.
Una de las políticas que deberíamos tener en cuenta para implementar en las empresas es la formación y aprendizaje de los empleados como medida preventiva ante posibles ciberataques.
Esta formación debería incluir conocimientos sobre el software malicioso o la respuesta ante un posible incidente relacionado con el phishing o el ransomware, así como ser capaces de reconocer cuándo estamos ante un email malicioso.
Por otro lado, el técnico en ciberseguridad deberá ser capaz de reconocer los diferentes escenarios posibles, recopilar los datos tras un ataque o detectar los síntomas que delatan que podemos estar frente a un ataque.
Los usuarios son uno de los puntos débiles en la política de ciberseguridad de nuestra empresa, pero con formación y el paquete de software adecuado para prevenir y protegernos de estos ataques, podemos lograr reducir al mínimo o hasta hacer desaparecer las posibles amenazas y ataques informáticos.