Ciberseguridad, una cuestión humana a la par que tecnológica

Ciberseguridad, una cuestión humana a la par que tecnológica

El problema de la ciberseguridad son las personas, los procesos y la tecnología.  Y es allí donde están también las soluciones. No podemos resolver este problema centrándonos en una sola área; debemos atajar este problema polifacético con soluciones polifacéticas”, comenta Jessica Barker (consultora independiente de ciberseguridad, fundadora de cyber.uk y cofundadora de Redacted firm) en un interesante comentario que publica Panda Security.

Tras recordar que este tema constituye un quebradero de cabeza para las empresas, tal y como reflejan los ataques que ocupan las portadas de los medios en todo el mundo,  señala que esto constituye “solo la punta del iceberg, aunque la parte positiva es que, en términos generales, la sensibilización ante este problema es mayor que nunca”.

Aunque reconoce que aún queda mucho camino por recorrer, indica que estamos sentando las bases, ya que empresas e individuos saben que la ciberseguridad es un tema relevante pese a que quizás no sepan cómo les afecta o qué deberían hacer. Barker reconoce que la ciberseguridad aún se percibe como un asunto que atañe a los responsables de IT de una empresa, pero en los últimos años ha visto como se extiende la idea de que “la ciberseguridad es una cuestión humana a la par que tecnológica”.

En materia de ciberseguridad, coincide con diversos analistas que el auge del Internet de las Cosas plantea un gran reto. Un claro ejemplo del problema que entraña el IoT es el ataque DDoS causado por el botnet Mirai: con 60 comprobaciones de combinaciones de nombres de usuario y contraseñas, el botnet consiguió acceder a casi 400.000 dispositivos con bajos niveles de seguridad.

Ciberseguridad en personas, procesos y la tecnología

Pese a que los sistemas de protección tradicionales no son capaces de ampliar el perímetro hasta llegar a abarcar las potenciales vulnerabilidades de cada nuevo dispositivo o gadget, smartphone o incluso coches conectados, Barker opina que, a pesar de que ciertas innovaciones tecnológicas, como el IoT o la IA, sean oportunidades para criminales, “tecnologías como la inteligencia artificial pueden mejorar la ciberseguridad de distintas formas, como por ejemplo, reduciendo el volumen de notificaciones de amenazas al utilizar sistemas cognitivos para mejorar la detección de amenazas en tiempo real.

En el caso de los sistemas biométricos el problema es distinto. La experta opina que, “al intentar que esta tecnología sea rentable y fácil de usar, se perjudica la seguridad de la información. Una vez comprometida dicha información, las soluciones son mínimas porque cambiar una contraseña es relativamente fácil, pero cambiar de huella o de voz resulta bastante complicado. La información biométrica puede verse afectada a pesar de ser de difícil acceso y todavía existen aspectos que hacen de las contraseñas seguras la solución “menos mala”.

Jessica Barker, consultora independiente de ciberseguridad, fundadora de cyber.uk y cofundadora de Redacted firm
Jessica Barker, consultora independiente de ciberseguridad, fundadora de cyber.uk y cofundadora de Redacted firm

Jessica Barker es también especialista en el lado humano de la ciberseguridad y asegura que somos especialmente susceptibles a ataques de ingeniería social, ya que “los atacantes se alimentan de patrones psicológicos y sociológicos específicos”. Para evitar este tipo de ataques, comenta. “es importante concienciar de forma que capte el interés, que provoque un impacto y permita la capacitación de las personas. Si creamos una cultura donde las personas se sientan abiertas a reportar posibles incidentes, eliminando el miedo y la culpa en torno a estos problemas, lograremos cambiar comportamientos negativos”.  En su opinión, “teniendo un enfoque que recompense las reacciones positivas por encima de las negativas, dejando de castigar o avergonzar a aquellos que no respondan de forma adecuada, se crea un ambiente que permite el aprendizaje real”.

Estos planteamientos los ilustra con una interesante anécdota personal. En cierta ocasión fue contactada como consultora justo después de que un cliente fuese víctima de un “fraude del CEO”, modalidad de estafa BEC (Business Email Compromise) muy extendida. Los datos hablan solos. Los fraudes BEC supusieron más de la cuarta parte de las pérdidas de ciberseguridad registradas en 2016, llegando a acumular 360,5 millones de dólares de un total de 1.300 millones. Un miembro del equipo de finanzas del cliente, recuerda, recibió un correo de un destinatario que se hizo pasar por el CEO de la compañía y solicitó cierta suma de dinero. Dicho correo incluía detonantes típicos de esta modalidad de ataque, relativos a la autoridad del jefe, el empleo de halagos y recalcando la necesidad de confidencialidad. De esta manera, el atacante engañó al empleado que, sin pensárselo, transfirió la cantidad exigida.

Según Barker, el método más efectivo para cambiar estos comportamientos nocivos y lograr que los empleados sean conscientes de la importancia de la seguridad es “desmitificar la ciberseguridad: demostrar cómo suceden los ataques y hablar un lenguaje que todos puedan comprender”. Al utilizar ejemplos con los que el público puede identificarse, permitiendo preguntas e interacciones, los empleados suelen estar más abiertos a la concienciación. Para ello ha recurrido incluso al enfoque de la ciberseguridad personal en sus capacitaciones. Así por ejemplo, comparte consejos para que los padres puedan potenciar el compromiso y la sensibilización desde edades tempranas, y busca así abarcar un espectro más amplio para ayudar a comprender cómo la vulnerabilidad nos afecta a todos nosotros.

Jessica Barker también advierte que, solo porque ataques como los de ingeniería social sean dirigidos a humanos, no quiere decir que no existan medidas técnicas para mitigar su riesgo e impacto. Según ella, “la segmentación de redes es importante para asegurase de que, si alguien hace clic en un link malicioso, la amenaza se aísla y no se dispersa a través de toda la empresa”. La experta opina que ataques como los de ransomware también pueden mitigarse segmentando la red, aplicando los parches necesarios, educando a nuestros empleados a no hacer clic en links sospechosos o descargar adjuntos de direcciones desconocidas.

En el contexto actual, las soluciones tecnológicas, aunque útiles, no son suficientes por sí solas. También hace falta priorizar la prevención en ciberseguridad para transformar hábitos maliciosos, creando una cultura de confianza y cooperación, y educando a los empleados sobre amenazas existentes y cómo reaccionar ante ellas.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.