La importancia del individuo a la hora de evitar un ataque informático

Josep Albors, Responsable de concienciación e investigación de ESET España

“El eslabón más débil de la cadena de la seguridad es aquél que se encuentra entre la silla y la pantalla”. Esta frase suele pronunciarse cuando se busca responsables en el ámbito informático. Y es que, en pleno 2017 y pese a que muchas amenazas son capaces de propagarse sin interacción alguna del usuario (WannaCry ha sido un buen ejemplo de ello), los delincuentes siguen preparando cebos para conseguir que el usuario pique y haga clic donde no debe.

La falta de concienciación existente entre los usuarios explicaría cómo es posible que la propagación de malware a través del correo electrónico siga siendo uno de los principales vectores de ataque. De hecho, la mayoría de las veces, resulta mucho más sencillo para un atacante tratar de engañar a un usuario incauto que intentar aprovechar alguna de las muchas vulnerabilidades existentes tanto en los sistemas operativos como en las aplicaciones que utilizamos en nuestro día a día.

No es difícil encontrar correos en nuestra bandeja de entrada que se hagan pasar por facturas impagadas, alertas de seguridad de supuestos ataques a alguno de los múltiples servicios online con los que contamos… Lo que pretenden conseguir mediante el engaño, es que ejecutemos un adjunto malicioso, pulsemos sobre un enlace que ejecutará algún exploit en nuestro sistema o descarguemos una aplicación troyanizada en nuestro dispositivo móvil.

Sin embargo, el correo electrónico no es la única puerta de entrada con la que cuenta el malware para aprovecharse de la falta de concienciación de los usuarios. A día de hoy, los navegadores, y más concretamente los enlaces que se visitan, son otro importante vector de ataque. Muchos siguen repitiendo un antiguo mantra y se autoconvencen de que “si no visito sitios peligrosos estoy a salvo de las amenazas” pero… hace tiempo que esto dejó de ser verdad.

A día de hoy cualquier Web puede haber sido comprometida, ya sea por fallos de seguridad en la misma o a través de terceros como los servicios de publicidad o complementos instalados. Esto es especialmente grave cuando las Webs que propagan amenazas reciben millones de visitas al día puesto que solo tienen que convencer al usuario para que instale un complemento, descargue un fichero o incluso, sin interacción alguna, aprovechando alguna vulnerabilidad existente en el sistema.

Una cosa está clara, si los delincuentes siguen contando con los errores cometidos por el usuario como principal puerta de entrada de sus ataques, es porque éstos siguen sin estar preparados para las nuevas amenazas. De hecho, puede que muchos no estén preparados ni para enfrentarse a las amenazas que existían hace 15 años y esto supone un grave problema.

Josep Albors, Responsable de concienciación e investigación de ESET España
Josep Albors, Responsable de concienciación e investigación de ESET España

Pero, ¿debemos considerar al usuario de un sistema como el único responsable de que un ataque tenga éxito? Sinceramente, no lo creo. Y no lo creo porque estamos dando a personas, de todas las edades y niveles de formación, dispositivos avanzados con unas capacidades de conectividad impensables hace pocos años. Dispositivos que contienen sistemas y aplicaciones que muchas veces pueden tener un agujero de seguridad.

Ante esta disparidad de usuarios y potentes dispositivos, la mayoría de las veces no encontramos ninguna iniciativa seria por parte de los gobiernos para formarlos y concienciarlos ante las amenazas que ponen en riesgo la seguridad de sus datos o los de las empresas donde trabajan. A pesar de esto, en nuestro país contamos con iniciativas como el Plan Director organizado por el Ministerio de Interior, que llevan a cabo agentes de la Guardia Civil y la Policía Nacional. Es un buen punto de partida, aunque esté orientado a menores y se cubran muchos puntos, no solo el de la seguridad informática.

Por suerte también existen iniciativas privadas, como X1RedMasSegura que se celebra precisamente durante este viernes 19 y sábado 20 de mayo en Madrid y que lleva ya cinco años informando y educando aquellas personas que, normalmente, no acuden a alguno de los múltiples congresos de seguridad que se celebran en varias partes de España, bien porque no conocen su existencia o por pensar que son demasiado técnicos. Muy loable es también su labor con los colectivos olvidados como los discapacitados psíquicos o los jubilados que descubren la tecnología e Internet a una avanzada edad.

Así las cosas, la conclusión a la que podemos llegar es que no podemos acusar siempre al usuario de todos los males provocados, principalmente por su desconocimiento de la seguridad informática más básica. Por eso mismo hace falta promover planes de concienciación e incluso plantear la posibilidad de incluir la seguridad como una asignatura en todos los niveles educativos ya que, incluso en un grado como el de Ingeniería Informática, la seguridad solo se ve de forma tangencial.

Si conseguimos que el usuario adopte un papel determinante a la hora de detectar y evitar amenazas informáticas mediante su educación, los delincuentes detrás de estas amenazas se verán obligados a esforzarse y aprovechar otros vectores de ataques que pueden ser controlados tanto por los sistemas informáticos como por las soluciones de seguridad.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.