VPN hackerEl factor humano resulta ser el eslabón más débil de la ciberseguridad. Es más, un reciente informe de Verizon confirma que el 85% de las infracciones de ciberseguridad es provocado por errores humanos, lo que resulta en pérdidas mil millonarias debido a las vulnerabilidades de los datos críticos. Según recientes estimaciones, estas pérdidas podrían superar los 10 billones de dólares en 2025 y, solo como consecuencia del ransomware, el impacto para entidades podría superar los 265.000 millones de dólares.

“El factor de éxito de la ciberseguridad depende claramente del factor humano, que es el eslabón más débil de la cadena. La progresión de los ataques y de sus consecuencias son alarmantes y los principales avances en la defensa de los activos digitales tienen que ver con el rol del usuario final, su correcta formación y las políticas de seguridad dirigidas hacia ellos”, asegura Juan Manuel Pascual, CEO de Innovery España y Latam.

Los casos de Uber, Orange y Telefónica

Las tecnologías de ciber resiliencia hacen frente a ataques como el recientemente sufrido por el gigante Uber, aunque, de momento, sus responsables no han podido cuantificar el alcance del daño ni económica y operativamente. Según el propio atacante, accedió al sistema de Uber engañando a uno de sus empleados con técnicas de ingeniería social y contactó con él por un simple WhatsApp. Se hizo pasar por un trabajador del área de Tecnología Informática y obtuvo las credenciales para acceder vía VPN a la red interna de la empresa.

Pero, esta no es la primera filtración sufrida por Uber, como consecuencia de un ciberataque. A este ejemplo hay que sumar, a nivel nacional, el reciente ataque sufrido por Orange y Telefónica y, fuera de nuestras fronteras, el observatorio ALMA (Atacama Large Millimeter/submillimeter Arra).

En el caso de Orange, la oficina de seguridad el Internauta advierte que la teleoperadora ha comunicado que uno de sus proveedores ha sido víctima de un incidente de seguridad, dando lugar a un acceso no autorizado a sus sistemas. Esto ha provocado que información sensible (nombre, apellidos, dirección postal, teléfono, correo electrónico, DNI, fecha de nacimiento, nacionalidad y el código IBAN de la cuenta corriente) de un número limitado de sus clientes haya quedado expuesta.

Recomiendan que quien haya recibido el comunicado de Orange con esta advertencia, tenga durante los próximos meses especial precaución con correos electrónicos, mensajes o llamadas de los cuales no se pueda confirmar su procedencia o remitente, especialmente los mensajes que soliciten información bancaria o credenciales, pues estos mensajes podrían ser fraudulentos. También indica que la Agencia Española de Protección de Datos proporciona unas pautas para ejercer los derechos en caso de que los datos personales se vean vulnerados y, en caso de dudas, consultar directamente con la compañía o con terceros de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI) de INCIBE.

Cómo mitigar las brechas de seguridad

El nuevo escenario de teletrabajo ha agregado nuevas variables a la ecuación de la ciberseguridad, un escenario donde nuevamente el valor humano tiene una gran importancia. Por ello, la compañía recomienda una serie de medidas para mitigar las brechas producidas por el teletrabajo:

  • Establecer unas directrices claras para el uso de dispositivos personales. Una de estas políticas debería ser mantener los equipos actualizados, en cuanto a parches de seguridad.
  • Implementación de soluciones tecnológicas que protejan servicios importantes y de uso diario, como servicios web, de correo y protección antivirus.
  • Políticas claras para el trabajo remoto. Tener una política definida de “trabajo remoto” o “teletrabajo” es imprescindible, si la empresa permite que el personal trabaje desde ubicaciones fuera de la oficina.
  • La organización debe ofrecer herramientas adecuadas, así como canales seguros para la comunicación y el flujo de información.
  • Capacitación y mejores prácticas. Tener una política y apoyarla con las herramientas adecuadas es importante, pero educar y capacitar a los empleados, sobre las mejores prácticas ayudará a explicar y describir por qué necesitan seguir la política y usar las herramientas.

La formación del personal en temas de ciberseguridad es clave, ya que ayuda a los trabajadores a permanecer alerta durante su día a día, sabiendo identificar una amenaza, lo que tienen que hacer y cómo actuar ante estos escenarios. Otro aspecto importante de esta formación debería centrarse en los ataques de ingeniería social, que constituyen alrededor del 98% de todos los ciberataques.