Durante estos meses de pandemia hemos visto cómo los ciberataques iban en aumento aprovechando el desconocimiento sobre las nuevas herramientas de trabajo, por parte de los usuarios. Sobre todo, han aumentado (y mejorado) las técnicas de ingeniería social, con el objetivo de obtener acceso ilegítimo a nuestros datos. Esto demuestra que los usuarios seguimos estando en la primera línea para ser atacados, y es por ello, que no debemos bajar la guardia y seguir concienciados y formándonos, pero sobre todo concentrados, dado que los ciberdelincuentes, no descansan ni en tiempos de pandemia, ni en vacaciones.
Durante estos últimos meses hemos visto cómo las empresas debían cambiar su modelo de negocio y ser más resilientes al cambio, acelerando su transformación digital para adaptarse a la nueva realidad del teletrabajo y sobre todo manteniendo su nivel de seguridad fuera de las instalaciones de la empresa. Por ello es importante que todas las organizaciones se apoyen en la ciberseguridad, que avanza a un ritmo frenético, para poder hacer frente a las amenazas y riesgos que corren al ser atacadas.
Estos cambios deben ser trasladados a sus trabajadores, que son sin lugar a duda, el usuario final, el auténtico protagonista. Estos serán los encargados de gestionar y utilizar la tecnología y los sistemas de información que les proporciona la organización y por tanto deben estar bien preparados. Deben contar con conocimientos suficientes y sobre todo estando alertas de las nuevas amenazas que puedan venir en función de la situación en la que nos encontremos.
¿Falta de formación?
Durante los últimos meses, y en especial en los meses de confinamiento, se ha podido ver cómo la red se inundaba de cursos online de manera gratuita, que empresas de todo el mundo ofrecían como aportación por el Covid-19.
Desde este punto de vista, el usuario ha podido obtener una formación bastante amplia para incrementar sus conocimientos en materia de ciberseguridad, no sólo aplicado a su entorno laboral sino también en el personal. Pero ¿por qué sigue aumentando la eficacia de los ataques?
La clave radica en nuestra condición humana. La mayoría de los usuarios, aunque hayan recibido formación, no se toman el tiempo necesario durante su jornada laboral para realizar las comprobaciones oportunas, de las que han sido formados y enseñados para saber detectar un ataque de ingeniería social.
Por supuesto, por la cantidad de repeticiones de un mismo ataque, el usuario pese a no tener tiempo sí que es capaz de identificarlo, como ocurre con los ataques de phishings de bancos en el que solicitan realizar una acción para recuperar tu cuenta o tu tarjeta de crédito. Sino que me refiero a ataques algo menos comunes como el smishing, vishing o ataques watering hole, en español denominado abrevadero.
El primero de ellos se realiza a través de sms como los de aduanas en los que tenemos un paquete retenido ¿quién no ha realizado un pedido durante el confinamiento? O los sms relacionados con la prestación referente a los ERTEs, cuando había 3,9 millones de trabajadores afectados, solicitando sus datos bancarios.
El segundo se realiza mediante llamadas telefónicas y en la que los ciberdelincuentes intentan engañarnos para conseguir ciertos datos necesarios y así poder realizar el ataque, como por ejemplo, que nos llame nuestro banco y nos solicite el pin de nuestra tarjeta de crédito para poder enviar la nueva a casa.
El último, aunque menos conocido, se denomina así por la similitud de estos ataques con los depredadores de aguas dulces, debido a que se acercan lentamente y observan a su presa, hasta que se lanzan a por el objetivo.
Estos ataques tienen éxito porque se ciernen sobre la confianza depositada por el usuario en la navegación web que realizan de manera periódica y por ello bajan el nivel de atención. Estos sitios webs han sido previamente analizados en búsqueda de vulnerabilidades e infectados por cibercriminales tras realizar un perfilado del usuario basándose en costumbres y comportamientos. Por lo tanto, una vez que el objetivo visite esa web, su equipo se infectará de malware y podrán tomar el control.
En una situación normal, los usuarios, solemos parar y pensar antes de hacer click o enviar esa solicitud de datos, o visitar esas páginas webs que no tienen relación con nuestro trabajo, por lo tanto, no es tanto una falta completa de formación o conocimientos sino una falta de apreciación y concienciación, y sobre todo concentración, porque… ¿Si sabemos que no hay que hacerlo por qué seguimos haciéndolo?
Uno de los mayores retos a los que se enfrentan las empresas de ciberseguridad a la hora de impartir formación a usuarios, es que se consiga hacerles comprender y que el usuario interiorice que independientemente del puesto que ocupemos dentro de la organización, la información que podamos tener alojado en nuestros equipos, es el activo más importante y es nuestro deber como usuario mantenerla protegida.
Formación inmersiva
Como hemos comentado anteriormente, el factor humano influye para que un atacante consiga obtener éxito de su víctima, dado que se aprovecha de situaciones excepcionales donde la incertidumbre provoca que cometamos errores debido a momentos de estrés o miedo, como los vividos a causa de la pandemia.
Por ello, desde nuestro punto de vista, cuando ofrecemos un servicio de formación, no solamente nos basamos en un curso online o un webinar, sino que nos apostamos por una formación continua de aprendizaje y de que el usuario pueda sentirse partícipe de ella.
Nuestro punto de vista incluye varios escenarios:
Por un lado, está el análisis del comportamiento de los usuarios. Sabemos que hay ciertos comportamientos que se pueden ir modificando y concienciando para que ganen madurez e ir solucionando pequeñas vulnerabilidades, como, por ejemplo, escritorios limpios, contraseñas en post-it, información olvidada en las impresoras, el programador que no sigue un estándar de seguridad a la hora de programar o simplemente no dejando el ordenador corporativo a los niños para que puedan jugar o navegar por Internet.
Este análisis de comportamiento nos da una visión para poder segmentar el usuario e ir realizando filtros para focalizar la formación en sus errores y concienciar en lo que potencialmente ya realiza de una forma correcta.
El siguiente escenario es atacarlos, sin ponerles en peligro claro. Apostamos por entrenar al usuario y mostrarle lo fácil que puede ser engañarles si no prestan atención, ya sea mediante un phishing adjuntando actas del comité de dirección o dejando USBs con una etiqueta “Verano 2020” ¿A quién no le entra curiosidad de qué contiene esa acta o el USB? También hay víctimas que actúan de buena fe y solamente quieren ver de quién son las fotos para devolverle el USB…
Tras la obtención de los datos de estos ataques y sumados a los comportamientos detectados podemos ir agrupando por segmentos a los diferentes usuarios, independientemente del puesto que ocupen.
Finalizada esa segmentación se establece lo que comúnmente definimos como plan de formación en donde se establecen las actividades que se van a realizar para esos usuarios. Los impactos van a variar en función de lo estipulado por cada cliente, pero tratamos de realizar de manera continua una formación y concienciación duradera en el tiempo por medio de diferentes acciones:
- Cartelería en las oficinas con mensajes claros y concisos.
- Píldoras con temas específicos basados en los comportamientos detectados.
- Cursos online, ofreciendo un soporte a través de un experto para consultar dudas.
- Clases magistrales con expertos en la materia.
- Gamificación.
- Webinars / congresos virtuales ante la nueva situación de restricciones de aforo de manera presencial.
Finalmente, siempre realizamos cualquier tipo de evaluación de los conocimientos adquiridos para medir el resultado de cada acción, de nada sirve realizar una formación, si luego no obtenemos una medición de resultados y verificamos su eficacia. Es por ello que antes de concluir el plan de formación volvemos a realizar de nuevo una revisión de esos comportamientos y de los ataques de ingeniería social para verificar y comprobar la variación de resultados con respecto a la vez anterior.
Al igual que una seguridad al cien por cien es imposible de tener debido al avance de la tecnología y a que los cibercriminales cada vez realizan ataques más sofisticados, nuestros usuarios deberán estar continuamente reforzando sus conocimientos y mejorando sus debilidades y sobre todo prestando atención a los comportamientos que por nuestra condición humana a veces nos hace bajar la guardia y cometer fallos que son fáciles de evitar. No podemos asegurar que lleguemos a un mundo en el que los ataques a los usuarios desaparezcan, pero si conseguimos reducir entre todos la eficacia de los mismos, haremos reducir considerablemente el interés de los cibercriminales, que como ya sabemos, no descansan ni en tiempos de pandemia ni en vacaciones.