Actualmente, alrededor del 95% de los ciberataques que sufren las empresas tiene su origen en el llamado “factor humano”. Es decir, en los deslices que se cometen por desconocimiento o error.

Y es que si antes de la pandemia los trabajadores constituían el Blanco más débil en la lucha contra los ciberdelincuentes, esta vulnerabilidad se ha agravado en la era del teletrabajo.

Muchas soluciones tecnológicas protegen los sistemas informáticos, pero las personas estamos expuestas a un tipo de ataques muy específicos que nos tienen a nosotros mismos como objetivo: la ingeniería social.

Siete hacking de personas

Los ciberdelincuentes pretenden engañar a los empleados para conseguir información confidencial o algún beneficio, tras instalar un programa malicioso que posteriormente robará o secuestrará datos o infectará otros sistemas.

Ahora bien, Fernando Mateus, CEO de Kymatio, aclara que dentro de la ingeniería Social o hacking de personas existen multitud de ciberataques:

Phishing

Es el envío de mensajes que buscan conseguir información o infectar el ordenador a través de un archivo o un enlace. Puede realizarse a través de casi cualquier plataforma digital y adoptar diversas formas, como correos electrónicos en los que se suplanta la identidad de otra persona o entidad de confianza.

Se trata de un ataque que se realiza masiva e indiscriminadamente, enviando miles de correos de manera simultánea, con un coste muy bajo para el atacante, que solo tiene que esperar a que un pequeño porcentaje de las víctimas pique y le proporcione una contraseña, el número de tarjeta de crédito, una transferencia…

Spear phishing

Es un tipo de phishing dirigido a una víctima o grupo de víctimas, donde los atacantes investigan a sus objetivos para personalizar el mensaje e incrementar las probabilidades de éxito.

Vishing

Son ataques que pretenden manipular al interlocutor mediante una llamada telefónica, para obtener la información necesaria. Se pueden hacer pasar por personas de otros departamentos o entidades de confianza con las que la empresa trabaje para engañar a sus víctimas.

Dumpster diving

Es un ataque presencial, un “buceo en la basura”, con el que se buscan archivos en la papelera de otra persona. A priori podría parecer poco probable encontrar bases de datos, por ejemplo, en un sitio así; pero no claves de acceso, fechas señaladas o informaciones susceptibles de abrir una brecha de seguridad.

Shoulder surfing

Es una modalidad presencial a través de la cual una persona es capaz de ver la información que otra está manejando al mirar por encima de su hombro.

Waterholing

Se trata de una infección de sitios web para extenderla a todos los ordenadores de las personas que accedan a ellos.

Baiting

Consiste en infectar un medio físico (como un USB, una tarjeta de memoria o un disco duro) y abandonarlo en un lugar donde probablemente lo vaya a encontrar otra persona, para que cuando la conecte a su ordenador, este sea infectado por el programa malicioso.

La mejor defensa es la concienciación

Frente a muchas de estas amenazas y ciberataques, no hay antivirus o antispam que valgan. Porque siempre habrá algún atacante capaz de pasar desapercibido entre las herramientas de defensa.

“A las personas sentadas delante del ordenador que ejecutan el programa infectado o abren el enlace del correo de phishing no podemos instalarles un antivirus. Pero sí es posible adoptar una estrategia similar a la que se hace cuando se gestionan riesgos tecnológicos, intentando identificar las vulnerabilidades de los empleados, para saber la amenaza a la que están expuestos y así poder mitigarla”.

Fernando Mateus afirma que para reducir el riesgo que supone la ingeniería social la herramienta más potente es la concienciación. “Que las personas entiendan a qué se están enfrentando, que sepan que son un objetivo de los criminales, que sus datos son valiosos y que un pequeño descuido puede suponer la pérdida de mucho dinero para su organización o para ellos mismos”, añade.

Asimismo, remarca la importancia de que la concienciación se adapte a cada persona. Porque al igual que hay distintos tipos de ingeniería social, existen diferentes técnicas dentro de cada uno de ellos.

“Cada persona es más vulnerable a unos tipos que a otros, y lo que para uno es un engaño obvio, para otro puede ser más difícil de reconocer. Por eso, hay que formar a cada empleado en lo que más requiera, poniendo los parches necesarios, como hacemos con los ordenadores”, apostilla.

Las pymes, menos concienciadas

El 86% de las compañías tienen plantillas que desconocen los riesgos y no toman precauciones, según recientes estudios. Pero el CEO de Kymatio señala diferencias en torno a la cultura de ciberseguridad, pues las compañías que demuestran un mayor nivel cultural en este ámbito superan los 10.000 empleados.

“Esta diferencia se debe a que disponen de más recursos y a que la organización -y en especial su dirección- está concienciada del problema y del mayor grado de exposición a los riesgos y amenazas derivados del factor humano”, aclara Mateus.

Un 71% más de amenazas

Durante el último año, las amenazas se han incrementado un 71%. Un aumento que responde a la extensión del teletrabajo, que conlleva nuevos riesgos, como consecuencia de que los empleados que trabajan desde casa han pasado a situarse en el punto de mira de los ciberdelincuentes.

No es una cuestión baladí. De hecho, Fernando Mateus señala que el coste medio por incidente ronda los 4 millones de euros en las grandes compañías y los 40.000 euros en las pymes. Además, seis de cada diez pequeñas empresas que reciben un ciberataque se ven obligadas a echar el cierre medio año después de sufrirlo.

En Cibertura tenemos una estrategia para evaluamos a cada persona de su empresa, lanzando simulaciones de ataques, en especial campañas de phishing, para preparar a la plantilla frente a estas amenazas.