La transformación digital forma parte de la realidad de las compañías, independientemente de su tamaño o sector. Los procesos de digitalización van acompañados de múltiples ventajas, pero no están libres de riesgos. Resulta imprescindible disponer de planes adecuados que permitan garantizar la ciberseguridad, planes que pasan, entre otras cosas, por la formación y la concienciación.

Estefanía Macías

A principios de 2022, la ciberseguridad se situaba como uno de los principales desafíos globales a los que hacer frente este año. Todos somos ya conscientes de que un ciberataque puede tener consecuencias catastróficas para una organización: desde pérdidas económicas, sanciones por incumplimientos legales o daños irreparables en la reputación hasta, incluso, el cierre de la compañía.

En este contexto, hay una cifra que llama especialmente la atención: el 80 % de las empresas ha sufrido, al menos, una brecha de seguridad relacionada con la falta de formación. Los datos confirman que formarse en ciberseguridad es clave para minimizar los riesgos. Lamentablemente, y esto es algo que ocurre en todos los sectores de actividad, la formación sigue siendo una de las tareas pendientes.

Habilidades y formación

Sin embargo, independientemente de las lagunas en la formación, el problema nace más bien de la falta de concienciación, algo que se hace especialmente evidente en el ámbito de las nuevas tecnologías. En nuestro día a día escuchamos hablar de cosas como ciberataque, cookies, protección de datos, seguridad en redes y sistemas, inteligencia artificial, industria 4.0, Internet de las Cosas (IoT)…

La evolución tecnológica, fascinante sin duda, puede llegar a ser también abrumadora, sobre todo si nadie nos ha explicado, desde el principio y de una forma adecuada, en qué consisten esos conceptos o cómo mantenernos seguros en ese mundo.
Información ciberseguridad
En cualquier caso, tanto los usuarios como las empresas deben saber que contar con una formación adecuada es una herramienta especialmente valiosa a la hora de detectar a tiempo los ciberataques. Según datos del informe de Fortinet sobre la brecha de habilidades en ciberseguridad en 2022, ocho de cada diez organizaciones han sufrido, al menos, una brecha que podría estar relacionada con falta de habilidades y formación. Estas cifras evidencian el escaso grado de concienciación que impulsan las organizaciones en materia de ciberseguridad.

Sin embargo, estos datos contrastan con el hecho de que, como usuarios, en la vida cotidiana, cada vez accedemos a más fuentes de información en forma de recomendaciones y noticias que nos llegan a diario a través de diferentes canales. Es decir, en el ámbito personal somos más conscientes de la necesidad de formarnos en materia de seguridad.

Es más, por lo general, tras las acciones formativas y auditorías de seguridad y hacking ético que llevamos a cabo en las compañías, hemos detectado que los usuarios cada vez se implican más y comunican con mayor frecuencia cualquier sospecha de ciberataque.

Fuego amigo

Otra realidad de la que debemos ser conscientes es que la mayor parte de los ataques no nacen fuera de la organización, sino en su interior. Es más, los ataques externos, los perpetrados por ciberdelincuentes, solo suponen un 23 % del total. El resto se debe, entre otros, a errores humanos, empleados descontentos, competencia desleal, incumplimientos legales o contractuales, falta de medidas técnicas o, como estamos reiterando, un nivel de formación insuficiente.

Alrededor del 90 % de las organizaciones ha recibido intentos de ataque por ingeniería social en el último año

Los delincuentes son conscientes de todas estas carencias y se aprovechan de ellas. La ingeniería social ha pasado a ser una ciencia que observa la psicología conductual de los usuarios medios y permite prever su reacción ante determinados tipos de ataques extremadamente sofisticados, como son los de phishing, vishing y smishing, o, también, ante los denominados ataques de suplantación de identidad.

Los expertos calculan que, alrededor del 90 % de las organizaciones ha recibido intentos de este tipo de ofensiva en el último año. Además, ya no podemos concebir a estos atacantes como individuos que actúan de forma aislada. En la actualidad, estos ciberdelincuentes están constituidos en grandes organizaciones criminales que incluso alquilan sus servicios al mejor postor. Estas prácticas, que se denominan crimen como servicio (crime as a Service, CaaS) permiten diseñar toda una serie de nuevas estrategias en función de los perfiles de usuario.

Los ataques han ido cambiando en los últimos años y cada vez son más elaborados, selectivos y estudiados. En algunos casos, los ciberdelincuentes pueden pasar meses o años investigando a su víctima, ya sea esta una persona física o jurídica, recopilando información para que el mensaje sea creíble. Es lo que se conoce como “fraude al CEO”: ataques que están dirigidos a personas con un perfil alto en las organizaciones.

Aspectos básicos

En este sentido, no todos los empleados requieren el mismo grado de formación. Todo dependerá de las asignaciones y responsabilidades que tenga cada persona en la organización, aunque hay algunos aspectos generales que debemos tener en cuenta.

La mayor parte de los ataques no nacen fuera de la organización, sino en su interior

Como punto de partida, es importante que los usuarios aprendan a reconocer los ataques de ingeniería social y cómo evitarlos. Cuando hablamos de estas técnicas, solemos pensar en correos electrónicos fraudulentos, pero no todo se queda ahí. También puede suceder que esa suplantación de identidad sea telefónica o incluso física y se dé en la propia oficina. En muchos casos, los delincuentes se hacen pasar por otros empleados, directivos, personal subcontratado, etc., para tener acceso a los equipos o a cierta información.

Otro punto importante que la formación ha de tratar es el correcto manejo de los dispositivos corporativos por parte de los empleados. Entre otras cosas, estos deben identificar, rastrear y controlar las amenazas de manera cuidadosa, y prevenir de forma proactiva los intentos de ciberataque. Además, es necesario que los empleados entiendan los riesgos que conlleva consultar páginas web externas, emplear aplicaciones de terceros o hacer descargas y actualizaciones no autorizadas.

Por otra parte, hay que tener en cuenta que la formación y la concienciación en materia de ciberseguridad y privacidad no son importantes solamente para las organizaciones y los usuarios: también son imprescindibles si queremos cumplir con la normativa vigente en la materia, como el Reglamento General de Protección de Datos (RGPD).

En definitiva, para que un plan de formación y concienciación sea realmente efectivo, las distintas acciones que lo componen han de ser recurrentes y relevantes. El objetivo final debe ser desarrollar una cultura de la seguridad en las compañías, tanto en las que operan en el ámbito privado como también, y especialmente, en las organizaciones vinculadas al sector público.

Artículo relacionadosMás del autor