El 90% de los fallos de seguridad de los sistemas informáticos se produce como resultado de la ingeniería social o phishing, que consiste en el robo o suplantación de la identidad o de las credenciales de los usuarios mediante técnicas de engaño y manipulación.

Del mismo modo, la mayoría de los fraudes (en torno al 65%) de los que son objeto las empresas, no ocurre debido a una acción premeditada o a un fallo de los sistemas, sino a causa del aprovechamiento de las oportunidades para defraudar.

El factor humano es el eslabón más débil de la cadena de custodia de los sistemas de información (término más amplio que el de ciberseguridad, que solo se refiere a asuntos digitales, sin tener en cuenta los sistemas de analógicos). Supone la mayor parte de los casi 4 millones de euros anuales que cuestan a las empresas las brechas en sus defensas.

La cultura de la seguridad debe formar parte del ADN de las empresas

El mundo que nos rodea está cada vez más digitalizado. Sin embargo, en ocasiones se olvida que lo importante a la hora de hablar de seguridad no es el sistema en sí, sino la información que depositamos en él: datos personales, sanitarios, empresariales, de contactos, etc.

El mundo digital es una extensión del real, por lo que se deben mantener las mismas medidas de seguridad en ambos. Si cerramos la puerta al salir de nuestra casa o compramos puertas acorazadas para proteger nuestro hogar, en el entorno online hemos de tener el mismo cuidado. En el caso de las empresas, “no cerrar la puerta” puede suponer el robo de su estrategia, de su información comercial o de determinados procedimientos.

La principal solución para mitigar las consecuencias de los ataques es sensibilizar. Si no tenemos un adecuado sistema de formación y concienciación de los profesionales y de la sociedad en general, todas las medidas técnicas que se utilicen no tendrán sentido, pues el usuario seguirá haciendo click en un enlace sin verificar.

No existe el riesgo cero

En cuanto a las soluciones técnicas, estas pasan por el uso de firewall, medidas contra el ransomware, antivirus, actualizaciones del sistema operativo o fortalecimiento de contraseñas, entre otras, pero no podemos estar totalmente seguros a menos que utilicemos firewall humano.

Aunque el uso de estas técnicas y la aplicación de una defensa activa (rastreo de las redes para detectar posibles ataques, técnicas forenses y de prevención, inteligencia artificial, etc.) pueden contribuir a mejorar la integridad de los sistemas.

Sin embargo, no se trata tan solo de usar inteligencia artificial, por ejemplo, sino de poner capas de seguridad para evitar que esos sistemas que no están orientados a la seguridad (un coche autónomo, por ejemplo), puedan ser atacados.

Los nuevos lugares también están regulados

El ciberespacio es un nuevo lugar político en el cual los ciudadanos se relacionan y, como tal, está sometido al imperio de la ley.

Tendemos hacia las regulaciones internacionales. Desde 1999, España se rige por la Ley Orgánica de Protección de Datos (LOPD), que protege los datos de carácter personal en cualquier formato (desde una grabación de voz, hasta una nota en un cuaderno). A partir de mayo de 2018 entra en vigor la nueva directiva europea de protección de datos, que es algo más restrictiva y obliga a considerar la seguridad de la información desde el mismo momento en que se plantea el sistema.

También está la ISO 27001, que sirve para certificar los sistemas de información.

La seguridad no está reñida con la privacidad, sino que es, de hecho, lo único que permite garantizarla. La mayoría de aplicaciones que se utilizan en los móviles son gratuitas, lo que significa que el producto son los usuarios, que se han convertido en datos a explotar. La seguridad y la ley impiden un mal uso de esa información.

Aprender del pasado

Con el paso del tiempo, empresas y personas se han vuelto más proactivas a la hora de proteger la información.

Además, antes se intentaba ocultar los incidentes por miedo a la imagen que pudiera acarrear el hecho de haber sufrido una falla de seguridad. Ahora, de lo que se trata es de mitigar las consecuencias y de aprender.

Esto fue lo que ocurrió en mayo con el caso de WannaCry. Las empresas reconocieron lo ocurrido y, aunque tuvo mucha visibilidad, su impacto fue despreciable comparado con otros ataques dados hasta el momento.

Sin embargo, este tipo de situaciones nos enseñan que, aunque a veces descuidamos el hecho de actualizar los sistemas operativos (Microsoft había publicado el parche en marzo), seguimos dependiendo del usuario.

Otra lección que hay que aprender es que el trabajo en seguridad debe ser compartido por todos los actores implicados.

Seguridad en constante evolución

Los ataques ocurren a diario en empresas de todo el mundo. En términos de sistemas de información, por lo general, estamos protegidos de modo adecuado. Sin embargo, con tiempo y medios es posible acceder a casi cualquier infraestructura.

A día de hoy se está trabajando en la seguridad a nivel de código con el objetivo de descubrir las vulnerabilidades que podamos tener. A parte de eso, se irán mejorando cada vez más los sistemas técnicos de firewall y los antivirus, haciéndolos aún más potentes.

No obstante, aún queda un largo camino por delante para concienciar completamente al usuario.

 

¿Te gustaría recibir nuestros próximos artículos?