El «humano en la máquina» es una consideración fundamental a la hora de crear una estrategia eficaz para minimizar el riesgo de ciberseguridad. Sin embargo, esta afirmación tiene muchos aspectos, ya que nuestros empleados son una parte vital del éxito de nuestra organización; en lugar de repartir culpas, debemos separar lo malicioso de lo accidental, detectando lo primero y previniendo lo segundo.

A través de una formación centrada en la concienciación sobre la seguridad, se pueden mitigar los factores humanos que conducen a fallos humanos. He aquí cómo y por qué se puede gestionar el riesgo de la ciberseguridad mediante una concienciación sobre la seguridad.

Por qué los factores humanos provocan riesgos de ciberseguridad

El factor humano en el riesgo de la ciberseguridad suele denominarse ‘amenaza interna’. El ‘insider’ adopta la forma de empleados y no empleados, como los consultores. El simple hecho de que los «insiders» formen parte integrante de los procesos de una organización y utilicen los recursos informáticos con permiso, hace difícil abordar los fallos humanos que conducen al riesgo de ciberseguridad.

El riesgo para la ciberseguridad relacionado con el uso de información privilegiada es un problema importante: un informe sobre amenazas internas de 2020 elaborado por Cyber Security Insiders señala que el 68% de las organizaciones se sienten «entre moderada y extremadamente vulnerables» a las amenazas internas. Esto no es sorprendente si se observan algunos de los titulares de ciberataques de última hora del año pasado, como el hackeo de Twitter de 2020, en el que se accedió a cuentas de Twitter de alto perfil, incluida la de Barack Obama, y se utilizaron para engañar a los usuarios de Twitter para que realizaran transacciones ilícitas de bitcoin. Las pérdidas se estiman en unos 180 millones de dólares (129 millones de libras) y el precio de las acciones de Twitter se desplomó un 4%. El pirateo implicó la suplantación de identidad de empleados de Twitter y el robo de credenciales privilegiadas.

Los ciberdelincuentes utilizan el factor humano para efectuar accesos no autorizados, robar credenciales e infectar los sistemas informáticos y los puntos finales con programas maliciosos como el ransomware. Sin el efecto humano en la máquina, la ciberdelincuencia sería mucho más difícil.

Los factores humanos que conducen a los fallos humanos

Según una investigación de IBM, las tres áreas principales en las que hay que centrar la atención a la hora de crear estrategias de seguridad para mitigar los riesgos de ciberseguridad son:

  1. Phishing

  2. Escanear y explotar

  3. Uso no autorizado de credenciales

Los tres vectores tienen un elemento que implica un factor humano en algún punto de la cadena de ataque.

Phishing y Spear-phishing – factores humanos: Esto requiere que un objetivo humano haga clic en un enlace o abra un archivo adjunto infectado para iniciar la cadena de infección. A menudo, el phishing se utiliza para dirigirse a usuarios privilegiados (spear phishing) con el fin de obtener sus credenciales. Los usuarios privilegiados tienen acceso a los recursos más importantes: el robo de credenciales privilegiadas es el cáliz de oro de la piratería informática. Aquí entra en juego un factor humano, como la respuesta automática al clic.

Escanear y explotar – fallo humano: los hackers utilizan cualquier cosa que les facilite la vida y poder escanear automáticamente en busca de vulnerabilidades es un vector útil para la infección por malware. Los componentes de los sistemas informáticos, como los servidores web, las bases de datos y las aplicaciones en la nube, pueden acabar mal configurados si no se comprende bien el impacto de una seguridad deficiente. Las aplicaciones y los componentes web inseguros dan lugar a agujeros de seguridad que los piratas informáticos pueden explotar. En este caso, el fallo humano conduce al riesgo de ciberseguridad.

Uso no autorizado de cre denciales – fallos humanos y factores humanos: el robo de credenciales conduce a un acceso no autorizado a los sistemas y recursos informáticos. Entre las formas en que las credenciales pueden utilizarse sin autorización se incluyen:

  • Shoulder surfing: las credenciales se roban cuando una persona malintencionada observa a alguien introducir una contraseña.

  • Phishing: engañar a una persona para que introduzca sus credenciales de acceso en una página de inicio de sesión falsa.

  • Ingeniería social: engañar a una persona para que entregue una credencial de acceso por teléfono, a través de las redes sociales o utilizando otros métodos de comunicación, como correos electrónicos, servicios de asistencia y mensajes de texto.

En los tres vectores de piratería informática de mayor éxito, tanto el factor humano como el fallo humano ocupan un lugar preponderante. El riesgo de ciberseguridad se concentra en nuestros empleados y en quienes no lo son, pero ¿cómo podemos reducirlo?

¿Las mejores prácticas para evitar que los factores humanos se conviertan en fallos humanos?

Un estudio de Kaspersky, centrado en el papel que desempeñan los factores humanos en el riesgo de ciberseguridad, descubrió que el «personal descuidado o desinformado»» es la segunda causa más probable de una violación grave de la seguridad; la infección por malware es la primera, pero a menudo es causada a su vez por personal descuidado o desinformado. Con altos niveles de riesgo asociados a los factores humanos, reducir los fallos es vital para mitigar el riesgo de seguridad.

Destacan dos áreas que abarcan tanto al personal descuidado como al desinformado:

Decisiones descuidadas que conducen a un fallo de seguridad: tomar malas decisiones de seguridad, como configurar mal los sistemas y componentes de TI o hacer clic en un enlace de phishing antes de pensar, son fallos humanos que conducen a un mayor riesgo de ciberseguridad. Configurar mal los sistemas y componentes de TI es un ejemplo de decisión de seguridad descuidada. Hacer clic en un enlace de phishing es otro. Tanto el personal informático como el no informático son capaces de tomar decisiones descuidadas que conducen a fallos de seguridad. Garantizar que todo el personal, tanto técnico como no técnico, sea consciente del impacto de sus decisiones es una forma fundamental de mitigar el riesgo de ciberseguridad.

Personal desinformado que provoca fallos de seguridad: si el personal no es consciente de sus acciones, ¿cómo es posible que conozca las consecuencias para la seguridad? Las empresas forman habitualmente al personal en otras áreas del negocio, y esto debería extenderse a la formación en materia de seguridad. La formación del personal en materia de seguridad incluye la comprensión de cómo funciona el phishing, así como otros fallos de seguridad comunes, como el uso compartido de contraseñas y el envío erróneo de correos electrónicos. Cabe destacar que el envío erróneo sigue aumentando como forma de error humano según el Informe de Verizon sobre Investigación de Fallas de Datos (DBIR).

Mitigar el factor humano en el riesgo de ciberseguridad

El estudio de Kaspersky identificó un elemento crucial del fracaso humano en materia de seguridad: el afán por ocultar los errores. El estudio descubrió que en el 40% de las empresas, los empleados ocultaban los incidentes de seguridad. Esta cifra debería hacer saltar las alarmas y hacer que la gente intensifique su formación en seguridad. Incluso si el empleado comprendía la implicación de un incidente de seguridad, seguía sintiéndose obligado a ocultar la información. Esto plantea la pregunta de por qué, con una respuesta en dos partes:

Haga de la seguridad una cultura: puede sonar a cliché, pero si la noción de seguridad está arraigada en su cultura corporativa, es menos probable que el personal se sienta abrumado y asustado cuando ocurra algo. Una cultura de la seguridad se crea utilizando la formación de concienciación sobre la seguridad para ayudar a formar hábitos de seguridad positivos en los empleados.

Facilite la notificación de un incidente de seguridad: es necesario notificar los incidentes para que pueda actuar sobre ellos el personal cualificado adecuado que refleje el nivel de riesgo. Un sistema de notificación, diseñado para que informar sea superfácil para los empleados, eliminará el dolor de la notificación de incidentes y hará que sea más probable que se produzcan.

Los factores humanos provocan fallos humanos. A través de la formación en concienciación sobre ciberseguridad, las organizaciones pueden abordar los comportamientos humanos que provocan errores por descuido y malas decisiones, reduciendo así el riesgo de ciberseguridad.

riesgo de ciberseguridad