El mundo de la tecnología está lleno de grandes promesas, también en ciberseguridad. Piénsalo: ¿cuántas veces has oído la promesa de una solución sencilla y rápida que resolverá todos tus problemas de ciberseguridad con un solo clic?

Todos lo hemos oído muchas veces: promesas de una bala de plata que solucione todos los problemas de ciberseguridad.

Puede ser una solución basada en IA, puede ser una nueva herramienta de gestión... y siempre viene con esa promesa inflexible. Pero aquí está el problema: estas herramientas nunca cumplen las expectativas sobredimensionadas que crean porque uno de los mayores retos de la ciberseguridad no se puede solucionar simplemente lanzando más tecnología.

¿De qué estamos hablando? Nos referimos al elemento humano de la ciberseguridad. Es un componente clave de la ciberseguridad que puede -con un (incorrecto) chasquido de dedos- hacer que todas tus herramientas mágicas de ciberseguridad sean completamente ineficaces.

Los cortafuegos perimetrales, la AMF y otras herramientas similares son útiles para mitigar este factor humano. Sin embargo, en su capacidad para provocar catástrofes, el comportamiento humano reina por encima incluso de las herramientas de ciberseguridad más sofisticadas.

Nada de esto le sorprenderá

Que el ser humano es un punto débil en ciberseguridad no es una novedad para nadie. Por extraño que parezca, los incidentes del mundo real nos devuelven una y otra vez al mismo tema de la ingeniería social. 

Rockstar Games y Uber son sólo dos ejemplos recientes de empresas que probablemente pensaban que estaban a salvo de la ingeniería social.

Por desgracia, a pesar del uso intensivo de soluciones de ciberseguridad, ambas empresas fueron recientemente víctimas de un ataque de ciberseguridad porque un empleado fue engañado para hacer algo que iría decididamente en contra de las políticas corporativas de ciberseguridad.

Si se observan de cerca estos ataques exitosos, uno se pregunta si la persona que abrió la puerta ha oído hablar alguna vez de las mejores prácticas de ciberseguridad.

Ninguno de los dos ataques implicaba nada especialmente complicado. En ambos casos, se redujo a una simple estrategia de ingeniería social. Algo como esto: "Bob, soy del departamento de TI. Necesito ejecutar rápidamente una herramienta y necesito que hagas clic en este enlace para poder arreglar algo rutinario en tu PC".

¿Cuándo aprenderemos...?

Hace veinte años, la ingeniería social era una herramienta fundamental para los ciberdelincuentes, y lo sigue siendo. Es casi como si no hubiéramos aprendido nada sobre ingeniería social en las últimas décadas.

Se podría decir que es predecible que las personas que trabajan en organizaciones como departamentos gubernamentales o empresas minoristas puedan caer en un truco de este tipo. Sin embargo, las personas que trabajan en las principales empresas tecnológicas del mundo deberían ser más inmunes a la ingeniería social.

Sin embargo, dos grandes empresas tecnológicas con algunos de los empleados más inteligentes del mundo cayeron en un ataque de ingeniería social. Uno pensaría que los empleados de Uber y Rockstar Games simplemente lo sabrían mejor.

Peor aún, dado el tamaño y la prominencia de ambas empresas, es casi seguro que los empleados que trabajaban allí recibieron una amplia formación en ciberseguridad. Aun así, alguien, en algún lugar, tanto en Uber como en Rockstar cayó en el truco más viejo del libro de jugadas de los hackers.

Es completamente posible que, por alguna mezcla fortuita de acontecimientos, los usuarios en cuestión nunca hayan asimilado una lección clave durante su educación en ciberseguridad. Ya sea porque estaban demasiado ocupados, se saltaron una lección... o cualquier otra cosa.

Sin embargo, dada la frecuencia con la que vemos aparecer en las noticias un gran ataque de ingeniería social con éxito, tenemos serias dudas para cualquiera que siga diciendo que "no sabía que no debía hacer clic en los enlaces de los correos electrónicos..."

Reforzar constantemente el mensaje sigue siendo la mejor opción

Las herramientas de ciberseguridad pueden ofrecer soluciones mágicas para todo tipo de problemas de ciberseguridad, pero no hay ninguna solución mágica que elimine el riesgo que supone el elemento humano. Los usuarios seguirán cometiendo errores. Siempre habrá un momento de falta de atención que dé una oportunidad a un actor malintencionado.

Ninguna organización está a salvo de los riesgos derivados del comportamiento humano: basta con ver lo que ocurre en algunas de las empresas más tecnológicas del mundo. 

Sí, sus estrategias de defensa de la ciberseguridad harán todo lo posible para proteger a su organización, pero el refuerzo continuo que enseña a sus usuarios cómo evitar abrir accidentalmente una puerta trasera debe seguir siendo una estrategia de primer orden.

Este refuerzo constante de la educación también es importante para su equipo técnico. Es necesario reforzar la importancia de la gestión de permisos, la aplicación de parches y el mantenimiento coherente general de la postura de seguridad de la organización.

Al fin y al cabo, el riesgo sigue existiendo: algún usuario, en algún lugar, hace clic accidentalmente en algo que no debería. Pero, como siempre ocurre en ciberseguridad, una protección eficaz consiste en hacer todo lo posible para minimizar el riesgo de que algo salga mal.

La educación continua y persistente en ciberseguridad es su mejor apuesta cuando se trata de protegerse contra los errores humanos que contribuyen a los problemas de ciberseguridad.

Resumen

Nombre del artículo

¿Es posible arreglar el eslabón más débil de la ciberseguridad?

Descripción

¿cuántas veces ha oído la promesa de una solución rápida y sencilla que resolverá todos sus problemas de ciberseguridad con un simple clic?

Autor

Joao Correia

Nombre del editor

Tuxcare

Logotipo de la editorial