La mayoría de los ataques se dirigen a las personas, no a las infraestructuras

Recomendados:  Atención pública al ciudadano: hacia una relación de 360 grados Evento Identificación de ataques web Leer

Aunque ya estemos a punto de finalizar 2021, los acontecimientos que se vivieron en 2020 van a seguir resonando en el espacio de la ciberseguridad bastante tiempo. De hecho, los ciberdelincuentes, animados por los equipos que trabajan en remoto, están aumentando sus esfuerzos, atacando a las organizaciones con un arsenal de nuevas amenazas y otras más antiguas. Pero, sea cual sea la táctica, la mayoría de los ataques tiene un rasgo común: se dirigen directamente a las personas.

“Con tantas amenazas que requieren interacción humana, el ciberdelincuente moderno ya no necesita hackear para entrar en una organización. En la mayoría de los casos, una vez que han obtenido acceso a los datos que necesitan, simplemente pueden entrar iniciando sesión”, declara Nuria Andrés, estratega de ciberseguridad para España en Proofpoint.

Ejemplo de ello son los ataques de ransomware, que aumentaron un 300% en 2020, con el correo electrónico como habitual punto de entrada, por lo que se trata de un ataque directo a los usuarios. Otra amenaza centrada en las personas, el phishing de credenciales, fue el tipo de ataque más común, representando dos tercios de todos los mensajes maliciosos.

Las campañas de Business Email Compromise (BEC), cada vez más elaboradas, también tuvieron su protagonismo en el panorama de amenazas. Solo el año pasado costó a sus víctimas casi 2.000 millones de dólares en pérdidas declaradas, siendo responsable del 44% de todas las pérdidas por ciberdelincuencia. También aparecieron nuevas formas de engaño como la esteganografía, una técnica para ocultar contenido malicioso en imágenes y archivos de audio. El año pasado, más de una de cada tres personas a las que se dirigieron estas campañas hicieron clic en el contenido malicioso.

Así, al igual que las personas están en el centro de estos ataques cada vez más comunes para exponer datos confidenciales, comprometer redes e incluso transferir dinero, en Proofpoint insisten en que estos usuarios deben estar en el centro de cualquier defensa eficaz. Una estrategia sólida de ciberseguridad requiere hoy de un enfoque múltiple que combine personas, procesos y controles técnicos.

“La seguridad es una responsabilidad compartida, por lo que debemos capacitar a todas las personas de la organización para que entiendan los comportamientos de riesgo que pueden conducir a infracciones”, afirma Nuria Andrés. “Más del 99% de las ciberamenazas necesita interacción humana para tener éxito. Por eso, cuando tu personal es tan vital para un ataque, este tiene que ser también una parte vital de la defensa”.