Lecciones de una pandemia: La importancia de concienciar en ciberseguridad no solo en tiempos de crisis

No hay duda de que las turbulencias del año pasado han sido todo un golpe de suerte para los ciberdelincuentes más oportunistas, los cuales no han dudado en aprovecharse al máximo de un desafío global de gran magnitud en beneficio propio. De hecho, en 2020, organizaciones de todo el mundo han experimentado un aumento en el número de amenazas de ransomware y phishing, contando con que alrededor de dos tercios de esas empresas han sufrido un ciberataque exitoso.

Puede resultar excesivo culpar de todo esto a la pandemia de coronavirus y a las ciberamenazas relacionadas con este tema, pero es innegable que han jugado un papel muy importante. Los ciberdelincuentes no han perdido el tiempo y han lanzado miles de señuelos sobre la Covid-19 a usuarios que se encontraban quizá en una situación de mayor vulnerabilidad de lo habitual.

Según nuestro último informe sobre el panorama del phishing, un 87% de las organizaciones españolas encuestadas reconoce haber tenido a muchos de sus profesionales trabajando en remoto el año pasado debido a la pandemia, una situación no exenta de problemáticas que incluso persisten actualmente. La preparación de las organizaciones para el teletrabajo no ha sido en absoluto instantánea, y solo un 21% de los responsables de seguridad en España está totalmente de acuerdo en que los empleados cuentan con las herramientas necesarias para trabajar en remoto.

Como respuesta a ello, no han sido pocas las organizaciones que han decidido incrementar las sesiones formativas a empleados en materia de seguridad e, incluso, con contenidos específicos para que estuviesen especialmente protegidos trabajando a distancia. Aunque esto pueda considerarse como una buena noticia, lo cierto es que no debería necesitarse que venga una crisis mundial para que las organizaciones prioricen la concienciación de su plantilla acerca de las amenazas a las que se enfrentan. Para que sea realmente eficaz, esta formación debe impartirse con regularidad, adaptarse continuamente al panorama de amenazas del momento y situarse en el centro de toda estrategia de ciberseguridad en las empresas todos los días del año.

El impacto de la Covid-19 en las tácticas de los ciberdelincuentes

Pese a que el punto álgido se produjo en los meses de marzo y abril de 2020, los atacantes se han pasado prácticamente todo el año sirviéndose del interés que rodeaba la pandemia para perpetrar sus ataques. En cuanto al phishing, la combinación de mensajes sobre esta temática y su distribución masiva ha sido algo nunca antes visto por nuestro equipo de investigación de amenazas.

Las tácticas de los ciberdelincuentes han ido cambiando a lo largo de estos meses conforme lo hacía la pandemia, pero el objetivo ha seguido siendo prácticamente el mismo. Algunos atacantes mencionaban en sus mensajes supuestas curas frente al coronavirus, otros prometían test rápidos o accesos prioritarios a las vacunas, animando a las víctimas a entregar sus valiosas credenciales.

Pero la actualidad en torno al coronavirus ha sido uno de los múltiples factores que han influido en las amenazas de phishing. Los ciberdelincuentes han decidido atacar en medio de una gran perturbación y distracción entre los usuarios. La adopción inmediata del teletrabajo, las dificultades en conciliación y el estrés propio de una pandemia de duración indefinida han hecho que las personas fuesen propensas a cometer errores y a mostrarse vulnerables frente a los ciberataques.

Muchas organizaciones, a sabiendas del elevado riesgo de la situación, han realizado formaciones de seguridad específicas entre sus empleados con buenos resultados: el 80% de las empresas españolas ha afirmado que esta concienciación ha reducido su susceptibilidad de caer víctima del phishing. Desde una perspectiva global se ha demostrado además que la tasa de error en pruebas a usuarios sobre los señuelos más usados sobre la Covid-19 han oscilado entre menos del 1% y alrededor del 20%. Aun así, estos buenos resultados siguen poniendo de manifiesto la insuficiente formación en materia de seguridad que existe al margen de la pandemia o quizás antes de que esta ocurriese. Si esta concienciación a empleados focalizada y adaptable funciona, ¿por qué no es más habitual?

Cambiar comportamientos de riesgo

El 100% de organizaciones españolas encuestadas recientemente por Proofpoint cuenta con algún tipo de programa de formación en ciberseguridad y, de primeras, se podría pensar que esto es más que suficiente. Pero hay una gran diferencia entre llevar a cabo estas sesiones y que sean eficaces.

Como así se ha visto con los cebos de phishing sobre la pandemia, no basta con hacer ver a los usuarios que hay una amenaza. Para obtener mejores resultados, estos deben conocerla dentro del contexto de los métodos de ciberataque del mundo real. Cuando se incrementa el conocimiento sobre amenazas específicas y relevantes, ya se puede empezar a cambiar un comportamiento.

Pero concienciar a los usuarios no es lo único que se puede hacer. Su comportamiento en torno a la ciberseguridad será diferente cuando se sientan integrados dentro del programa de formación. Por ejemplo, si un empleado recibe un aviso de que el email que reportó se trataba efectivamente de un mensaje de phishing, se conseguirá impulsar e incentivar aún más una cultura de seguridad en la empresa.

Sin embargo, por desgracia, este nivel de formación es poco frecuente. En el caso de organizaciones españolas estas sesiones suelen hacerse con una periodicidad mensual (40%) o trimestral (44%), cuando no se hace dos veces (9%) o una al año (7%). Sin contar que el 49% únicamente las ofrece a usuarios en determinadas funciones o departamentos.

Estas cifras podrían hacer saltar las alarmas. Está comprobado que los ciberdelincuentes se dirigen cada vez más en sus ataques a individuos en vez de a la infraestructura de TI de las organizaciones. No dotar a esos usuarios de los conocimientos necesarios para detectar e impedir esos ataques es, en el mejor de los casos, arriesgado, y, en el peor, un acto totalmente negligente.

Seguir por norma las mejores prácticas

La experiencia en ataques de phishing sobre la Covid-19 ha demostrado que funciona formar a los usuarios de manera pertinente, específica y contextualizada en ciberseguridad. Las organizaciones deben aprovechar lo aprendido en este tiempo, en vez de volver a lo de siempre, para poner en marcha programas de concienciación a largo plazo que busquen activamente cambiar comportamientos de riesgo y se adapten a las amenazas actuales del mundo real. Esto solo es posible situando a los personas en el centro de la estrategia de defensa, porque a menudo son lo único que se interpone entre el éxito y el fracaso de un ciberataque.

La formación que necesitan los usuarios tiene que reflejar lo que está en juego, yendo más allá de la jerga, las definiciones de las amenazas más comunes o tests de evaluación. Es imprescindible que las personas tomen conciencia de cuáles son sus responsabilidades en seguridad y las consecuencias de no cumplirlas. Cuando se imparte con regularidad este formación, se crea una cultura de la seguridad en la que los empleados entienden cómo comportamientos sencillos pueden poner en peligro a su organización. Una cultura en la que todos los usuarios saben prevenir, detectar y disuadir los ciberataques, siguiendo las mejores prácticas en ciberseguridad por norma.

 

Fernando Anaya, Country Manager de Proofpoint