Empleados, el Eslabón mas Vulnerable para los Ataques Cibernéticos. Algunos Consejos de como Minimizarlos

Los investigadores de Microsoft causaron un gran revuelo este mes con un nuevo informe que revela que los intentos de “spear-phishing” se han duplicado en el último año, pasando del 0.31% del total de correos electrónicos marcados como intentos de “phishing” en septiembre de 2018 al 0.62% en septiembre de 2019. Los ataques de “spear-phishing” o “laser-phishing” son muy selectivos y utilizan la información personal reunida por los piratas informáticos para engañar a los empleados de alto valor para que hagan clic en un enlace malicioso o abran un archivo adjunto malicioso.

El informe muestra que los piratas informáticos se han vuelto tan ingeniosos que incluso los ejecutivos expertos en tecnología han sido engañados. Sin embargo, a pesar de los niveles sin precedentes de ataques de phishing de este año a organizaciones de salud, tiendas minoristas, servicios financieros e incluso, empresas de nueva creación, la mayoría de las empresas todavía colocan la mayor parte de la carga de la seguridad de datos de todo su ecosistema en su eslabón más vulnerable: sus empleados.

Esto me lleva a preguntar: ¿se esperaría que un empleado bancario desarmado detuviera un atraco sin ayuda? Probablemente no. Sin embargo, en la mayoría de las empresas modernas, el empleado sigue estando en el centro de la prevención. Según un estudio de IBM, el error humano es la causa del 95% de las violaciones de seguridad cibernética. En otras palabras, si el error humano fuera de alguna manera eliminado por completo, 19 de cada 20 brechas cibernéticas no tendrían lugar en absoluto. Y sólo se necesita un hack para abarcar todo un ecosistema, y potencialmente arruinar la reputación de una marca.

Así que vamos a desglosar las diferentes tácticas utilizadas por los hackers para atacar todos los niveles de una organización, por qué las actuales tácticas de defensa no están funcionando, y en adición vamos a ofrecer recomendaciones sobre cómo las empresas de tecnología pueden protegerse mejor:

¿Qué organizaciones corren mayor riesgo?

Es fácil asumir que los hackers sólo se dirigen a las organizaciones más grandes, pero no es así. Las empresas más pequeñas pueden tener datos menos valiosos, pero también tienen presupuestos de seguridad más bajos. Estudios recientes muestran que el 43 por ciento de los ciberataques tienen como objetivo las pequeñas empresas, y que los fundadores tardan una media de seis meses en darse cuenta de que han sido comprometidos.

Las PYMES y las empresas de nueva creación son más fáciles de comprometerse, y a menudo se utilizan para obtener acceso por la puerta trasera a objetivos de mayor valor. Porque los hackers suelen atacar a las empresas de nueva creación como puerta de acceso a los bancos, empresas de capital de riesgo o proveedores de servicios (como abogados o empresas de relaciones públicas) con los que se comunican estas organizaciones.

¿Qué empleados corren más riesgo?

 

Una de las conclusiones más contundentes del informe de Microsoft es que los ejecutivos de alto nivel con años de experiencia están siendo engañados por ataques cada vez más ingeniosos.

Los ataques de phishing se están convirtiendo en un objetivo cada vez más importante. Los hackers harán sus investigaciones sobre los ejecutivos – seguirán las cuentas de los medios sociales para ver a qué eventos están asistiendo, comprobarán a quién etiquetan en las fotos, y encontrarán las fotos en Linkedin. Luego usan esa información personal para hacer que sus objetivos hagan clic primero y piensen después, con mensajes contextuales perfectamente sincronizados como: “Fue genial conocerte en la conferencia X, basado en nuestro chat puedes encontrar esto útil

Pero una idea equivocada común es que estos objetivos de “alto valor” son siempre los de mayor riesgo. Mientras que los profesionales de recursos humanos o de finanzas pueden ofrecer acceso a datos altamente sensibles de clientes y empresas, que pueden venderse por un buen precio en la oscura red, estos profesionales son también los más indicados para conocer las técnicas de prevención de la ciberseguridad.

En mi experiencia, viendo que los hackers sólo necesitan un punto de entrada para comprometer a toda una organización, tienden a jugar a largo plazo y a comenzar desde la parte inferior de la jerarquía de la empresa. Primero se dirigen a los empleados de menor nivel y menos experimentados mediante la ingeniería social, y luego utilizan las técnicas de “phishing lateral” para acceder a las comunicaciones de varios empleados, uno por uno.

Todo lo que necesitan hacer es jugar el juego de la espera hasta que uno de esos empleados se comunica con un objetivo de “alto valor” por correo electrónico, ofreciendo a un hacker la oportunidad de atacar. Elegirán el correo electrónico correcto como por ejemplo, uno que solicite un informe  y deslizarán un archivo o enlace malicioso.

¿Por qué se están quedando cortas las soluciones educativas?

El hecho de que KnowBe4 haya recaudado 300 millones de dólares adicionales en fondos este año, y que Wombat haya sido adquirido por 225 millones de dólares en 2018, muestra que hay mucha demanda de herramientas de concienciación de seguridad dentro de las empresas. KnowBe4 y Wombat son empresas que invierten muchísimo dinero en soluciones de seguridad cibernética. La capacitación sobre la detección de phishing, la protección de contraseñas y los nuevos riesgos es muy importante. Para ser claros, las empresas DEBEN usar estas herramientas para capacitar a su personal.

Pero hay un riesgo de fatiga en la formación si no se da a los usuarios talleres con retroalimentación personalizada y aplicable. La mayoría de las principales herramientas de simulación notificarán a los gerentes sobre el comportamiento inseguro de los empleados, pero no corrigen al usuario en tiempo real. Además, en la era de la ingeniería social, cuando los ataques se están volviendo hipersensibles, es casi imposible crear “señales de advertencia” normalizadas para que los empleados estén atentos.

En una reciente entrevista con TNW, Adrien Gendre, Arquitecto Jefe de Soluciones de Vade Secure, dijo que “Entrenar a los empleados sobre qué hacer clic es útil, pero la forma actual de entrenamiento por sí sola no es adecuada. Es de poca utilidad cuando los atacantes cambian sus técnicas cada pocos meses. Necesita ser contextualizado para que los empleados puedan identificar el contenido malicioso cuando lo vean”.

Dado que hasta un 80% de las infracciones de seguridad se siguen atribuyendo a errores humanos, hay que poner en duda la eficacia de los instrumentos de capacitación en cuestiones de seguridad. Los principales proveedores prometen ser capaces de reducir el número de clics en contenidos potencialmente dañinos de un promedio del 30% al 2% después de un año de formación. Sin embargo, en las grandes organizaciones con cientos o miles de empleados, este pequeño porcentaje podría suponer todavía un enorme riesgo. Después de todo, sólo hace falta un error para comprometer todo un sistema.

¿Cómo eliminar realmente el riesgo de error humano?

Creo que la única manera de defender realmente a las empresas es quitar el peso de la ciberdefensa de los hombros de los empleados.

Contratar a los CISO es un buen comienzo.  El CISO (Chief Information Security Officer, o director de seguridad de la información) es un ejecutivo de alto nivel con la responsabilidad  de alinear las iniciativas de seguridad con los programas utilizados por la empresa y las metas u objetibos del negocio, de este modo garantizando que los bienes y tecnologías de la información están adecuadamente protegidos.Los CISOs juegan un papel importante para convencer a los líderes de la gravedad de los riesgos y asegurar que se asignen presupuestos adecuados para la formación y la compra de soluciones de seguridad. También están cualificados para desplegar una formación personalizada del personal que se centra en medidas pequeñas y accionables que se adaptan a las funciones de trabajo específicas.

Los CISO podrían enviar recordatorios mensuales para cambiar las contraseñas y enseñar a los equipos a aplicar medidas como la autenticación multifactorial (MFA) o el inicio de sesión único (SSO), lo que permitiría a los empleados centrarse en sus principales responsabilidades sin comprometer la seguridad. Para las empresas con mayores presupuestos, los inicios de sesión biométricos – que permiten al personal acceder a los dispositivos con el toque de un dedo, o el escaneo de un ojo – también están demostrando ser eficaces.

Sin embargo, en última instancia, las empresas necesitan incorporar las tecnologías emergentes que apagan automáticamente los ataques, incluso si un empleado distraído intenta hacer clic en un enlace para ver las fotos de una conferencia reciente. Las nuevas soluciones que utilizan PNL, aprendizaje automático y visión artificial pueden detectar, marcar y bloquear automáticamente las posibles infracciones de malware o phishing, las tácticas de ataque más comunes.

Los objetivos de alto valor, como los proveedores de atención a la salud, están desplegando cada vez más soluciones de Inteligencia Artificial para eliminar la carga de la ciberseguridad de su ya ocupado personal, utilizando tanto soluciones en la nube como herramientas de defensa en los puntos finales. Después de todo, no tiene sentido mantener las redes seguras si se dejan sin seguridad cientos de puntos finales.

El año 2019 fue un año terrible para los ataques de phishing, pero ahora, gracias a los informes de organizaciones como Microsoft, la amenaza de los ataques de phishing y malware es más clara que nunca. Ahora es responsabilidad de las empresas crear culturas de ciberseguridad que mantengan a los empleados informados de los riesgos y les enseñen estrategias para ir un paso por delante de los hackers.

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *