La pandemia y la crisis del coronavirus no ha hecho sino aumentar más la presión sobre los equipos de ciberseguridad. Aparte de gestionar una mayor dependencia de sistemas cloud, estos profesionales han tenido que responder ante distintos cambios en el comportamiento de los usuarios. Al haber muchos empleados trabajando fuera de los entornos tradicionales en medio de una pandemia mundial, ha resultado mucho más difícil mantener las prácticas de ciberseguridad adecuadas. Y los ciberdelincuentes no han tardado en aprovecharse de esta oportunidad, alcanzándose nuevas cotas en ataques de phishing con cientos de señuelos relacionados con la Covid-19.
El aumento de controles tecnológicos, la actualización de procesos y la formación en materia de seguridad han servido a muchas organizaciones para superar una primera etapa de disrupción. Sin embargo, por desgracia, esta primera ola de alto riesgo ha dejado paso a otra en la que los usuarios se han acostumbrado ya al teletrabajo y todavía les esperan muchos meses más fuera de la oficina.
Este año el conocido como «factor humano» es probablemente la mayor amenaza en ciberseguridad, debido en parte al aislamiento de los trabajadores, a las distracciones propias de conciliar la vida laboral y personal, así como a los elevados niveles de estrés propios que ha generado la pandemia. Todo esto hará que la ciberseguridad caiga aún más bajo como prioridad para los usuarios.
La psicología de la pandemia para la ciberseguridad
El hecho de que no haya apenas cambios entre un día y otro, las dificultades en conciliación, la mínima interacción con otras personas y la propia naturaleza de la crisis sanitaria contribuyen a lo que los psicólogos llaman «malestar pandémico».
El hastío ante esta situación afecta a nuestro bienestar y comportamiento. Varios estudios realizados por expertos muestran el impacto que tiene esta sensación en la concentración, el rendimiento y la productividad de las personas. En otras palabras, cuando estamos aburridos, nuestro nivel de exigencia baja y tendemos a cometer errores. Por si no fuera poco, los usuarios también tienen que lidiar con otras cuestiones a diario como el cuidado de los hijos, compartir espacio de trabajo con convivientes, los quehaceres domésticos y también las comodidades que supone estar en casa que pueden hacerles desviar su atención durante su jornada laboral.
Se ha demostrado que cambiar nuestro foco de atención regularmente provoca fatiga cognitiva, lo que aumenta el riesgo de cometer errores, omisiones o de tener algún lapsus mental. Esto es una mala noticia para los profesionales de ciberseguridad y una muy buena para los ciberdelincuentes, quienes confían en los deslices de los usuarios. Basta con abrir un archivo adjunto a toda prisa, reutilizar una contraseña o pasar por alto un simple detalle para causar un importante daño a la seguridad de la empresa. Y este tipo de riesgos no son nada anecdóticos.
Estas negligencias suelen ser la causa más común de las amenazas internas, que representan actualmente casi dos tercios de los incidentes de seguridad reportados por las empresas. Sus consecuencias pueden ser devastadoras: al año cuestan a las organizaciones unos 4,5 millones de dólares; es decir, unos 307.111 dólares por cada incidente con información privilegiada.
Un adversario implacable
El ciberdelincuente de hoy en día sabe bien que la ruta más rápida para entrar en las defensas de una organización es a través de sus empleados. Incluso antes de la pandemia, más del 94% de los ciberataques se dirigía entonces a las personas a través del correo electrónico; y el 99% de ellos requería de interacción humana para activarse.
Si el objetivo de estos ataques se encuentra además ansioso, aburrido o distraído, las probabilidades de dar en el clavo aumentan. De esta forma, al mismo tiempo que la realidad del coronavirus empezó a calar entre la gente, también lo hicieron distintos cebos de phishing ofreciendo supuestos tests, curas o promesas de vacunación a cambio de información personal y credenciales. Sea cual sea el cebo, los usuarios se enfrentan a un bombardeo constante de amenazas en el que una simple acción puede poner en peligro a su empresa.
Entre los comportamientos que aumentan el riesgo de ciberataques se incluye hacer clic en enlaces maliciosos, algo que el 10% de los usuarios admite hacer
La falta de concienciación en materia de ciberseguridad es la raíz del problema. En una encuesta realizada por Proofpoint el año pasado, el 37% de los usuarios fue incapaz de definir el término phishing. Y mucho menos de demostrar el nivel de conocimiento necesario para mantenerlo a raya: el 87% de las empresas españolas tuvo a muchos de sus profesionales trabajando en remoto el año pasado, pero solo el 36% capacitó a estos usuarios para hacerlo de forma segura.
El usuario, en el centro del ataque y la defensa
La ciberseguridad con el foco puesto en las personas no es un concepto nuevo en absoluto. Pero del mismo modo que los atacantes están redoblando sus esfuerzos para atacar a nuestra gente, nosotros también debemos hacer lo mismo para defenderla.
En esta aproximación es clave contar con una formación exhaustiva, continua y contextualizada de los usuarios sobre seguridad
No basta con que los empleados sepan qué es el phishing o el ransomware, sino que deben de detectar estas amenazas en el mundo real, siendo conscientes de que su comportamiento puede aumentar significativamente las probabilidades de éxito de un ataque. Este sigue siendo un área con carencias en muchas organizaciones, ya que solo el 7% de las empresas españolas admite llevar a cabo un programa de formación completo tres veces al año o más entre sus trabajadores.
Es necesario hacer un cambio lo más rápido posible. Hasta las defensas perimetrales más sólidas pueden verse afectadas por completo con un solo clic en un enlace malicioso. Sin una capacitación de los usuarios de manera regular y exhaustiva, es como si cerrásemos la puerta a cal y canto, pero dejásemos las ventanas abiertas de par en par a todos los que quieran traspasarlas.
