El año pasado los profesionales de seguridad sintieron que se había vuelto por fin a la normalidad. A medida que iba remitiendo el miedo por la pandemia y las organizaciones se adaptaban a nuevas realidades, se reestablecía la confianza en las medidas de seguridad. Por desgracia, los ciberdelincuentes también se han ido encontrando más cómodos con la nueva situación y, teniendo una mayor superficie de ataque a la que dirigirse, han perfeccionado sus habilidades con técnicas tanto conocidas como emergentes para comprometer defensas y exponer datos.
Los datos más recientes sobre phishing corroboran que los ataques basados en el correo electrónico siguen dominando el panorama de las amenazas. Respecto a España, en los casos donde hubo algún intento por parte de los ciberdelincuentes, nueve de cada diez organizaciones registraron finalmente al menos un ataque exitoso en 2022. Además, se da la circunstancia de que las técnicas mejoradas de los atacantes consiguieron aumentar las pérdidas financieras directas, las cuales fueron de un 24% entre las organizaciones españolas.
Aunque los equipos de seguridad no puedan hacer mucho por impedir que los ciberdelincuentes sigan atacando sus organizaciones, el hecho de que las personas tengan un papel activo en el éxito de los ciberataques ya es de por sí motivo de preocupación. La mayoría de las amenazas sigue dirigiéndose a los usuarios antes que a los sistemas y, pese a que esto se sabe desde hace tiempo, aún queda mucho camino por recorrer.
Abordar la falta de conocimiento sobre ciberseguridad
La preocupación de los CISOs acerca de los riesgos de entornos en remoto o híbridos se ha hecho todavía más patente en estos últimos años, y muchas han tomado como prioridad la protección de estos modelos de trabajo desde su mayor adopción a partir de 2020.
Aparte de controles innovadores y nuevas tecnologías, la formación de los usuarios se ha convertido asimismo en piedra angular de la estrategia de defensa. ¿Significa esto que ha aumentado la concienciación y el entendimiento de la seguridad? Desgraciadamente, no.
Siguen sin comprenderse aspectos de lo más básico de ciberamenazas comunes. Un 44% de los españoles encuestados no conoce por ejemplo el concepto de phishing, mientras que solo un 31% sabe definir lo que es el ransomware.
No hay que rebuscar demasiado para saber las razones de por qué hay este desconocimiento. Aunque muchas organizaciones españolas cuentan con un programa de formación sobre ciberseguridad, sólo el 46% forma a toda la plantilla, lo que deja lamentablemente a más de la mitad mal equipadas para detectar y disuadir ciberamenazas. Esto debe abordarse con rapidez ante la creciente sofisticación de amenazas centradas en personas. La buena noticia es que, si se cuenta con un programa de concienciación sobre seguridad, mejorar el conocimiento sobre los ataques será una cuestión de rehacer la estrategia sin tener que partir desde cero.
En cuanto a esa estrategia, es imprescindible impartir formación de manera contextualizada. Los usuarios deben conocer la manera en la que pueden llegar a experimentar las sofisticadas amenazas de hoy en día y qué hacer cuando esto ocurra. Realizar ejercicios basados en ataques reales es una manera de lo más efectiva para tener mayor concienciación, pero aún no se ha explotado lo suficiente este método de formación. España es uno de los países europeos donde más se realizan ataques simulados de phishing (48%), aunque este porcentaje baja en cuanto a simulaciones de ataques de smishing y vishing (24%).
Con presupuestos cada vez más ajustados, los equipos de seguridad sienten que no pueden abarcarlo todo. Pero escatimar en ciberseguridad nunca es una opción. A medida que las amenazas se vuelven cada vez más peligrosas, es necesario un replanteamiento para garantizar que las ciberdefensas estén a la altura de las circunstancias.
Una mirada al panorama de amenazas
A primera vista, hay pocas cosas en el panorama actual de las amenazas que sorprendan a un profesional avezado de la ciberseguridad. El uso del phishing, la vulneración de correo electrónico empresarial o el ransomware siguen siendo populares entre los ciberdelincuentes, pero muchos han intensificado sus ataques para infligir el máximo daño.
El 89% de las organizaciones españolas sufrió ataques de ransomware el año pasado, de los cuales el 72% logró infectarse, pero sólo la mitad (50%) tuvo acceso a sus datos tras pagar un primer rescate a los ciberdelincuentes.
Respecto al Business Email Compromise o BEC, otra de las amenazas más conocidas, los países de habla no inglesa estuvieron especialmente expuestos: en el caso de España, el 90% de organizaciones encuestadas informó de algún intento de este tipo, un 13% más que en 2021.
Las amenazas internas tampoco van a desaparecer a corto plazo. Los modelos de trabajo en remoto o híbridos aumentan el riesgo de negligencia, ayudando a los atacantes a ocultar sus acciones. Asimismo, debido a fenómenos como la “gran dimisión”, es mucho más fácil que antes que los empleados salgan por la puerta con datos sobre las organizaciones. En 2022, un 65% de organizaciones encuestadas en España tuvo pérdidas de datos por acciones internas. Asimismo, un 18% de profesionales consultados cambió de trabajo en el último año, y, de estos, el 35% admitió haberse llevado información consigo.
Al mismo tiempo, las amenazas por correo electrónico son cada vez más complejas. El año pasado se enviaron cientos de miles de mensajes de phishing TOAD, orientados a ataques telefónicos, y de autenticación multifactor (MFA), amenazando así a muchas organizaciones. Dado que muchos siguen confiando en la MFA para proteger cuentas y redes muy sensibles, cualquier método para eludir esta protección ofrece a los ciberdelincuentes una nueva ventaja potencialmente devastadora. Todo ello da como resultado a ciberdelincuentes con el tiempo y la tenacidad suficientes para burlar las defensas frente a equipos de ciberseguridad, que se sienten atrapados en una carrera armamentística que parece imposible de vencer.
Ganar la ciberbatalla
Mientras se mejoran las defensas para hacer frente a ataques más evolucionados, los ciberdelincuentes van encontrando nuevas formas de sortearlos. No es algo nuevo; y, pese a que es imprescindible seguir el ritmo del panorama de amenazas, la ciberdefensa debe ir más allá de tapar las brechas a medida que surgen.
Sea cual sea el adversario, la formación y la concienciación de los usuarios tienen que estar siempre en la base de una estrategia de ciberseguridad eficaz. Cuanto más sepan sobre los ataques a los que se enfrentan, cómo deben actuar ante ellos y cuál es su papel para mantenerlos a raya, mejor posicionados estarán para proteger su organización y sus datos.
Hay que comenzar por identificar quién corre más riesgos dentro de la organización, ya sea por sus escasos conocimientos o por su elevada exposición a las ciberamenazas, y destinar los recursos donde más se necesiten. Posteriormente, se debe poner en marcha un programa formativo de concienciación sobre seguridad, que sea impartido con regularidad y se adecúe al contexto de la empresa.
Como resultado, se creará una sólida cultura de seguridad, que motivará al personal a establecer unos hábitos sostenibles para ponerlos en práctica todos los días, y la organización será mucho más segura sea cual sea la amenaza que los ciberdelincuentes encuentren para atacarla.