La concienciación sobre la ciberseguridad es crucial en nuestro mundo cada vez más interconectado, en el que la tecnología conforma nuestra vida cotidiana. El panorama digital está plagado de amenazas, desde sofisticados intentos de pirateo hasta ingeniería social engañosa, que ponen en peligro a particulares, empresas y naciones. Para navegar con seguridad por esta frontera digital, es imperativo que reforcemos colectivamente nuestra comprensión de los riesgos de ciberseguridad y adoptemos medidas proactivas para mitigarlos.
Este artículo analiza la importancia de la concienciación sobre ciberseguridad y sus aspectos fundamentales, ayudándole a comprender mejor las amenazas en línea y el papel del usuario medio en la lucha contra ellas.
Índice
- ¿Qué es la concienciación sobre ciberseguridad?
- ¿Por qué es importante la concienciación sobre ciberseguridad?
- Aspectos fundamentales de la concienciación sobre ciberseguridad
- Principales incidentes de ciberseguridad
- Octubre, Mes de la concienciación sobre la ciberseguridad
¿Qué es la concienciación sobre ciberseguridad?
La concienciación en materia de ciberseguridad indica el nivel de percepción y comprensión que tienen los usuarios finales de las mejores prácticas de ciberseguridad y de las ciberamenazas a las que se enfrentan a diario sus redes u organizaciones. Reconocer los peligros de navegar por Internet, consultar el correo electrónico e interactuar en línea son elementos de la concienciación sobre ciberseguridad.
Por supuesto, los departamentos de TI tienen un conocimiento mucho más profundo de la ciberseguridad que los directores de marketing, por ejemplo. Aun así, todos los empleados deben estar de acuerdo en lo que respecta a la higiene de la seguridad y la capacidad de detectar una amenaza antes de que sea demasiado tarde. Un empleado que abrió un archivo adjunto de correo electrónico de phishing causó el ataque de ransomware a HSE, el servicio nacional de salud de Irlanda, que provocó pérdidas de 100 millones de euros.
Como puede ver, incluso bajar la guardia por lo que parecía un correo electrónico benigno condujo al desastre. Por este motivo, es imprescindible recibir una formación adecuada en ciberseguridad al menos una vez al año.
¿Por qué es importante la concienciación sobre ciberseguridad?
Las estadísticas no mienten. El 85% de las violaciones de datos se deben al “elemento humano”. Para empeorar las cosas, el 43% de los empleados están “muy” o “bastante” seguros de haber cometido un error con consecuencias para la seguridad. Para mitigar los riesgos de los ciberataques, necesita formación periódica. Cubrir los aspectos básicos ya no es suficiente en un mundo cada vez más digitalizado, en el que los ciberdelincuentes encuentran nuevas formas de burlar tecnologías aparentemente infranqueables.
La ciberseguridad abarca muchos tipos diferentes de amenazas, ataques y medidas preventivas. Debes enfocarlo de forma holística y ser proactivo. Cuanto más se centre en la ciberseguridad, más se fortalecerá dentro de los departamentos de su empresa.
Cuando la concienciación cibernética alcanza su umbral, se convierte en una cultura de la seguridad, un entorno en el que los empleados adoptan y emplean de buen grado prácticas de ciberseguridad en su vida profesional y personal. En la cultura de la ciberseguridad, la concienciación trasciende lo individual y se hace colectiva. Como resultado, la mayoría de las amenazas a la seguridad se abordan antes de que supongan una amenaza tangible, y las posibles infracciones se notifican rápidamente.
Aspectos esenciales de la concienciación sobre ciberseguridad
Las prácticas de ciberseguridad abarcan desde la formación y concienciación del personal hasta contramedidas de seguridad de eficacia probada. Independientemente del nicho y las necesidades específicas de una empresa, existen medios universales para luchar contra la mayoría de los ciberataques.
1. Higiene de contraseñas
La higiene de contraseñas se refiere al grado en que las contraseñas se seleccionan y gestionan de acuerdo con las mejores prácticas de seguridad. Las contraseñas débiles han asolado Internet desde sus inicios. Y por muchas medidas y tecnologías avanzadas que existan hoy en día para proteger los datos, las contraseñas siguen siendo la primera línea de defensa y el componente más vulnerable al mismo tiempo. Cuando el 57% de los empleados todavía guarda las contraseñas en notas adhesivas, sabe que hay mucho margen de mejora.
Nunca subestime los efectos potencialmente devastadores de una contraseña robada. Los atacantes pueden vender datos confidenciales de cuentas en la red oscura a otros grupos maliciosos que, a su vez, estafarán a otros haciéndose pasar por usted. He aquí algunas prácticas para mantener seguras sus contraseñas:
- Que sean largos (al menos 12 caracteres). Cuanto más larga sea la contraseña, más segura será. Incluso unos pocos caracteres adicionales crean millones de nuevas combinaciones que los robots automatizados pueden descifrar.
- Utiliza un gestor de contraseñas para generar y almacenar tus contraseñas. Este método es seguro y ayudará a los empleados a recordar mejor sus contraseñas.
- Utilice una contraseña única para cada cuenta. En caso de violación de datos en uno de los servicios que utilizas, tus otras cuentas no corren peligro.
2. Ransomware
El ransomware es un malware (software malicioso) que deniega a un usuario u organización el acceso a los archivos de su ordenador. Los atacantes cifran estos archivos y exigen el pago de un rescate por la clave de descifrado, colocando a las empresas en una posición en la que pagar el rescate es la forma más barata de recuperar sus archivos.
El ransomware suele propagarse a través de correos electrónicos de phishing o mediante descargas no autorizadas. El drive-by downloading se produce cuando los usuarios visitan sin saberlo un sitio web infectado, y el malware se descarga e instala sin su conocimiento.
Uno de los ransomware más rentables de todos los tiempos fue CryptoLocker. Entre septiembre y diciembre de 2013, infectó más de 250.000 sistemas y hizo ganar a sus creadores más de 3 millones de dólares.
Para evitar ataques de ransomware, siga las mejores prácticas de seguridad web:
- No visite sitios web sospechosos que puedan contener enlaces a programas maliciosos.
- No descargue software de fuentes no verificadas. Asegúrese de que el software tenga un certificado de firma de código que autentique al propietario y la integridad del código.
- Actualice sus protocolos de seguridad y aísle sus sistemas de recuperación.
3. Phishing
El phishing es uno de los ciberataques más antiguos y eficaces que afectan a millones de usuarios en todo el mundo. Se trata de una estafa habitual que engaña a los usuarios para que faciliten información confidencial, como nombres de usuario, contraseñas o datos de tarjetas de crédito, haciéndose pasar por alguien que conocen y en quien confían.
El phishing suele realizarse por correo electrónico y tiene éxito porque no depende del software de seguridad para detectarlo y evitarlo, sino que utiliza la psicología humana para persuadir a los usuarios de que sigan la petición engañosa.
Phishing puede golpear duramente incluso a empresas de renombre como Sony. En noviembre de 2014, el grupo criminal de piratas informáticos “Guardianes de la Paz” filtró 100 terabytes de datos del estudio cinematográfico Sony Pictures mediante el envío de correos electrónicos que parecían proceder de Apple.
La mejor defensa contra el phishing es la concienciación en materia de ciberseguridad. Esto es a lo que debe prestar atención:
- Correos electrónicos con ortografía sospechosa, errores gramaticales y sensación de urgencia.
- La dirección del remitente. Tendrá un aspecto casi idéntico al original, pero con una alternancia fácil de detectar si estás atento. Por ejemplo, puedes pensar que estás recibiendo un correo electrónico de [email protected], cuando en realidad es [email protected].
- Realice simulacros de phishing con regularidad para concienciar a sus empleados y educarlos sobre los peligros de este tipo de ciberataque.
4. Ingeniería social
La ingeniería social es el proceso subyacente a multitud de ciberataques, incluido el phishing. Se basa en gran medida en la interacción humana y utiliza técnicas de manipulación para engañar a las personas e inducirlas a infringir los procedimientos de seguridad y las mejores prácticas.
En un típico ataque de ingeniería social, el estafador puede hacerse pasar por su jefe, un vecino, alguien de su departamento de TI o un socio de confianza al que conoce desde hace años. El suplantador podría enviarle un correo electrónico o un mensaje en las redes sociales y pedirle que realice una transferencia o le entregue información confidencial.
Un ejemplo clásico de ingeniería social es el reciente intento de robo de credenciales de Office 365 en el que los phishers imitaron al Departamento de Trabajo de Estados Unidos (DoL). Los atacantes suplantaron la dirección de correo electrónico real del Departamento de Defensa y compraron dominios de imitación en los que invitaban a los destinatarios a pujar por un proyecto gubernamental.
La estafa contenía correos electrónicos y PDF redactados por profesionales con supuestas instrucciones para licitar y un portal específico en el que los empleados insospechados tendrían que iniciar sesión y, por tanto, facilitar sus datos de acceso a los atacantes.
El mejor antídoto contra los ataques de ingeniería social es la concienciación. Esto es lo que debe hacer para evitar incidentes similares:
- Forme a sus empleados sobre los peligros y los entresijos de los ataques de ingeniería social, y realice simulaciones de phishing para supervisar sus progresos y desarrollar buenos hábitos de seguridad.
- Limite la información que los empleados pueden publicar en las redes sociales. Los estafadores utilizan SM para recabar información sobre sus víctimas potenciales.
- Actualice periódicamente el software y el firmware. Proteja sus dispositivos con herramientas de terceros para una supervisión permanente y configure los filtros de spam al máximo.
5. Seguridad en los pagos
La mayoría de los ciberdelincuentes buscan ganancias económicas rápidas, y ¿qué mejor forma de ganar dinero que atacando directamente las pasarelas de pago? Al obtener acceso a información confidencial como números de cuentas bancarias, datos de tarjetas de crédito y direcciones físicas, los atacantes pueden robar dinero fácilmente de la fuente.
Si su empresa recauda dinero de los clientes a través de una pasarela de pago en línea, debe proteger sus datos confidenciales y los detalles de la transacción frente a los ciberladrones.
Principales incidentes de ciberseguridad
En 2021, el grupo de piratas informáticos chinos Hafnium encontró vulnerabilidades en Microsoft Exchange que les dieron acceso a las cuentas de correo electrónico de al menos 30.000 organizaciones en Estados Unidos y 250.000 en todo el mundo.
Un año antes, SolarWinds, una importante empresa estadounidense de tecnología de la información, fue víctima de un ciberataque masivo que pasó desapercibido durante meses. Unos piratas informáticos, supuestamente respaldados por el gobierno ruso, introdujeron código malicioso en su software de supervisión y gestión de TI Orion, utilizado por miles de empresas y organismos públicos de todo el mundo, incluidas varias partes del gobierno federal de Estados Unidos.
En el primer trimestre de 2022, empresas como Nvidia, T-mobile y Samsung fueron víctimas de múltiples ataques mediante la filtración de credenciales y amenazas internas. Los ejemplos podrían continuar, pero el panorama es claro: nadie es inmune a los ciberdelitos, ni siquiera las grandes empresas que gastan millones en seguridad web. Por eso es importante la concienciación sobre la ciberseguridad.
Octubre, Mes de la concienciación sobre la ciberseguridad
Octubre es reconocido en todo el mundo como el Mes de Concienciación sobre la Ciberseguridad (CSAM). Se trata de una campaña anual dedicada a concienciar sobre la importancia de la ciberseguridad, fomentar las buenas prácticas en este ámbito y garantizar un entorno digital seguro para particulares, empresas y gobiernos.
Se observó por primera vez en Estados Unidos en 2004 como un esfuerzo de colaboración entre la Alianza Nacional de Ciberseguridad (NCSA) y el Departamento de Seguridad Nacional (DHS). El objetivo era abordar las crecientes preocupaciones y retos que plantean las ciberamenazas y educar al público sobre cómo mantenerse seguro en línea.
Durante todo el mes de octubre se organizan diversas actividades e iniciativas para fomentar la concienciación sobre la ciberseguridad. Se trata de campañas de concienciación pública, formación y talleres, evaluaciones de ciberhigiene, intercambio de información y asociaciones y colaboraciones.
Con el tiempo, la campaña adquirió reconocimiento internacional y, en la actualidad, muchos países y organizaciones de todo el mundo participan en el Mes de Concienciación sobre Ciberseguridad de octubre.
Palabras finales
La concienciación sobre la ciberseguridad es un tema que merece mucha más atención de la que recibe, especialmente en las pequeñas y medianas empresas, donde los presupuestos son más ajustados y los empleados, debido a la falta de formación adecuada, son más susceptibles de sufrir distintos tipos de ciberataques.
Los virus y troyanos de las descargas, los mensajes de spam y las filtraciones de datos por estafas de phishing ponen en peligro a su empresa y a sus clientes. Por esta razón, es imperativo educar a los empleados y desarrollar una estrategia eficaz de ciberseguridad. La concienciación cibernética es un proceso continuo que se adapta a los últimos avances digitales y tendencias de seguridad.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10