La Prensa
Miércoles, 24 de abril de 2024
Tecnología

La importancia del entrenamiento y los simulacros en ciberseguridad

  • 23.03.2023
  • La importancia del entrenamiento y los simulacros en ciberseguridad

La empresa estadounidense de seguridad empresarial ProofPoint presentó los resultados de su informe 2023 The State of Phish, una exploración en profundidad sobre la conciencia del usuario, la vulnerabilidad y la resiliencia. Este trabajo representa la culminación de un año de investigación sobre amenazas que ProofPoint recogió entre 7.500 trabajadores y 1.050 profesionales de seguridad de IT en 15 países. Al mismo tiempo, el reporte se nutre con los resultados de 135 millones de ataques de phishing simulados que la empresa envió a sus propios clientes.

Las conclusiones principales del reporte para este año muestran que el mundo dejó atrás la pandemia y se puso en marcha, pero también lo hicieron los ciberatacantes. Veamos los números más importantes.

El 84% de las organizaciones encuestadas sufrieron al menos un ataque de phishing exitoso en 2022 y el 54% (más de la mitad) sufrió tres o más. Los ciberdelincuentes saben que la mayoría de las personas tienen lagunas en sus conocimientos sobre seguridad y van perfeccionando sus ataques basados en “ingeniería social”, término que define las técnicas para hacer que las personas den información sensible sin que lo sepan. Esto hace que los equipos de ciberseguridad deban estar en constante movimiento y explica también por qué hoy es uno de los talentos globalmente más requerido.

El 44% de los usuarios considera que un email es seguro si lo envía una marca en la que confía, el 63% no sabe que el texto de un enlace de correo electrónico puede no coincidir con el sitio web al que se dirige y el 21% no sabe que un correo electrónico puede parecer que proviene de alguien que no es el remitente. Aunque estos porcentajes han bajado en los últimos años, todavía se mantienen sorprendentemente altos y explican el auge del phishing, que ha crecido en paralelo.

Uno de cada tres no fue capaz de definir conceptos claves como “malware”, “phishing” o “ransomware”, mientras que el 70% desconoce abiertamente términos más complejos pero igual de importantes, como “smishing” (por mensaje de texto) o “vishing” (por mensaje de voz). El nivel de conocimiento para cada caso apenas ha variado desde 2019.

Respecto al uso de contraseñas, el informe de este año muestra que los viejos hábitos son difíciles de erradicar. El 28% de los usuarios reutiliza contraseñas personales para varias cuentas relacionadas con el trabajo, lo que hace que todas estén en peligro en el momento que una de ellas se ve comprometida. La mejor solución a este problema continúa siendo utilizar una contraseña distinta para cada cuenta o dispositivo e ingresarla manualmente.

Aunque es difícil calcular exactamente cuánta plata se pierde al año por phishing, porcentualmente las pérdidas producto de acciones de phishing exitosas crecieron un 76% entre 2021 y 2022. Es que el 64% de las organizaciones que sufrieron ransomware terminaron pagando un rescate por su información y el 90% de las mismas tenía una póliza de seguro cibernético.

En 2022 hubo un total de 30 millones de mensajes maliciosos enviados en los que el atacante se hizo pasar por Microsoft o uno de sus productos. Aunque en mucha menor medida, esto también afectó a marcas como Amazon (6,5 millones), Google (2,6 millones), DHL (2 millones) y Adobe (1,5 millones). Esto no es de extrañar si tenemos en cuenta, como ya vimos, que las personas tienden a confiar más en correos electrónicos si son enviados por una marca en la que confían.

 

Aunque hay una conciencia clara acerca de los riesgos, todavía hay una brecha de entrenamiento. El 98% de las organizaciones dice contar con algún tipo de programa de adiestramiento para evitar ataques, pero sólo el 56% lo hace extensivo a todos los miembros de su organización y sólo el 35% llevó adelante una simulación de un escenario específicamente sobre phishing. Sigue siendo necesario llevar la teoría a la práctica.

¿Qué hacer frente a todo esto? Aunque ProofPoint reconoce que cada organización es un mundo y por lo tanto requiere soluciones que en muchos casos terminan siendo a medida, recomienda tres acciones que podemos empezar a implementar hoy mismo y son:

Identificar qué usuarios de la organización son más proclives a recibir ataques y entrenarlos puntualmente.

Estar al día con las amenazas: no es lo mismo entrenar al personal para un ataque ya conocido, que para uno del que no se conoce nada.

Por último, aunque los simulacros sirven, es necesario construir una cultura de la seguridad que esté más allá del entrenamiento: hay que motivar a los trabajadores para que se tomen el asunto en serio y construir hábitos de seguridad que también puedan aplicar en su vida personal.

 

 

Más de Tecnología