El Foro Económico Mundial resaltaba en 2022 que un porcentaje significativo de los incidentes de ciberseguridad (95 %) son el resultado de errores humanos. Dejaba claro que el factor humano suele ser el eslabón más débil en las defensas de ciberseguridad de una organización.
El factor humano en la seguridad informática no tiene tanto que ver con las acciones maliciosas de personas que quieren dañar a la organización a la que pertenecen, sino más bien con errores inocentes de quienes no aplican medidas básicas de seguridad. Los protocolos de seguridad más sofisticados pueden verse afectados por un solo clic desafortunado de un empleado desinformado o descuidado.
Este artículo, vinculado al Proyecto Estratégico de Ciberseguridad DANGER financiado por el Instituto Nacional de Ciberseguridad de España (INCIBE) a través de la Unión Europea - NextGenerationEU y el Plan de Recuperación, Transformación y Resiliencia, hace un repaso en cómo el factor humano constituye una puerta de entrada a los ataques y propone recomendaciones para ayudar a las organizaciones a fortalecer este eslabón más débil en la cadena de ciberseguridad.
Los nueve errores humanos más comunes
Algunos errores humanos comunes que pueden llevar a ataques informáticos incluyen:
- Contraseñas débiles. Usar contraseñas simples o comunes, compartirlas o almacenarlas incorrectamente, puede llevar a comprometer cuentas y sistemas enteros.
- Uso de software no autorizado. Cuando los empleados instalan aplicaciones sin el conocimiento y aprobación del departamento de tecnología informática, pueden introducir vulnerabilidades y comprometer la seguridad de la organización.
- Olvido de actualizar el software. No aplicar parches o actualizaciones necesarias puede dejar sistemas susceptibles a la explotación por ciberdelincuentes.
- Envío incorrecto de información sensible. Enviar datos valiosos a destinatarios incorrectos por correo electrónico o enviar documentos con datos sensibles por error puede provocar brechas de datos.
- Desconocimiento de ataques de phishing. Caer víctima de correos electrónicos, SMS, o WhatsApps de phishing es un error común. Los atacantes suelen hacerse pasar por entidades confiables y envían mensajes fraudulentos que se presentan como comunicaciones legítimas. Para ello utilizan tácticas como la suplantación de identidad, la creación de webs falsas que imitan a las reales o el uso de mensajes persuasivos y urgentes para generar una respuesta rápida de la víctima. Hacer clic en enlaces maliciosos o proporcionar información sensible a sitios web fraudulentos puede llevar a accesos no autorizados.
- Desconocimiento de ingeniería social. La manipulación psicológica y social de las personas aprovechando su confianza, miedo, curiosidad o falta de conciencia. Se pueden utilizar diferentes técnicas como la suplantación de identidad, la manipulación emocional y la persuasión, para lograr que las víctimas realicen acciones específicas que beneficien al atacante. Por ejemplo, que revelen información sensible o realicen acciones que comprometan la seguridad.
- Uso no autorizado de dispositivos. Conectar dispositivos no autorizados a la red, como unidades USB o dispositivos personales, puede introducir programas maliciosos (malware) o proporcionar un punto de entrada para atacantes.
- Configuración incorrecta de ajustes de seguridad. Configurar ajustes de seguridad de manera incorrecta puede crear vulnerabilidades que los atacantes exploten.
- Manejo negligente de la seguridad física. Dejar portátiles desatendidos o desechar incorrectamente documentos sensibles puede llevar a accesos no autorizados.
Ciberseguridad: ¿cómo prevenir los errores del factor humano?
Estos errores humanos resaltan la importancia de la educación continua en seguridad informática para mitigar los riesgos asociados con las vulnerabilidades humanas. Las organizaciones pueden prevenir errores humanos que llevan a ataques informáticos implementando las siguientes estrategias:
- Cultura y formación de seguridad. Fomentar una cultura de conciencia de seguridad dentro de la organización, estableciendo políticas y procedimientos claros y proporcionando capacitación continua.
- Políticas de contraseñas fuertes. Implementar políticas de contraseñas sólidas y fomentar el uso de la autenticación multifactor.
- Políticas y procedimientos de seguridad claros. Desarrollar y hacer cumplir políticas claras de seguridad y procedimientos.
- Controles de acceso estrictos. Implementar controles de acceso estrictos basados en dotar de los privilegios mínimos a cada rol y revisar periódicamente los privilegios de acceso de los usuarios.
- Actualizaciones y gestión de parches. Mantener actualizado el software para abordar vulnerabilidades conocidas.
- Seguridad de endpoint (ordenadores, portátiles y móviles). Utilizar soluciones de seguridad para detectar y prevenir infecciones de malware.
- Abordar configuraciones incorrectas y mala higiene de seguridad. Enfocarse en prevenir configuraciones incorrectas y mantener buenas prácticas de seguridad.
- Medidas de seguridad física. Implementar medidas de seguridad física para proteger la infraestructura crítica.
- Colaboración con equipos de tecnología informática y seguridad. Fomentar la colaboración entre equipos para crear una cultura de responsabilidad compartida.
- Plan de respuesta a incidentes. Desarrollar y probar regularmente un plan de respuesta a incidentes para una acción coordinada ante posibles problemas de seguridad.
Dando prioridad a estas estrategias, las organizaciones pueden reducir significativamente el potencial de error del factor humano y mejorar su postura general en ciberseguridad.
La necesidad de tener buenos profesionales en el ámbito de la ciberseguridad es cada vez más relevante para empresas e instituciones nacionales e internacionales. Que los fallos humanos sean los responsables de la mayor parte de los fallos de seguridad tiene una ventaja: está en nuestra mano evitarlos.
Una versión de este artículo fue publicada en el blog de la UOC.
Helena Rifà Pous, Profesora agregada. Directora del Máster Universitario en Seguridad de las Tecnologías de la Información y de las Comunicaciones, UOC - Universitat Oberta de Catalunya
Este artículo fue publicado originalmente en The Conversation. Lea el original.