El factor humano y su importancia en la ciberseguridad
Actualmente, los ciberataques están a la orden del día. En dos meses hemos tenido dos ataques con mucha cobertura mediática, pero muchos otros no han sido tan cubiertos informativamente y otros tantos no han salido a la luz pública. En todos ellos hay un factor clave, la persona. En un porcentaje muy significativo de casos somos la vía de entrada de los peores ataques. Analizamos la importancia del usuario y el factor humano en la ciberseguridad; cómo influye en la defensa de nuestros sistemas y cómo ser más ciberseguros.
Hoy, cualquier persona, en España y en cualquier parte del mundo, tiene que conectarse a internet o algún dispositivo para trabajar, gestionar algún trámite burocrático, comunicarse, o simplemente por ocio. No hace falta decir que estas interacciones se han disparado con motivo de la pandemia y el teletrabajo.
Sabemos, también, que el usuario no es un agente aislado, sino que se relaciona en varios ambientes: laboral, doméstico, dispositivos móviles, dispositivos IoT, etc. Interactúa.
En este contexto, las trampas que nos lanzan los ciberdelincuentes son cada vez más originales y sofisticadas, y una gran parte de ellas están destinadas a aprovechar las lagunas de conocimiento del usuario en materia de ciberseguridad.
Siempre se ha asegurado que una cadena es tan fuerte como su eslabón más débil, lo cual es perfectamente aplicable al ámbito de la ciberseguridad. Una empresa o una familia puede invertir ingentes recursos en hacer de sus ordenadores o móviles barreras prácticamente impenetrables, pero como los propios usuarios de estos seamos los responsables de abrir huecos en esas barreras nos encontraremos completamente comprometidos y seremos vulnerables a sus ataques.
Hace unos días se ha publicado una alerta del INCIBE en la que avisa (como ocurre todos los años) de un ataque tipo phishing que trata de suplantar la identidad de la Agencia Tributaria en esta época de pago del IRPF. Se trata de un clásico anual. Podemos contar con los mejores antivirus, usar VPNs, contraseñas fuertes, todo tipo de medidas defensivas (que no son exclusivas ni excluyentes de otras), pero un simple clic, que permita la descarga de material indebido, el daño hecho y ha entrado en casa.
La consultora Deloitte al hablar a posteriori del famoso ataque WannaCry destacó que el gusano se distribuyó por una campaña de phishing donde fue imprescindible la acción humana para su entrada y propagación, fueron los trabajadores de las propias empresas afectadas los que propagaron y dejaron entrar el malware sin ser consciente de ello.
De hecho, en un estudio realizado por Kapersky, la compañía de ciberseguridad, el 52% de las empresas admiten que los empleados son su mayor riesgo en ciberseguridad.
En prácticamente todos los ataques hay una responsabilidad personal. No es tanto en qué ataques interviene el usuario como detonante o atacante, sino en qué medida es la propia persona quien, de manera consciente o no, genera una vulnerabilidad por la cual se introduce el malware que infecta el sistema.
Los ciberdelincuentes saben que tienen que deben entrar por algún hueco o aprovechar alguna vulnerabilidad, y siempre va a ser más por aprovechar el fallo humano que un Zero-Day (una vulnerabilidad sólo conocida por el atacante y para que lo no existe aún parche) o un firewall mal configurado. Además, hay una oportunidad de éxito en el ataque por cada usuario en un sistema: puedes lanzar un azuelo y lanzarlo mil veces que con que sólo pique un pez ya ha sido un ataque exitoso.
Dentro de estas debilidades, que somos las personas, podemos encontrarnos con ataques aún más personalizados como el fraude del CEO donde se suplanta una identidad concreta, usando unos datos previamente obtenidos por distintos medios de ingeniería social como OSINT, HUMINT, VIRTUALHUMINT (de ahí la importancia de la privacidad en internet y que cuidemos qué publicamos). Puede ser incluso un correo o un mensaje muy concreto de un delincuente que suplanta la identidad de alguien de confianza (amigos, pareja, familia…)
También, pueden ser ataques masivos como el ya citado de la Agencia Tributaria o alguno suplantando a la DGT, avisando de una multa falsa, que ahí es “pesca de arrastre” porque son campañas muy baratas pero con un alto impacto.
Otro ataque masivo proviene de introducir un dispositivo USB o CD con el malware dentro para que el empleado lo introduzca en su equipo o el de la compañía, pensando que contiene información lícita o al menos inofensiva.
Ojo, que no todo van a ser despistes. Existe, y no es poco común, la figura del actor interno o insider, que podemos definirla rápidamente como “el enemigo en casa”; alguien que maliciosamente decide atacar el sistema desde dentro, o generar una vulnerabilidad de manera consciente y motivada. El Centro Criptológico Nacional en su informe anual de ciberamenazas del 2019 les atribuyó nada menos que un 25% de los incidentes. Puede ser el caso de un trabajador despedido, que actuando con odio y rencor decide dañar a la empresa.
Hay pocas causas, pero cada una de ellas es muy fuerte. Una, sin duda, es la falta de formación del usuario o empleado, que no sabe diferenciar cuándo estamos ante una amenaza o un contenido inofensivo. No está educado en la comprobación de los enlaces que pincha o si el documento que se descarga tiene “mala pinta”. Un poco de cuidado evitaría buena parte de los ataques.
Ahora bien, no podemos estar entrenados si no somos conscientes de la amenaza que suponemos para nosotros y nuestro entorno. Por eso, de la mano de la formación debería estar la concienciación de la importancia en saber qué hacemos y qué suponemos, aún dando por supuesto que nuestras organizaciones nacionales para la ciberseguridad (por ejemplo, el INCIBE, CCN, IS4K, OSI…) tienen una importante cantidad de recursos para todas las edades, ámbitos, conocimientos, destrezas…
Otro factor, es la sofisticación del ataque: es mucho más difícil de detectar un ataque quirúrgico contra nuestra persona o compañía donde los datos y el anzuelo están muy bien escogidos. En estos casos, nuestra labor defensiva empieza antes, evitando que nuestros datos sean públicos, se filtren, cambiando contraseñas periódicamente, etc. Por supuesto, habrá también ataques más burdos y genéricos, que con un poco de cuidado y consciencia podremos evitar. Y si en nuestro entorno hay usuarios jóvenes o mayores que son menos experimentados, también debemos cuidarles de estos ataques antes, con un antivirus y educando en el uso de la tecnología. Hay que ser conscientes de que ningún usuario está solo, de que convivimos en ciberecosistemas como redes wifi, intranets, etc. que pueden poner en peligro al resto de nuestro entorno.
Además de todo lo anterior, debemos tener unas guías de buenas prácticas en nuestras PYMES, no mezclar en los dispositivos del trabajo lo personal, tener bien configurados los permisos de los usuarios, etc. Es un trabajo que se reparte entre lo puramente tecnológico y el instinto de defensa de cada uno.
Conclusión
Somos un riesgo, para nosotros y para aquellos que nos rodean. Cuando conducimos un coche debemos ser conscientes de los beneficios y de los riesgos. Con la tecnología sucede lo mismo, el factor humano en la ciberseguridad es una vulnerabilidad más en cualquier sistema de seguridad y debemos cuidarlo tanto o más como las barreas software o hardware. No hay medida de seguridad exclusiva ni excluyente.
Daniel Juanes Fernández/Analista de Inteligencia/Colaborador del Área de Ciberseguridad de Sec2Crime.