Realizando un análisis de la evolución del mundo de la ciberseguridad, podemos entender que los ciberdelincuentes están constantemente modificando y afinando sus técnicas y vectores de ataque con el objetivo de obtener información valiosa y sensible para su propio beneficio.

En los inicios de los ciberataques, en los años 90, los vectores de ataques se dirigían a servidores y redes a través, principalmente, de virus informáticos. Luego se evolucionó a ataques contra aplicaciones, payload, etc., hasta que, estos últimos años se ha puesto foco en un vector de ataque más económico, mejor dirigido y con una mayor tasa de efectividad, este objetivo se multiplica por miles en las organizaciones, y hablamos de los usuarios.

Es por esto, por lo que las organizaciones necesitan estar más preparadas que nunca para proteger sus redes y activos digitales, haciendo foco en crear un entorno de resiliencia a través de formaciones y jornadas de concienciación a todas las personas que trabajen en ella.

¿Sabías que se ha incrementado en más de 200% los ciberataques?

En Grupo Oesía entendemos que no todos los usuarios de las organizaciones son personas muy importantes (VIP), pero sí sabemos que todos los empleados son personas propensas a sufrir un ciberataque, esto se debe a que los ataques no sólo apuntan a altos ejecutivos, sino que buscan de ganar acceso a los sistemas desde cualquier usuario, utilizando nuevos canales digitales (dispositivos móviles, cloud computing, redes sociales, etc.) como medio.

Por comentar algunas estadísticas que nos permitan poner en contexto sobre cómo se están cometiendo estos ciberataques, nuestro Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) ha detectado en el 2018 un incremento del 400% en ataques de phishing contra cuentas de correos electrónicos corporativos de nuestros clientes en comparación con el año anterior y si hablamos de ataques de ingeniería social basado en entornos digitales (internet, rrss, etc.), el incremento ha sido del 233%. Estos ataques han estado dirigidos en un 67% a empleados de bajo nivel jerárquico.

Estos ciberataques están siendo realizados principalmente por phishing basados en URL (mucho más que con una estrategia basada en ficheros adjuntos), luego tenemos técnicas de fraude por email, por ejemplo, enviando un correo suplantando la cuenta de algún directivo, y por último ataques por redes sociales y entornos web enfocados en ataques de ingeniería social.

6 consejos para evitar ciberataques en las empresas

Analizando este entorno de ciberseguridad y entendiendo que las personas son el principal objetivo de los ciberataques, desde Grupo Oesía sugerimos enfocar el esfuerzo en:

• Adoptar una postura de seguridad basado en personas: nuestra propuesta se enfoca en considerar el riesgo individual de cada profesional, mirando los datos a los que tiene acceso, los dispositivos que utiliza para acceder a la información de la organización, el comportamiento social y su nivel de concienciación sobre los riesgos a los que está sujeto como empleado
• Entrenar a los usuarios: es importante crear campañas efectivas de formación y concienciación en materia de ciberseguridad, hacer simulaciones de ataques desde diferentes vectores de ataque y medir el grado de funcionamiento del entrenamiento recibido
• Asumir que los usuarios “picarán”: como organización hay que ser conscientes que los ciberdelincuentes seguirán intentando vulnerar a los usuarios, por lo que, en algún momento, alguna persona de tu equipo caerá en la trampa y debes tener un plan para estas situaciones (plan de contingencia)
• Proteger la seguridad del entorno usuario: adoptar soluciones tecnológicas de seguridad avanzada para aquellos dispositivos a los que el empleado tenga acceso (móvil, cloud computing, endpoint, etc.)
• Proteger la reputación de la marca: debes estar continuamente vigilando todos los canales digitales y evitar que tu marca se vea afectada, muchas veces los ataques no van dirigidos a la organización, puede que vaya contra vuestros clientes (páginas fraudulentas) y puede tener un impacto negativo en tu negocio
• Tener un socio de ciberseguridad: entender que la seguridad no puede estar controlado al 100% sin la ayuda de especialistas que se encarguen de prevenir ataques contra la seguridad digital de tu negocio

Como resumen final, concluir que vivimos en un momento en que como usuarios digitales estamos más expuestos en el mundo ciber y somos menos conscientes del riesgo al que ponemos los activos de nuestras organizaciones por nuestro comportamiento digital, y por ello las organizaciones deben de poner cada vez más foco en pensar en sus profesionales como un vector real de ataque y generar medidas para controlarlo.