Para cualquier organización, es imperativo fortalecer continuamente su postura de seguridad cibernética, especialmente a la luz de la reciente ola de ataques posteriores a la pandemia. Sin embargo, la mayoría de las estrategias de ciberseguridad tienden a centrarse en la protección y mitigación automatizadas y rara vez ven las cosas desde una perspectiva humana.
Es una negligencia flagrante.
De hecho, la mayoría de los ciberataques tienen éxito porque un empleado cometió un error. Incluso hoy en día, los principales vectores de ataque provienen de las ubicaciones más antiguas del mundo, como los correos electrónicos de phishing, el robo de contraseñas y las políticas inseguras de Traiga su propio dispositivo (BYOD). En 2021, más infecciones fueron causadas por ataques de phishing que cualquier otro vectorsegún un informe de IBM. (Lea también: Cómo no ser phishing.)
Con eso en mente, enseñar a sus empleados cómo protegerse a sí mismos y a sus sistemas es un cambio de juego, tanto como establecer una sólida estrategia de respaldo para proteger sus datos.
Echemos un vistazo a las herramientas más recientes que utilizan los ciberdelincuentes para engañar a sus empleados para que comprometan sus datos y las tácticas que puede implementar para mantener sus datos seguros:
Técnicas que te ponen en riesgo
1. Ingeniería social
La ingeniería social es una forma engañosamente efectiva de robar credenciales y obtener acceso incluso a la red protegida más segura. Funciona haciendo que las personas más vulnerables extraigan o extorsionen información de forma fraudulenta, y es asombrosamente eficaz: la ingeniería social ha alcanzado más de 250 millones de dólares en daños solo en 2020.
Las víctimas de la ingeniería social pueden ser engañadas, engañadas o coaccionadas para que proporcionen sus credenciales de acceso legítimas de muchas maneras, desde hacerse pasar por un empleado del departamento de tecnología que solicita información hasta hacerse pasar por un agente del gobierno que solicita acceso oficialmente. Deepfakes usando tecnología de IA para crear imágenes, videos o grabaciones fraudulentas de personas reales ha hecho que sea aún más difícil para las personas detectar intentos de ingeniería social.
Algunas de las hazañas de ingeniería social más sofisticadas de la actualidad incluso cuentan con el apoyo de los gobiernos. Las naciones rebeldes y los enemigos nacionales extranjeros han subido el listón de la ingeniería social y están utilizando todas las armas de sus arsenales para lograr sus objetivos maliciosos, en particular contra las agencias gubernamentales rivales.
Por lo tanto, la capacitación moderna en concientización sobre seguridad cibernética debe tener plenamente en cuenta la ingeniería social. No importa cuántos guardias y/o metros de cerca electrificada protejan su perímetro, solo necesita una persona con autorización legítima para acceder a su preciada bóveda donde se esconden todos los datos. (Lea también: Explicación de los ataques de Business Email Compromise (BEC): ¿Está usted en riesgo?)
2. Soluciones de phishing como servicio
Dado lo avanzado que se ha vuelto el software de procesamiento de lenguaje natural, detectar un correo electrónico falso no es tan simple e inmediato como solía ser. Y si bien pueden parecer una amenaza trivial, el 90% de los ataques cibernéticos provienen del correo electrónico, lo que provoca casi $ 6 billones en daños solo en 2021.
De hecho, el phishing es una estrategia tan eficaz y popular entre los ciberdelincuentes que ahora algunos de los ciberdelincuentes más emprendedores han comenzado a vender kits de phishing en forma de Soluciones de phishing como servicio (PaaS).. Con precios que oscilan entre $20 y $200, los estafadores menos hábiles ahora pueden pagar a otros equipos con más conocimientos para que lleven a cabo sus ataques.
Los proveedores de PaaS incluyen plantillas de correos electrónicos y sitios web, listas de víctimas potenciales y formas sencillas de imitar servicios populares como Microsoft Office 365 OneDrive o Adobe Document Cloud. Algunos kits, como LogoKit, pueden dibujar automáticamente el logotipo de la víctima en la página de inicio de sesión falsa o en el correo electrónico fraudulento.
3. Falsedades convincentes
No es ningún secreto que la ciberdelincuencia ha aumentado en la era del COVID-19. Esta tendencia continuó a medida que las vacunas estuvieron ampliamente disponibles y los ciberdelincuentes comenzaron a vender certificados de vacunación contra el COVID-19 falsos en línea.
Estas falsificaciones parecen «idénticas a las emitidas por muchos [government-run] clínicas de vacunación», según Artículo de noticias de CBC de 2021.
Peor aún, estos certificados de vacunación falsos pueden dejar a los desprevenidos vulnerables a infecciones de malware y ataques de phishing.
Tácticas para la conciencia de seguridad cibernética
1. Inteligencia artificial en la formación de empleados
Los datos indican algunos departamentos menos expertos en tecnología (como el de ventas) pueden alcanzar tasas de fallas de hasta el 40 %, por lo que debe administrar la capacitación adecuada para ayudar a sus empleados a detectar falsificaciones profundas, clonación de voz y otros esquemas de ataque elaborados. Esto sigue siendo cierto incluso si sus empleados usan sus propios dispositivos, ya que los encabezados de correo electrónico y los SMS son más difíciles de leer y evaluar en las aplicaciones móviles.
En resumen, la resiliencia de su organización es tan fuerte como su eslabón más débil.
Muchas organizaciones ya han comenzado a implementar cursos de capacitación para aumentar la conciencia de seguridad cibernética de los empleados, pero si estos cursos no pueden mantenerse al día con la complejidad de las amenazas reales, no hay mucho que puedan hacer. Peor aún, si estos programas educativos son aburridos o consumen mucho tiempo, los empleados comenzarán a ignorarlos, y eso es una violación que está por ocurrir. (Lea también: La ciberseguridad y usted: por qué aprender ahora valdrá la pena más tarde.)
El enfoque de microaprendizaje gamificado que utiliza Hoxhunt, por ejemplo, puede ser muy útil captar la atención de los empleados — asegurándose de que De Verdad revise esos correos electrónicos y siéntase recompensado cuando noten los malos. Más importante aún, el uso inteligente de las funciones de inteligencia artificial (IA) de este servicio permite una rotación mucho más inteligente de las amenazas potenciales para evitar que sean predecibles u obvias.
La IA puede saber qué empleados muestran comportamientos incorrectos y actuar en consecuencia para centrarse en aquellos que necesitan más capacitación. También puede integrar constantemente datos de nuevas amenazas para garantizar que los escenarios propuestos estén siempre frescos y actualizados. Es por eso que la IA será indispensable para el futuro de la capacitación en ciberseguridad de los empleados.
2. SIEM y UEBA
No importa cuánto capacite a sus empleados, las cosas aún pueden salir mal. Por lo tanto, siempre debe tener una capa secundaria de seguridad.
Cuando alguien todavía cae en la estafa más ingeniosa, los últimos sistemas de gestión de eventos e incidentes de seguridad (SIEM) pueden salvar el día mediante el uso del análisis de comportamiento de usuarios y entidades (UEBA). UEBA utiliza IA para reconocer los comportamientos normales de los usuarios e identificar actividades sospechosas. Si un usuario en particular, por ejemplo, comienza a ejecutar un proceso malicioso en su dispositivo, UEBA puede marcar ese comportamiento como potencialmente amenazante y detener los ataques de ingeniería social a medida que ocurren.
UEBA recopila información de múltiples puntos de datos y los integra para establecer el estado normal y saludable de una red (y las personas que trabajan en ella). Luego monitorea constantemente tanto el comportamiento humano como el estado de las máquinas. Si un servidor comienza a recibir demasiadas solicitudes a la vez, se envía una señal a través de la plataforma que advierte que se está transfiriendo un posible ataque de denegación de servicio distribuido (DDoS).
Las plataformas avanzadas de UEBA pueden incluso actuar por sí solas y permitir que se implementen medidas de seguridad para mitigar el daño o detener al atacante en seco. Por ejemplo, se puede cerrar un servidor para evitar que se propague el daño, mientras que la persona que inició el comportamiento anormal se desconecta.
La industria está desarrollando servicios que integran algunas de las mejores prácticas para ayudar a las organizaciones. P.ej, El paraguas de Cisco es una solución SASE entregada en la nube que consolida múltiples soluciones de seguridad en una sola herramienta. El resultado de esto, y los recursos que probablemente ya están en funcionamiento, es una arquitectura de ciberseguridad más resistente y una experiencia de usuario de red simplificada.
Conclusión
Ningún perímetro de seguridad cibernética será 100 % seguro, independientemente de las tecnologías utilizadas. Los peligrosos delincuentes en línea seguirán acechando en los rincones más oscuros de Internet, innovando nuevas formas de atraer a aquellos que no tienen la conciencia para detectar de inmediato sus enfoques fraudulentos.
No importa cuán lejos pueda llegar la tecnología, seguimos siendo humanos, propensos a errores y fallas. Por lo tanto, es vital que nos mantengamos alerta y luchemos contra los ataques cibernéticos utilizando enfoques igualmente sofisticados. (Lea también: Descubrimiento de brechas de seguridad.)