Ya sea a través de amenazas internas y compromiso de cuentas, o de ataques dirigidos de phishing y malware, nuestros empleados siguen desempeñando un papel enorme en los ciberataques modernos. Un solo clic erróneo o una descarga precipitada pueden exponer a nuestras organizaciones a la pérdida de datos, daños a su reputación e interrupción del servicio.
Para proteger a nuestros empleados y defender nuestros datos, debemos intentar romper la cadena de ataque lo antes posible, antes de que los ciberdelincuentes franqueen nuestros perímetros. En este artículo, analizaré la importancia de la cultura de seguridad para lograr este objetivo y el papel fundamental que desempeñan los usuarios en este proceso.
El factor humano en la cadena de ataque
Acuñado inicialmente por Lockheed Martin, el término “cadena de ataque” o “cadena letal” se refiere a las diferentes etapas de una ciberamenaza. La idea es examinar en detalle cómo se ponen en contacto los actores de las amenazas, cómo se distribuyen y ejecutan las payloads maliciosas, cómo se filtran los datos, etc.
Una vez desglosado un ataque en fases, los equipos de seguridad pueden evaluar sus mecanismos de detección, controles de protección y planes de respuesta en cada etapa, en lugar de abordar una ciberamenaza como un gran ataque amorfo que hay que tratar de prevenir.
Los ataques contra las personas no son ninguna novedad. Los ciberdelincuentes crean un perfil para establecer quién es susceptible de tener acceso a los datos o credenciales que buscan. Una vez conseguidos los objetivos, los ciberdelincuentes buscarán la mejor manera de comprometer a esas personas, ya sea directamente a través del correo electrónico o las redes sociales o utilizando como arma a un tercero de confianza.
En la mayoría de los casos, el método de entrega es el correo electrónico por la sencilla razón de que es fácil, accesible, barato y puede desplegarse a gran escala. Es la herramienta perfecta para los ciberdelincuentes. La información disponible en redes sociales suele utilizarse en esta fase para personalizar el mensaje a los intereses del objetivo, para aprovechar aún más el factor humano. Con todas estas técnicas de ingeniería social, es muy fácil que el usuario acabe mordiendo el anzuelo.
Con una cuenta comprometida, un atacante se desplazará lateralmente dentro de las redes, apuntando a más individuos para escalar sus privilegios de administrador. Pero ahora, el ciberdelincuente dispondrá de una cuenta interna legítima que otros usuarios no sospecharán que está comprometida.
La defensa empieza por la concienciación
Los ciberataques centrados en las personas requieren una defensa centrada en las personas. Y el primer paso para lograr esa defensa es la concienciación. Los usuarios deben comprender los riesgos a los que se enfrentan y cómo se espera que se comporten cuando se enfrentan a ellos. Esa es la base.
Del mismo modo que debemos comprender los conceptos básicos de las normas de circulación y las señales de tráfico antes de poder conducir, sus empleados deben comprender los conceptos básicos de seguridad antes de poder defender sus datos.
Pero, por supuesto, eso no es suficiente. La concienciación es una cosa, pero el comportamiento real es otra.
Siguiendo con la analogía de la conducción, que sepa que hay un límite de velocidad de 50 km/h no significa que sepa exactamente cuándo es aplicable ni que vaya a respetarlo. Por eso existen las señales de tráfico, los radares fijos y la policía de tráfico. Sus equivalentes en ciberseguridad incluyen contenidos de concienciación, pruebas de competencia y simulaciones de phishing para determinar si nuestros empleados están actuando como deberían.
Pero, ¿qué ocurre cuando nadie nos vigila? ¿Cómo reducimos el riesgo de que nuestros empleados incumplan las normas cuando es improbable que les pillen? ¿Por qué muchos conductores respetan los límites de velocidad cuando nadie les observa? La respuesta suele ser la costumbre y las expectativas sociales, o la cultura. Y también debemos adoptar este enfoque en ciberseguridad.
La columna vertebral de la cultura de seguridad
Un punto de partida sencillo para crear una cultura de la seguridad en su organización es recordar a sus empleados las “normas” y sus responsabilidades.
Cuanto más ve una señal de 30 km/h, más consciente es de que debe conducir a 30 km/h. Lo mismo ocurre con la formación periódica y los recursos visibles en torno a las mejores prácticas de seguridad. Esta formación y concienciación en seguridad garantiza que sus empleados sepan lo que deben hacer.
Lo siguiente es centrarse en por qué es importante. Los debates sobre la diferencia de mortalidad entre 30 km/h y 50 km/h, las explicaciones sobre los cruces escolares cercanos o las tasas de accidentes anteriores en un punto conflictivo del tráfico hablan de las posibles consecuencias de conducir demasiado rápido. Distribuya este mensaje entre sus usuarios y comprenderán que tener un comportamiento adecuado es absolutamente fundamental.
Por último, queremos que estas normas se respeten de manera generalizada y que la sociedad acepte a quienes decidan cumplirlas y presione a quienes no lo hagan. Esa presión puede ser sutil pero eficaz. Un usuario no quiere ser el único que se salte un stop cuando todos los demás se paran.
La analogía no es perfecta, pocas lo son. Pero al instaurar una cultura, ya sea de la seguridad o de la conducción, podemos aumentar las posibilidades de que la gente tome las decisiones correctas, incluso si no están siendo vigilados por el CISO (¡o la policía!). En el momento en que sus empleados se comportan de este modo, todos los miembros de la organización se convierten en defensores de la seguridad. Todo el mundo se preocupa por tomar las decisiones correctas con la mayor frecuencia posible, lo que le proporciona una base sólida para luchar contra las amenazas de ciberseguridad.
Capacite a sus empleados para romper la cadena de ataque
Una cultura de seguridad sólida es, sin duda, la mejor defensa contra los ciberataques dirigidos centrados en las personas. Pero es una solución que requiere tiempo.
En primer lugar, hay que saber dónde estamos en términos de concienciación. A partir de ahí, puede centrarse en la formación, la adquisición de conocimientos, la comprensión y el establecimiento de las bases de su ciberestrategia. Esto implica un aprendizaje periódico obligatorio, en el contexto de las amenazas del momento, dirigido a quienes más lo necesitan.
Cuanto más conozcan sus empleados las ciberamenazas, el impacto que pueden tener y su papel a la hora de mantenerlas a raya, más rápido cambiarán los comportamientos inseguros. Y solo a partir de esta base podrá instaurar una cultura de seguridad capaz de romper la cadena de ataque antes de que los ciberdelincuentes puedan franquear su perímetro.
Descubra cómo Proofpoint puede ayudarle a romper la cadena de ataque. Además, asegúrese de descargar el informe de Proofpoint, State of the Phish 2023 para conocer las mayores ciberamenazas regionales y cómo convertir a sus usuarios en su mejor defensa.