Quedo demostrado con lo que sucedió el día lunes la dependencia que tenemos con las aplicaciones y las redes sociales, quienes publican sus negocios o productos por Instagram, hacen las negociaciones por WhatsApp Business o Facebook quedaron a la deriva y aterrados, en principio se decía que era debido a las declaraciones de una mujer por los Pandora Papers, luego que era un foro de hackers en Rusia que tenía más de 1500 millones de datos de usuarios de Facebook por lo cual que se había caído la plataforma, al final el CEO de Facebook reconoció que la caída del sistema se debió a la falla humana al hacer un cambio en el enrutador de sus servidores.
El riesgo cibernético sigue siendo un dolor de cabeza para las empresas, pero las fallas en el factor humano lo son aún más, ya que este es el eslabón más débil cuando se trata de ciberseguridad, según el informe de McKinsey & Company del año 2020 el 50% de las violaciones de datos involucraron a personas dentro de sus propias organizaciones de las cuales solo el 33% fue por ingeniería social.
La ingeniería social se refiere a todas las formas de cebo que están destinadas a enganchar al ser humano en la realización de una acción que de otro modo no habría hecho: compartir contraseñas o información confidencial, los ciberdelincuentes usan cebos como el phishing, llamadas telefónicas, mensajes de texto o correspondencia utilizando las redes sociales, es increíble que aun estas técnicas funcionen, por lo que incluso el malware que siempre está en los medios de comunicación se las arregla para entrar en la ingeniería social, los ciberdelincuentes utilizan técnicas más sofisticadas solo cuando las técnicas más sencillas como la ingeniería social fallan.
Como profesional de la seguridad me sorprendo cuando aún hay personas que les recomienda colocar la verificación de dos pasos en sus aplicaciones y lo miren a uno como un extraterrestre, en algunas ocasiones cuando participo en foros o webinars recomiendo que se debe abrir un espacio en las empresas de consultoría y asesoría para la ciberseguridad ya que esta es la tendencia y de lo cual nos debemos de cuidar en un futuro no muy lejano.
No concibo como las empresas apenas destinan el 5% de su presupuesto a la ciberseguridad, cometen errores solo colocando tecnología, pero no miden el grado de madurez del recurso humano, es como colocar una puerta blindada con la mejor cerradura y las personas la dejen abierta, es como que en un condominio todos los
propietarios tengan llaves, pero alguien deje la puerta abierta o comparta la llave, es el mismo concepto.
Es necesario invertir en la perspectiva de la formación, recompensar el comportamiento positivo, lo ideal es realizar simulaciones de phishing, road shows, poner a los empleados a cargo, además hacer campaña y publicar carteles en toda la organización incluso en los baños, de acuerdo a mi experiencia los empleados son más propensos a quejarse por algo que no les gusta que complementar algo que les agrada.
El costo de probar muchas de las técnicas es bajo y los diversos proveedores de servicios tienen contenido listo que se puede personalizar fácilmente, mi conclusión: es vital aumentar el nivel de inversión en el fortalecimiento de las defensas humanas, piénselo porque puede ser la diferencia entre sufrir un ataque cibernético o prevenirlo.
Adolfo M. Gelder
@adogel
t.me/seguridadintegral