Actualidad
Spanish Chinese (Traditional) English French German Italian Portuguese Russian Grupo Edefa

Los errores humanos siguen siendo la principal vía de los ciberataques

Más del 90% de los incidentes relacionados con la ciberseguridad se producen por un fallo humano, algo que supone una gran ventaja para los ciberdelincuentes debido a la facilidad de creación y distribución de estos engaños en los que caen los usuarios para conseguir cometer sus ataques.

De hecho, estos ataques se consideran mucho más peligrosos que los que provengan de “fuera”, ya que para detener estos ya hay creadas distintas infraestructuras y mecanismos que alertan y bloquean rápidamente estos intentos de acceso malicioso, pero si el problema viene directamente de dentro, ¿cómo lo paramos?

Como usuarios de internet todos estamos sujetos a un ataque cibernético, y por ello, también las empresas. Es muy común pensar que estos problemas solo los sufren las empresas más grandes y ricas, pero la realidad es que el objetivo favorito de los ciberdelincuentes son las pymes, ya que estas, al no tener tantos recursos como una gran empresa, suelen estar menos formadas e invertir menos en la ciberseguridad, lo cual las convierte en un blanco perfecto para los ciberdelincuentes.

Se estima que tan solo un 15% de las pymes están preparadas para protegerse frente a estos ataques, la falta de protocolos indispensables de seguridad como la realización periódica de copias de seguridad de información, la verificación en dos pasos o el cambio periódico de contraseñas reflejan la falta de concienciación y la poca formación respecto a ciberseguridad que existe en estas pequeñas y medianas empresas.

Los ciberataques más comunes en los que caen los usuarios son el phishing, smishing, baiting, malware y, uno muy sonado en los últimos tiempos, el ransomware.
El Phishing consiste en distintas técnicas utilizadas para engañar a los usuarios y conseguir que introduzcan su información personal, desde contraseñas hasta tarjetas de crédito. El método más habitual es realizado mediante el envío de correos electrónicos que redirigen a una sitio web falso creado exclusivamente para este tipo de engaños y que se hacen pasar generalmente por una entidad conocida.

El Smishing es algo similar al Phishing pero mediante SMS fraudulentos en lugar de correos electrónicos. Generalmente se recibe un mensaje donde el atacante se hace pasar por tu banco o algún empresa de paquetería y donde se solicita un número de teléfono o pinchar en un enlace para obtener información bancaria.

El Baiting es el método quizás menos utilizado y conocido, consiste en dejar algún tipo de dispositivo previamente infectado y esperar que alguien lo utilice.

El Malware consiste en la instalación de programas maliciosos en los equipos informáticos, suelen instalarse pensando que es otro programa y pueden llegar a interrumpir el funcionamiento del ordenador, obtener información confidencial o tener directamente acceso al sistema.

El Ransomware es una de las principales amenazas de la actualidad de la cual hay casos prácticamente cada día, consiste en infectar y bloquear equipos a través de software malicioso de manera que consigas encriptar archivos con información delicada o que simplemente bloquean el funcionamiento habitual de la empresa, para liberarlos, los ciberdelincuentes suelen pedir un rescate económico sustancioso y que en muchos casos dejan a la empresa en una situación verdaderamente delicada.

Conseguir evitar el 100% de los problemas relacionados con el factor humano es algo prácticamente imposible, sobre todo si la plantilla es muy extensa, ya que los métodos van mutando cada poco tiempo y las falsificaciones cada vez son más realistas. Pese a esto, si se puede reducir drásticamente el número de afectados realizando formaciones e inculcando la importancia de la ciberseguridad y de las buenas prácticas a todas las personas que forman una empresa, desde los dirigentes hasta los propios empleados. Otras medidas que pueden servir de gran ayuda, es la contratación de empresas especializadas para realizar por ejemplo ejercicios de phishing controlado. (Diego Calvo, DLTCode)


Copyright © Grupo Edefa S.A. Prohibida la reproducción total o parcial de este artículo sin permiso y autorización previa por parte de la empresa editora.