Un estudio de IBM concluyó en 2014 que el 95% de los incidentes ciberinvestigados tenían en común el error humano. Un total de 19 casos de cada 20 investigados habían tenido como causa o agravante una mala decisión.
A pesar de que las organizaciones y empresas ponen su empeño, algunas más que otras, en blindar sus sistemas e información ante un delincuente, todo puede saltar por los aires cuando el eslabón más débil de la cadena salta por los aires.
[Los diez mandamientos para evitar el ‘phishing’]
Y ese casi siempre somos nosotros. Si un delincuente es capaz de hacerse con las credenciales, usuario o password, de una persona o engañar para que un empleado realice un pago a una determinada cuenta, ya hay muy poco que hacer.
Hay que tener en cuenta que la mayoría de las medidas de seguridad exigen una sola cosa: que sean utilizadas correctamente. E insisto, fallamos.
El ministro polaco y el ataque de phishing por error humano
Michal Dworczyk, el Ministro de Polonia encargado de la gestión de la pandemia en ese país, fue víctima de uno de ellos. Según los medios polacos un presunto ataque de phishing -la suplantación de una Web donde introdujo sus credenciales creyendo acceder, o la utilización de sus credenciales por parte de una persona de confianza de su entorno-, llevó al acceso por parte de los atacantes al contenido de su correo electrónico con mensajes de altos cargos del gobierno.
Algunos de ellos, como uno en el que hablaban de la posibilidad de utilizar el ejército en las calles para controlar la situación, con sus ventajas e inconvenientes, acabaron siendo publicados en canales de Telegram. El daño reputacional y en forma de protestas en la red, traducido en el daño a un país, estaba hecho.
[¿Qué hay detrás de las falsas promociones de aniversario de grandes marcas?]
Algunos apuntaron a que fue un ataque dirigido desde Rusia. Pero fue ante todo un error humano. Una simple doble verificación, MFA o autenticación multifactor, que avisa y pide permiso en tu propio móvil para utilizar tu cuenta, lo hubiera podido evitar. Pero no se hizo. De ahí la importancia de lo que llamamos “lecciones aprendidas”. Desgraciadamente pocas veces aprendemos.
Las contraseñas débiles, descarga de archivos adjuntos de dudosa procedencia, la no actualización de sistemas operativos y aplicaciones utilizadas, son de lo más común al examinar un incidente de seguridad. Pero por si fuera poco cada vez tiene más relevancia el papel de la ingeniería social – es decir “el engaño”-, en todo esto.
El error humano y la contraseña más popular
Sin una sola línea de código, o la necesidad de vulnerar nada más que nuestra buena fe, cedemos con mucha frecuencia a la entrega de nuestras contraseñas y usuarios, o nuestros propios datos bancarios.
Un informe de Seguridad de Reino Unido de 2019 señalaba como 123456 la contraseña más popular del mundo. O que seguimos empeñados en reciclar una y otra vez nuestros passwords en todos los servicios. Una vez que conoces una, conoces todas.
Hay múltiples tipos de error que comentemos frecuentemente. Unos, por ejemplo, están basados en no prestar atención, por cansancio o por rutina, en tareas muy repetitivas. Son los que llamamos errores de habilidad.
Sabemos hacerlo, pero no lo hacemos. En 2016, por ejemplo, un empleado de una institución sanitaria envió un correo a 781 pacientes en una acción rutinaria. Pero no tuvo en cuenta que, al ponerlos a todos como remitentes, y no ocultarlos con “Con Copia”, reveló a todos ellos que estaban siendo tratados como pacientes de VIH.
Los ataques a JBS y Colonial Pipe
En cambio, los errores de decisiones se producen normalmente por una falta de conocimiento o inacción. No tenemos la suficiente información para traducirla en una acción, pero lo hacemos sin tener conciencia de las consecuencias.
Solamente el reciente ataque a la multinacional JBS, uno de los mayores proveedores de carne en USA, se saldó con el pago de 11M$. Colonial Pipe, 4M$ que luego afirman haber recuperado a través de una operación de las fuerzas de seguridad.
Por supuesto no es responsabilidad, solamente, de los usuarios el adquirir el conocimiento para evitar estos problemas. Las empresas e instituciones deben implicarse mucho más.
El escenario de la pandemia ha acrecentado la posibilidad de cometer errores. Es esta la razón del gran incremento que vemos en ataques relacionados con ransomware, por ejemplo.
No actualizar el software y los sistemas operativos, enviar datos a través de redes inseguras y aumentar la dependencia del correo electrónico y la mensajería en línea ha hecho que los empleados sean mucho más susceptibles a amenazas que van desde malware hasta phishing.
Dado que el error humano es claramente uno de los factores más importantes debe ser la mitigación del mismo uno de aspectos en que las empresas y organizaciones se planteen como vital en un mundo en el que los aspectos como el teletrabajo y los equipos desplazados han venido para quedarse.
Desde el punto de vista personal nos hará mejores profesionales. Desde el punto de vista empresarial o institucional será un factor diferenciador que se traduce en mejor competitividad o un mejor servicio y confianza.
0 Comentarios