Factor humano: punto clave en la ciberseguridad

El panorama mundial de ciberseguridad es complejo y cambia constantemente, con nuevas vulnerabilidades y amenazas que surgen casi a diario. Aunque las organizaciones han avanzado significativamente en la implementación de medidas de seguridad avanzadas, resulta sorprendente notar que la mayoría de los incidentes de seguridad no son simplemente el resultado de técnicas de piratería sofisticadas, sino que a menudo se ven favorecidos por errores humanos. El World Economic Forum resaltó que un porcentaje significativo de los incidentes de ciberseguridad (95 %) son el resultado de errores humanos, dejando claro que el factor humano suele ser el eslabón más débil en las defensas de ciberseguridad de una organización. 

El factor humano en la seguridad informática no tiene tanto que ver con las acciones maliciosas o criminales de personas que quieren dañar a la organización a la que pertenecen, sino más bien con errores inocentes de quienes no aplican medidas básicas de seguridad. Los protocolos de seguridad más sofisticados pueden verse afectados por un solo clic desafortunado de un empleado desinformado o descuidado. Este artículo hace un repaso en cómo el ‘factor humano’ constituye una puerta de entrada a los ataques de ciberseguridad y propone recomendaciones para ayudar a las organizaciones a fortalecer este eslabón más débil en la cadena de ciberseguridad.

Los nueve errores humanos más comunes en ciberseguridad

Algunos errores humanos comunes que pueden llevar a ataques informáticos incluyen:

• Contraseñas débiles: Usar contraseñas simples o comunes, compartirlas o almacenarlas incorrectamente, puede llevar a comprometer cuentas y sistemas enteros.
• Uso de software no autorizado: Cuando los empleados instalan aplicaciones sin el conocimiento y aprobación de TI, pueden introducir vulnerabilidades y comprometer la seguridad de la organización.
• Olvido de actualizar el software: No aplicar parches o actualizaciones necesarias puede dejar sistemas susceptibles a la explotación por ciberdelincuentes.
• Envío incorrecto de información sensible: Enviar datos valiosos a destinatarios incorrectos por correo electrónico o enviar documentos con datos sensibles por error puede provocar brechas de datos.
• Desconocimiento de ataques de phishing: Caer víctima de correos electrónicos, SMS, o WhatsApp’s de phishing es un error común. Los atacantes suelen hacerse pasar por entidades confiables, como bancos, empresas u organizaciones gubernamentales, y envían mensajes fraudulentos, se presentan como comunicaciones legítimas, utilizando tácticas como la suplantación de identidad, la creación de sitios web falsos que imitan a los sitios reales, o el uso de mensajes persuasivos y urgentes para generar una respuesta rápida de la víctima. Hacer clic en enlaces maliciosos o proporcionar información sensible a sitios web fraudulentos puede llevar a accesos no autorizados.
• Desconocimiento de ingeniería social: La manipulación psicológica y social de las personas aprovechando su confianza, miedo, curiosidad o falta de conciencia. Se pueden utilizar diferentes técnicas como la suplantación de identidad, la manipulación emocional y la persuasión, para lograr que las víctimas realicen acciones específicas que beneficien al atacante, por ejemplo, que revelen información sensible o realicen acciones que comprometan la seguridad.
• Uso no autorizado de dispositivos: Conectar dispositivos no autorizados a la red, como unidades USB o dispositivos personales, puede introducir programas maliciosos (malware) o proporcionar un punto de entrada para atacantes.
• Configuración incorrecta de ajustes de seguridad: Configurar ajustes de seguridad de manera incorrecta puede crear vulnerabilidades que los atacantes exploten.
• Manejo negligente de la seguridad física: Dejar portátiles desatendidos o desechar incorrectamente documentos sensibles puede llevar a accesos no autorizados.

Ciberseguridad: ¿cómo prevenir los errores del factor humano?

Estos errores humanos resaltan la importancia de la educación continua en seguridad informática para mitigar los riesgos asociados con las vulnerabilidades humanas. Las organizaciones pueden prevenir errores humanos que llevan a ataques informáticos implementando las siguientes estrategias:

• Cultura y formación de seguridad: Fomentar una cultura de conciencia de seguridad dentro de la organización, estableciendo políticas y procedimientos claros y proporcionando capacitación continua.
• Políticas de contraseñas fuertes: Implementar políticas de contraseñas sólidas y fomentar el uso de la autenticación multifactor.
• Políticas y procedimientos de seguridad claros: Desarrollar y hacer cumplir políticas claras de seguridad y procedimientos.
• Controles de acceso estrictos: Implementar controles de acceso estrictos basados en dotar de los privilegios mínimos a cada rol, y revisar periódicamente los privilegios de acceso de los usuarios.
• Actualizaciones y gestión de parches: Mantener actualizado el software para abordar vulnerabilidades conocidas.
• Seguridad de endpoint: Utilizar soluciones de seguridad para detectar y prevenir infecciones de malware.
• Abordar configuraciones incorrectas y mala higiene de seguridad: Enfocarse en prevenir configuraciones incorrectas y mantener buenas prácticas de seguridad.
• Medidas de seguridad física: Implementar medidas de seguridad física para proteger la infraestructura crítica.
• Colaboración con equipos de TI y seguridad: Fomentar la colaboración entre equipos para crear una cultura de responsabilidad compartida.
• Plan de respuesta a incidentes: Desarrollar y probar regularmente un plan de respuesta a incidentes para una acción coordinada ante posibles problemas de seguridad.

Dando prioridad a estas estrategias, las organizaciones pueden reducir significativamente el potencial de error del factor humano y mejorar su postura general en ciberseguridad.

La necesidad de tener buenos profesionales en el ámbito de la ciberseguridad es cada vez más relevante para empresas e instituciones nacionales e internacionales. Desde la UOC contribuimos a formar a estos expertos con el máster universitario de Ciberseguridad y Privacidad, dirigido a perfiles tecnológicos en el ámbito de las TIC que quieran especializarse en el ámbito de la seguridad TIC. ¿Te animas a formarte en ciberseguridad?

Este artículo es fruto de la Cátedra Internacional ARTEMISA de Ciberseguridad. Una iniciativa financiada por INCIBE a través de los fondos del Plan de Recuperación, Transformación y Resiliencia, financiados por la Unión Europea (Next Generation), el proyecto del Gobierno de España que traza la hoja de ruta para la modernización de la economía española, la recuperación del crecimiento económico y la creación de empleo, para la reconstrucción económica sólida, inclusiva y resiliente tras la crisis de la COVID-19, y para responder a los retos de la próxima década.