Connect with us

A Fondo

Cómo controlar los errores de tus empleados que pueden exponerte a un ciberataque

Publicado el

shutterstock_245524006

Para las empresas es vital protegerse de posibles ataques, pero las empresas tienen claro que esta protección debe realizarse desde dentro a fuera. El último informe de Intel Security ponía de relieve que las organizaciones siguen subestimando el riesgo que implica la falta de formación de los empleados no técnicos.

Hasta el Pentágono ha visto en peligro su integridad debido a un desliz de uno de sus empleados. Debido a a un ciberataque de origen ruso, la organización se vio obligada a suspender el servicio de correo durante 11 días.

Al parecer dicho ataque fue posible gracias al envío por parte de los cibercriminales de correos que parecían legítimos pero en realidad no eran nada más que phishing puro y duro, acompañados de código malicioso.

Desde el Pentágono aseguran que todo el ataque fue muy sofisticado y estuvo perfectamente coordinado, lo que en su opinión deja claro que tiene que estar profundamente vinculado con el gobierno ruso, ya que sería el único capaz de disponer de los recursos necesarios para llevar a cabo este tipo de acciones.

Con todo parece que han conseguido salir bastante bien parados del ataque, ya que según fuentes oficiales sólo se vieron comprometidas unas 4.000 cuentas de militares y civiles categorizadas como no clasificadas.

Esto quiere decir que la información que contenían dichas cuentas de correo no es realmente importante, y que por lo tanto no supone un riesgo para la seguridad de Estados Unidos.

shutterstock_217174597

Entrena y prueba a tus empleados

Situaciones como esta hace que para las empresas suponga un gran quebradero de cabeza gestionar su seguridad con total control.

Según el estudio antes mencionado, el 64% de las empresas consultadas reconocieron que carecen de formación de TI al equipo de ventas. Y es que además, entre los años 2013 y 2014, aumentó en un 87% el número de URLs sospechosas a las que personal sin formación en ciberseguridad puede acceder y, sin saberlo, provocar un ataque a su organización.

Además, hay que destacar que otro tipo de empleados como recepcionistas y personal de atención al cliente también están expuestos al contacto online con el público en general, y de nuevo no están recibiendo formación esencial en seguridad, por lo que también están en el punto de mira de los ciberdelincuentes.

En MIT Technology Review hablan con Laura Bell, CEO de SafeStack, una empresa que cree tener la clave para hacer frente a estos ataques dirigidos ante los empleados más «vulnerables».  Está desarrollando un tipo de escáner de seguridad para las personas, en forma de un software llamado Ava. Este software envía correos electrónicos dirigidos o mensajes de redes sociales para poner a prueba a los receptores y determinar lo bien que se les da resistirse a las trampas que dan paso a ataques peligrosos.

«Si yo fuese el hacker, me dirigiría a las personas«, dice Bell, que presentó Ava en la conferencia de seguridad informática Black Hat en agosto. «Las personas representan la menor resistencia, y tenemos que hacer algo al respecto».

Ava no solo prueba a los empleados, también recoge datos de los sistemas informáticos de la empresa y forma un esquema que le permite conocer los permisos de los que dispone cada empleado. También evalúa la frecuencia en la que estos se comunican entre si. Además, busca los perfiles de redes sociales de los empleados y las conexiones entre ellos, que pueden hacer resaltar relaciones claves que podrían resultar valiosas para un atacante.

La finalidad de Ava es engañar a los empleados y hacerlo de la mejor forma posible, por eso recoge toda la información personal disponible del empleado y le tienta. Ava puede enviar mensajes de estilo phishing a los empleados para poner a prueba sus reacciones. Podría haber un mensaje de un alto mando pidiendo una contraseña a un empleado de menor rango, por ejemplo, o uno de un compañero desconocido que utilice el nombre de un amigo en común y que pida que se comparta un documento con él por Facebook.

Pero Bell dice que el flujo constante de los ataques causados por error humano demuestra que la educación no funciona. Mientras tanto, las empresas que realizan pruebas de phishing son pocas, y generalmente son pruebas únicas realizadas de forma manual, afirma.

Ava pretende permitir a las organizaciones sondear patrones de comunicación y relaciones claves de forma periódica, explica Bell. Esto podría posibilitar que se rastreen cambios en el nivel de vulnerabilidad humana de una empresa con el paso del tiempo, quizás descubriendo relaciones con los plazos de entrega de los proyectos o eventos de formación, dice.

No obstante, Ava sigue siendo un trabajo en curso. Bell ha probado el software con varias pequeñas organizaciones del sector público y privado en Nueva Zelanda, y el equipo que trabaja en el software ha aumentado. Ahora, un comité de ética y privacidad recién formado está considerando los retos legales y de privacidad que rodean el engaño intencionado de la gente.

En el mundo de la tecnología por casualidad pero enormemente agradecida. Social Media Manager, Redacción, Organización y cualquier reto que se me proponga.

Advertisement
Advertisement

Lo más leído