Que el mundo está lleno de “espabilados” y «buscavidas» es una realidad que aprendemos
muy pronto, casi desde niños, y con la que nuestros padres nos enseñan a vivir. Incluso en
la literatura clásica reconocemos estas figuras con facilidad. Basta con leer «Los Miserables»
de Víctor Hugo o el “Lazarillo de Tormes” para darnos cuenta que el timador o el pícaro,
como se conocía antiguamente, son personajes que históricamente han estado presentes
en la sociedad.
Y es que, desde siempre, han existido personas que han hecho del engaño su manera de
ganarse la vida. Pensemos, por ejemplo, en el famoso timo de la estampita. ¿Cuántas
víctimas no habrán caído en la trampa pensando que estaban haciendo el negocio de su
vida? Y aunque nos parezca mentira, a día de hoy, inexplicablemente muchas personas
siguen cayendo en la misma treta.
En el siglo XXI, donde estamos rodeados de tecnología las 24 horas al día, este rol y sus
artimañas han evolucionado para adaptarse al nuevo escenario digital. A los ciberataques
que persiguen engañar a los internautas con fines fraudulentos se les conoce como ataques
de ingeniería social.
Seguro que todos conocemos a alguien que se ha llevado un buen disgusto después de
abrir un correo electrónico malintencionado o a alguna empresa que ha terminado pagando
una buena suma de dinero para recuperar los datos que los hackers hábilmente le habían
secuestrado.
Poco a poco, las empresas van tomando medidas para protegerse de los ciberdelincuentes
y hoy en día, cualquier plan de ciberseguridad que se precie contempla la protección de los
tres elementos críticos presentes en cualquier compañía: la información, la infraestructura y
los usuarios. De estos tres factores el más débil, sin lugar a dudas, es el tercero: las personas.
Existen multitud de soluciones en el mercado para securizar nuestra información e impedir,
en la medida de lo posible, que si llega a caer en manos no deseadas el daño sea mínimo.
Lo mismo ocurre con la infraestructura de la empresa. Un buen plan de contingencia, por
ejemplo, puede reducir en horas, o incluso en minutos, un ataque de denegación de servicio
(DDoS) que comprometa nuestro negocio.
1
Las empresas, a fuerza de sufrir incidentes de seguridad en primera persona, han ido
aprendiendo a proteger su información y sus infraestructuras y cada vez son más los
ataques que se detienen gracias a una buena seguridad perimetral o al uso adecuado de un
endpoint, entre algunas de las medidas que normalmente se suelen implementar.
Pero, ¿qué podemos hacer para proteger a nuestros usuarios y evitar que sigan siendo el
eslabón más débil de la seguridad de la empresa? Desde luego, el reto no es sencillo.
Sabemos que existe una fórmula que funciona en la mayoría de los casos. Consiste en
informar, formar y concienciar a los usuarios para conseguir que sean nuestra primera línea
de defensa. Ese sería el objetivo ideal aunque no es sencillo de conseguir.
Saber moverse en el mundo digital no es fácil. Nos han soltado en esta selva de 1 y 0 sin
manual de instrucciones y expuestos a multitud de amenazas que ni tan siquiera
conocemos.
Pongamos un símil que nos ayude a entender lo complicado del asunto. A los niños les
«informamos», desde muy pequeños, que pueden cruzar la calle cuando el muñequito está
en verde. Poco a poco, los vamos «formando» y, con el tiempo como parte de su
entrenamiento, hasta les llegamos a soltar la mano. Confíamos que este aprendizaje derive
en una «concienciación» que haga que cuando, más adelante, salgan solos a la calle sigan
respetando el semáforo y no cometan imprudencias.
Información, formación y concienciación. Está más que demostrado que esta mecánica
siempre da buenos resultados.
Y entonces, ¿por qué no hacemos lo mismo en el mundo
digital? En la práctica nadie nos ha enseñado las normas que se manejan en internet y lo
único cierto es que las aprendemos a base de equivocarnos una y otra vez en una espiral
de ensayo y error que les cuesta mucho dinero y muchos disgustos a las empresas.
Los ciberdelincuentes saben del grado de vulnerabilidad de nuestros usuarios y no dudan
en aprovecharse de ello para conseguir sus objetivos.
En estos últimos meses hemos visto cómo ha aumentado de manera alarmante el número
de ciberataques de ingeniería social.
A veces no alcanzamos a comprender por qué los
usuarios siguen cayendo en los mismos engaños que se repiten cada cierto tiempo una y otra vez: el ataque del CEO, el fraude de las facturas… Casi siempre todo comienza con un
robo de credenciales y termina con un agujero en la cuenta corriente de la empresa.
Ha llegado el momento de tomarse este tema bien en serio si queremos doblegar la curva
de los ciberataques. Para ello es preciso que pongamos en marcha actuaciones enfocadas
a trabajar la ingeniería social para que mantengamos a nuestros usuarios informados de las
amenazas que van surgiendo en la red, formados para saber cómo actuar en cada
momento y concienciados para que estén vigilantes en un entorno que, de por sí, es cada
vez más hostil.
Las empresas que han implementado este tipo de programas de concienciación se suelen
sorprender de lo rápido que aprenden los usuarios y de lo pronto que se visibilizan los
resultados. Acciones preventivas de este tipo hacen que un incidente de seguridad tenga
consecuencias mucho menores que las que cabría esperar de no haberse realizado
En todo este proceso de transformación digital que estamos viviendo de manera acelerada,
las personas siempre deben estar en el centro, y cuando hablemos de ciberseguridad nunca
olvidemos que nuestros usuarios son el objetivo prioritario de los ciberdelincuentes, por eso
debemos prestar la máxima atención y mantenerlos informados, formados y concienciados.
Si no has empezado todavía, quizás hoy puede ser un buen momento para ponerte en marcha
