Los ciberataques y las violaciones de datos son fenómenos crecientes, según el Informe Anual de Investigaciones de Violaciones de Datos (DBIR) 2023 de Verizon Business; ninguna sorpresa en ese sentido.
Lo inesperado es que los ataques de ransomware (uno de cada cuatro ciberataques entra en esta categoría), se han mantenido estables con respecto al año pasado, pese a que cada vez tienen un mayor protagonismo en los medios. Sin embargo, no hay que lanzar las campanas al vuelo…
…el año anterior presenció tantos ataques de malware como los cinco años previos juntos y, si bien el número de ataques de esta clase se ha estancado, el coste de los mismos sí ha aumentado (se ha doblado, de hecho) gracias a su eficacia y a la importancia de los objetivos elegidos por los 'piratas'.
De hecho, según los datos del informe, un 95% de los incidentes de ransomware se tradujeron en pérdidas de entre 1 millón y 2,25 millones de dólares.
Somos el eslabón débil
Pero el informe de Verizon arroja también otro dato muy relevante: la causa mayoritaria de todos los ciberataques (el 74%, casi tres cuartas partes) es el factor humano. Se ha avanzado mucho en protección de infraestructuras críticas y en la elaboración de protocolos de ciberseguridad… pero la naturaleza humana sigue siendo igual de vulnerable que siempre.
Así, el robo o pérdida de credenciales y el espionaje están entre las principales vías de acceso de los cibercriminales a los sistemas atacados… pero hay una técnica que destaca por encima del resto: la ingeniería social.
Esto incluye, por ejemplo, que los miembros de las organizaciones atacadas cedan inadvertidamente sus datos tras verse expuestos a timos de phishing o vishing, o que 'cuelen' involuntariamente malware en sus equipos tras ser convencidos de la legitimidad de cientos enlaces de descarga.
Según el informe, junto al 'phishing' se destacan también aquellas estafas englobadas bajo la etiqueta de "pretexting" —es decir, la suplantación de identidad del tipo utilizado habitualmente en los ataques 'Business Email Compromise'—.
De hecho, las tácticas de "pretexting" casi se han duplicado desde el año pasado y ahora representan el 50% de todos los ataques de ingeniería social.
Señalando al 'liderazgo sénior'
Chris Novak, director gerente de consultoría de seguridad cibernética de Verizon Business, señala con el dedo, entre otros, al papel de 'liderazgo sénior' en las organizaciones, que define como "una creciente amenaza de seguridad cibernética para muchas organizaciones".
"No solo poseen la información más confidencial de una organización, sino que a menudo se encuentran entre los menos protegidos, ya que muchas organizaciones hacen excepciones en los protocolos de seguridad para ellos.
Con el crecimiento y la sofisticación cada vez mayor de la ingeniería social, las organizaciones deben mejorar la protección de sus líderes sénior para evitar costosas intrusiones en el sistema".
Denominamos 'líderes sénior' a los principales directivos de una empresa cuando éstos tienen una edad media mayor que la del conjunto de la plantilla. Así, el problema señalado por Novak es en parte generacional (las personas 'mayores' suelen ser objetivo prioritario de los ciberestafadores)… pero también es jerárquico, pues debido a la naturaleza de sus roles y la necesidad de agilidad en la toma de decisiones, a menudo pueden ser menos rigurosos en el cumplimiento de los protocolos de seguridad.
Comments