En julio de 2020, saltó a la prensa la noticia de que un ciberataque coordinado de ingeniería social contra Twitter había logrado estafar 100.000€ en bitcoins, en menos de cuatro horas. Es posible que algunos de los que entonces leyeron la noticia y pensaron que no les afectaba, porque ni disponían de cuenta en Twitter ni tenían bitcoins, hoy hayan sufrido algún ataque a su cuenta de Facebook, la de correo, el teléfono o a los datos personales que almacenaba una de sus tiendas favoritas. Recientemente se dio a conocer que, a lo largo de la pandemia, España ha sufrido 45 ciberataques de robo de datos sanitarios, especialmente enfocados a la búsqueda de patentes de vacunas, datos de investigaciones científicas e historiales médicos. Los hackeos hace mucho tiempo que dejaron de ser sólo problema de grandes empresas que poco o nada tienen que ver con la gente de a pie. El robo de datos, una de las actividades favoritas de los hackers, puede afectar directa o indirectamente a millones de personas.
Conforme las empresas, instituciones y personas avancen por los procesos de transformación digital, más expuestas estarán a sufrir ataques, estafas, robo de datos o suplantación de identidad. Esta es una de las razones por las que es necesario colocar la ciberseguridad en el centro del desarrollo y la implantación tecnológica. Un reciente estudio publicado por la compañía de ciberseguridad Proofpoint, el 66% de las empresas españolas sufrió ataques de ransomware, aunque curiosamente el informe revela que el 41% de esas compañías se negaron a pagar el rescate, lo que las convierte en las menos proclives a negociar con los atacantes.
Las técnicas de defensa se han ido adaptando a los nuevos ataques, pero hay un eslabón que puede ser tanto fuerte como débil en la cadena de la seguridad: factor humano. Esa es, quizá, la razón fundamental por la que los ataques de phishing reportados por los clientes de Proofpoint durante 2020 fueron más de 60 millones, lo que supone 15 millones más que en 2019. En el ataque sufrido por Twitter, el fallo estuvo precisamente en un empleado de la compañía, que colaboró en el engaño a los usuarios. Así que ya sea intencionadamente o por exceso de confianza, el mejor refuerzo para la ciberseguridad pasa por intervenir en el factor humano.
En el caso de las colaboraciones intencionales con los atacantes, una de las medidas de protección en las que trabajan las compañías de seguridad informática es el control y la segmentación de las operaciones, frente a la frecuente situación actual, en la que los empleados suelen tener acceso a gran cantidad de funcionalidades e información dentro de las empresas, lo que supone un riego frente a las personas sin ética.
En cuanto a los casos de “exceso de confianza”, la solución para dar formación a los empleados para detectar ataques de phising. Una de las características de estos ataques es que emplean señuelos de muy diversas naturalezas de manera continua, de esa manera la posibilidad de “pescar” a alguien en algún momento es mucho más elevada. Ante esto, las compañías de ciberseguridad utilizan plantillas de simulación de phishing con los que lanzan periódicamente ataques a los empleados, de manera que poco a poco les van entrenando en la detección de este tipo de amenazas en entornos controlados.