Verano del 2023, llegaba la última semana del mes de julio y con ello el pago a proveedores. Lucía estaba apresurada, tenía muchos pagos que sacar y su compañera ya estaba de vacaciones. Los correos con las facturas comenzaban a acumularse, y siendo verano, el horario era reducido.
Así fue como recibió un correo de uno de sus proveedores habituales indicando que por favor el abono lo hiciesen a una nueva cuenta bancaria, ya que habían cambiado de entidad. Con las prisas, revisando lo inmediato y lo básico, realizó el cambio de cuenta y confirmó el pago de los 50.000 euros pendientes. Días después el proveedor real reclamaba el pago de la cuantiosa factura, amenazando con cancelar los servicios y consecuentemente afectando al trabajo con los clientes.
Habían sufrido un ataque de phishing.
Lucía es un nombre ficticio y esta historia sería muy bonita si no fuese real, tan real como lo que piensan la mayoría de las personas, “yo no soy objetivo, a mí no me va a pasar”.
Las estadísticas son alarmantes, entre le 88% y 95% de los incidentes de ciberseguridad tienen su origen en un error humano. Según Verizon, en el año 2024 un 68% de las brechas a nivel mundial comenzaron por errores humanos, a través de no reconocer emails de phishing, revelar datos mediante ingeniería social o enviar información a la persona equivocada.
Esta claro que se no se puede dejar todo a la tecnología. Si bien cada vez más se utiliza la inteligencia artificial en los procesos, hay que tener en cuenta que los ciberdelincuentes también la usan, y generalmente tienen más recursos que los que tiene gran parte de las empresas.
Pero no todo está perdido, aun podemos actuar, aplicando pensamiento critico y actuando razonadamente. Y ante la duda, notificar, porque «más vale prevenir que curar».
¿Qué podemos hacer desde la parte humana? Formarnos y concienciarnos en ciberseguridad es clave para evitar el riesgo. Os comparto algunos tips que aplicamos con nuestro equipo en ASAC y que considero básicos para todas las organizaciones:
- Formación continua: aplicar un plan de formación a todo el personal, focalizado en el reconocimiento de phishing y correos fraudulentos, para poder identificar las señales típicas de esta tipología: enlaces, cabeceras, urgencias, etc.
- Contraseñas: formar al personal en la utilización de contraseñas robustas, no correlativas, que roten periódicamente y no se repitan entre cuentas profesionales y personales.
- Correcto uso del correo: instruir y concientizar al personal sobre el correcto uso del correo, evitando así la exfiltración de datos.
- Protección de información confidencial: formar al personal para que pueda comprender y clasificar el tipo de información, y seleccionar el mejor modo de transmitirla. Cualquier dato es importante para un ciberdelincuente, y sirve para armar una estrategia que utilizara a futuro.
- Dispositivos móviles: concienciar sobre la importancia de separar los dispositivos personales de los profesionales. Por lo general somos menos restrictivos en nuestros dispositivos y tendemos a unificarlos, dejando expuesta información relevante de compañía en nuestros activos personales.
- Equipos personales: Si trabajamos en modo BYOD, sensibilizar sobre lo importancia de mantener actualizados y con sistemas de protección nuestros activos personales. Este es otro foco de entrada importante ya que muchas veces nos conectamos a redes de empresa y no contamos con soluciones EDR o de protección. Evitar esta práctica también evita muchos riesgos.
- Software legal: lo barato sale caro, nadie regala nada. Evitar el uso de software de pago con descargas “gratuitas”, ya que por lo general tienen infecciones de tipo infostealer, que pasan totalmente desapercibidas en nuestro entorno.
- Dispositivos externos: fomentar que se evite el uso de dispositivos externos, sobre todo desconocidos, ya que sin control son un foco importante de infección.
- MFA: aplicar en todo lo que está disponible la autenticación de multi factor. Esta solución pondrá una barrera a los ciberdelincuentes y nos alertará de antemano.
- Reportar: instruir al personal a notificar a los equipos de IT sobre actividades sospechosas. Por vergüenza o desconocimiento, según PWC, el 22% de las empresas españolas han sufrido esta casuística, lo que ha derivado en incidentes mayores.
- Simulacros y ejercicios: Todas las empresas deberían realizar de forma anual y continuada ejercicios de phishing para evaluar el nivel de concientización y actuar en consecuencia.
La ciberseguridad no es solo una cuestión técnica, es una responsabilidad compartida que empieza por las personas. Lamentablemente están los que han sido atacados, los que serán atacados y los que volverán a ser atacados. Conciencia y formación son dos armas muy importantes en la lucha contra la ciberdelincuencia. ¿Cómo estáis de concienciados en vuestra empresa?
Juan Manuel Rodríguez
Responsable de Ciberseguridad en ASAC
