Nadie quiere verse envuelto en un ciberataque ni en el trabajo ni en su vida personal. Sin embargo, cada vez son más las personas que son víctimas de estas amenazas online. Estos ataques no solo son cada vez más frecuentes, sino también más graves, y el elemento humano suele estar involucrado en ellos de una u otra forma.
Según estimaciones de Forrester, este año 9 de cada 10 fugas de datos incluirán algún tipo de elemento humano que permita sustraer información, robar dinero o comprometer identidades. Tras analizar la magnitud del problema, en SoSafe hemos descubierto que 1 de cada 2 empresas ha sufrido un ciberataque en los últimos tres años, y el 82 % considera que la situación no va a mejorar en el próximo año. Verse involucrado en un incidente es cada vez más la norma y no la excepción.
Este aumento de las fugas de datos se produce en un momento en el que una proporción cada vez mayor de los empleados son nativos digitales, es decir, han pasado la mayor parte de su vida online. ¿Pero cómo es posible que la gente siga cayendo en estos ataques?
Los ciberdelincuentes están aprovechando la tecnología de la IA para atacar con éxito a los humanos
Buena parte de la respuesta consiste en que muchos de los ciberataques actuales no se parecen en nada a lo que eran hace cinco, dos años, o incluso el año pasado. Los ciberdelincuentes han comprendido desde hace tiempo que el factor humano es un buen punto de entrada a los sistemas de las empresas, ya que les permite eludir las defensas tecnológicas. Aprovechan el poder de las tecnologías emergentes para potenciar sus capacidades como hackers. Las herramientas basadas en la IA y los modelos LLM, que prometen revolucionar el servicio al cliente y el desarrollo de productos, se están utilizando para hacer solicitudes de información falsas que parecen más fiables que nunca. Herramientas con nombres como WormGPT y FraudGPT se están extendiendo a través de hilos de mensajes ocultos que circulan por los confines de la dark web. Este es el aspecto real que podría tener un correo electrónico generado por WormGPT:
Aprovechando la IA generativa, los correos electrónicos que intentan robar datos se pueden generar hasta un 40 % más rápido que con los métodos tradicionales, y así se consigue engañar a la gente a gran escala. En SoSafe hemos conseguido crear correos electrónicos (en campañas de phishing simulado) que abrieron el 78 % de los empleados. Además, el 65 % revelaron información personal y el 21 % hicieron clic en enlaces o archivos adjuntos maliciosos.
Ahora los estafadores son capaces de incorporar información específica del sector y de la empresa y elaborar mensajes gramaticalmente correctos y con un buen formato. Lo que los hace difícil de detectar es que, en estas nuevas formas de ataque, ya no encontramos con tanta facilidad los signos que antes delataban un posible ataque de phishing, como las fuentes extrañas, los fallos gramaticales o los tipos de archivo desconocidos. Y lo que es peor, la IA permite individualizar cada email para tratar temas y contenidos que te resulten especialmente interesantes. Ha llegado la era del spear phishing masivo personalizado.
La tecnología es un elemento importante a la hora de mantener a raya estos ataques, y de hecho resulta eficaz, pero no es suficiente. Es probable que, si se les da el tiempo suficiente, los hackers profesionales superen cualquier defensa técnica. Esto requerirá tiempo y esfuerzo, y probablemente hará falta innovación y vulnerabilidades de día cero. Es mucho más fácil atacar a un usuario autorizado que puede saltarse los controles técnicos con los privilegios de acceso que ya tiene.
Los usuarios se han convertido en nuestra «principal superficie de ataque». Esta es la forma más fácil para un atacante de acceder a nuestros sistemas, datos y recursos. Esto ocurre a menudo cuando un empleado intenta ser útil o reaccionar ante la demanda de un cliente o una crisis. Un claro ejemplo es lo que le ocurrió a la empresa de desarrollo de software Retool. Utilizando la IA, los atacantes hicieron un deepfake para recrear las voces del personal de informática y eludir la MFA después de haber obtenido las credenciales del empleado mediante un ataque de smishing. Esto les permitió acceder a las cuentas de más de 27 clientes del sector de las criptomonedas. En consecuencia, muchos clientes perdieron millones en criptomonedas, incluidos usuarios como Fortress Trust, que perdió 15 millones de dólares.
Así es el «factor humano» en la defensa cibernética. Las personas están en primera línea y deben considerarse como activos en la lucha y no como un elemento que «permite» que se produzcan intrusiones.
Tenemos que conseguir que la concienciación y la formación se traduzcan en comportamientos seguros
La formación es vital para gestionar el riesgo humano. La primera etapa consiste en concienciarse del problema. Los ciberdelincuentes tienen un claro incentivo a la hora de robar información y recursos valiosos de una empresa. Hace tiempo que las normativas han comprendido la importancia de esto y han puesto a los responsables de la seguridad una serie de requisitos para reducir el riesgo del factor humano. Sin embargo, no basta con cumplir las normativas, ya que esos marcos legales solo se centran en transmitir las mejores prácticas en general y no en cambiar realmente el comportamiento. La formación en ciberseguridad termina aquí, pero eso no es suficiente, porque de esta manera las personas rara vez adquieren herramientas y conocimientos suficientes para ser parte activa de la defensa de una empresa. ¿Qué es lo más preocupante? Un estudio reciente del NIST reveló que el 56 % de los directivos del ámbito de la seguridad siguen creyendo que el cumplimiento de las normativas es el indicador más importante del éxito de la formación y la concienciación sobre ciberseguridad. Sin embargo, aunque consideraban el cumplimiento de las normativas como un indicador importante del éxito, también reconocían claramente la posibilidad de que no reflejara la eficacia real en el cambio de comportamiento y actitud.
La formación en ciberseguridad puede ser aburrida: diapositivas interminables en las que el usuario debe hacer clic cada 20 o 30 segundos para «garantizar la participación», cuestionarios sin sentido con respuestas tremendamente obvias… Esto ya no sirve. Las empresas deben esforzarse para que sus organizaciones vayan más allá de los conceptos básicos que no sirven para nada cuando se enfrentan al panorama de amenazas actual, cada vez más preocupante.
En su lugar, los programas deben identificar y priorizar los riesgos humanos específicos de una empresa concreta y, a continuación, crear un plan de acción para corregir esos problemas. Así se crearán y se difundirán comportamientos que permitirán a las personas identificar, comprender y responder mejor a las amenazas. Estos programas deben tener en cuenta la gran variedad de riesgos relacionados con el ser humano y conseguir modificar los comportamientos para contrarrestar estas amenazas. Deben utilizar influencias culturales y factores motivacionales, así como actitudes, contexto y respuestas emocionales. Hay que centrarse en los principios que garantizan las formas seguras de interactuar con la información digital y utilizar las herramientas de comunicación, principios que seguirán siendo válidos aunque cambie el formato o la tecnología subyacente.
La formación debe ser atractiva. Es cierto que debe incluir información relevante, por supuesto, pero sobre todo tiene que garantizar que la gente aprenda a aplicar sus conocimientos, a adquirir buenos hábitos de seguridad y a entender por qué son tan importantes estos temas. La buena noticia es que podemos aprovechar enfoques psicológicos de eficacia probada desde hace mucho tiempo. En la práctica, esto supone ofrecer una experiencia multicanal y oportunidades de aprendizaje contextual dondequiera que esté la gente. Estos programas utilizan fragmentos breves en lugar de grandes bloques de texto y emplean tácticas como la gamificación, la repetición continua y espaciada, componentes interactivos, nudging contextual y storytelling, todo ello centrándose en el refuerzo positivo en vez de aprender a través del miedo.
La gestión del riesgo humano basada en el comportamiento es nuestra única oportunidad de combatir la crisis de burnout a la que se enfrentan actualmente los equipos de seguridad
Las empresas que no actúen se arriesgan a sobrecargar de trabajo a los especialistas que se ocupan de estas amenazas. El desgaste o burnout en los equipos de seguridad es cada vez mayor. El 66 % de los profesionales de la seguridad en Estados Unidos y Europa sufren un estrés laboral significativo y 3,5 millones de puestos de ciberseguridad están actualmente vacantes en todo el mundo. Para cumplir su misión, los profesionales necesitan la ayuda de todos los demás. La ciberseguridad se debe convertir en una responsabilidad conjunta, y la lucha contra la ciberdelincuencia está en nuestras manos. Cuando adquieren instintos de seguridad, se convierten en el mayor aliado y en el elemento más versátil en las estrategias de defensa de las empresas para la reducción sostenible del riesgo.
La mejor forma de comprender la transformación que se debe producir es a través de una de las analogías más conocidas: dale un pez a un hombre y comerá un día; enséñale a pescar y nunca pasará hambre. En nuestro caso, el pez es el enfoque estrictamente tecnológico, que es capaz de detener una amenaza, pero no resuelve el problema más importante. Las empresas solo podrán aumentar su resistencia y mitigar de forma sostenible el riesgo cibernético si capacitan al personal de primera línea mediante un programa integral de gestión del riesgo humano, lo que les permitirá estar preparados a largo plazo.
¿Cómo puede ayudarte SoSafe a gestionar y reducir tu riesgo humano?
Basada en la psicología y la ciencia del comportamiento, SoSafe es una plataforma líder de gestión del riesgo humano cuyo objetivo principal es que los empleados interioricen los comportamientos seguros. Estamos convencidos de que la gente quiere hacer lo correcto, pero muchas veces necesitan ayuda para conseguirlo, especialmente con el avance actual de las amenazas impulsadas por la IA. Por eso, nos centramos en crear culturas de seguridad que no solo sirvan de protección contra las amenazas digitales, sino que también impliquen a las personas en la reducción del riesgo humano.
SoSafe ayuda a las organizaciones a conseguirlo centrándose en diferentes áreas clave: formación gamificada con storytelling, experiencias de aprendizaje personalizadas, incluidas las simulaciones de phishing con guías detalladas, y apoyo permanente para garantizar que la formación sea eficaz y continua. Nuestro botón de aviso de phishing forma a los empleados para que actúen contra las amenazas y protejan así a toda la organización. Pero hay más: nuestro robot conversacional, Sofie, te permite conectar rápidamente con tus empleados a través en herramientas de colaboración. Implementa el microaprendizaje rápido para hacer frente a las amenazas emergentes, refuerza la cultura de seguridad de tu empresa actuando como tu copiloto de seguridad siempre disponible y transforma a los usuarios en tu defensa más fuerte.
Por si fuera poco, nuestra puntuación del riesgo y automatización de la cultura de seguridad te ayuda a integrar datos de origen y de terceros, realizar un seguimiento de las métricas de actividad y riesgo, evaluar el riesgo humano, identificar vulnerabilidades y tomar decisiones basadas en datos, todo ello en un único lugar.