Una de las principales preocupaciones de las empresas ha sido la protección contra las amenazas digitales. Incluso adoptando una serie de medidas, aplicaciones y soluciones innovadoras para prevenir intrusiones y robo de datos, el problema depende no solo de tecnologías avanzadas, sino también del comportamiento humano. Así lo afirma el experto en ciberseguridad Leonardo Baiardi, de dataRain, quien señala que el 74 % de los ciberataques son causados por factores humanos. El ejecutivo destaca cómo la capacitación adecuada de los empleados puede ser esencial para una estrategia de seguridad eficaz.
Baiardi considera que el ser humano es el punto más débil a la hora de gestionar los ciberriesgos en un entorno corporativo. «Todos en la empresa deben comprender que son responsables de la seguridad de los datos, y esto solo se logra mediante la formación, la rendición de cuentas y la comunicación entre departamentos. Todos deben ser conscientes de los riesgos a los que están expuestos».
La opinión del experto complementa lo encontrado en el Informe de Factores Humanos 2023 de Proofpoint, que destaca el importante papel de los factores humanos en las vulnerabilidades de seguridad. El estudio revela un aumento de doce veces en el volumen de ataques de ingeniería social a través de dispositivos móviles, un tipo de ataque que comienza con mensajes aparentemente inofensivos y genera relaciones. Esto ocurre, según Baiardi, porque el comportamiento humano puede ser manipulado. "Como dijo el legendario hacker Kevin Mitnick, la mente humana es el activo más fácil de hackear. Después de todo, los seres humanos poseen un nivel emocional altamente susceptible a la influencia externa, lo que puede llevar a acciones precipitadas como hacer clic en enlaces maliciosos o compartir información confidencial", afirma.
Los kits de phishing diseñados para eludir la autenticación multifactor (MFA) y los ataques basados en la nube, de los que son blanco aproximadamente el 94% de los usuarios cada mes, también se encuentran entre las amenazas registradas con mayor frecuencia en el informe.
Errores más comunes
Entre los errores más comunes que conducen a brechas de seguridad, Baiardi enumera: no verificar la autenticidad de los correos electrónicos; dejar las computadoras desbloqueadas; usar redes Wi-Fi públicas para acceder a información corporativa y retrasar las actualizaciones de software.
“Estos comportamientos pueden dar lugar a intrusiones y comprometer la seguridad de los datos”, explica. Para evitar ser víctima de estafas, el experto recomienda evitar hacer clic en enlaces sospechosos. Por lo tanto, sugiere verificar el remitente, el dominio del correo electrónico y la urgencia del mensaje. “Si aún tiene dudas, un consejo es dejar el cursor sobre el enlace sin hacer clic, lo que permite ver la URL completa. Si parece sospechoso, probablemente sea malicioso”, aconseja.
Suplantación de identidad (phishing)
El phishing es una de las mayores ciberamenazas, que utiliza el correo electrónico corporativo como vector de ataque. Para protegerse, Baiardi sugiere un enfoque multinivel: concienciación y formación para los empleados, además de medidas técnicas robustas.
Mantener el software y los sistemas operativos actualizados es vital para reducir las vulnerabilidades. «A diario surgen nuevas vulnerabilidades. La forma más sencilla de reducir los riesgos es mantener los sistemas actualizados. En entornos críticos, donde no es posible realizar actualizaciones constantes, se necesita una estrategia más robusta».
Proporciona un ejemplo real de cómo una capacitación eficaz ayuda a prevenir ataques. «Tras implementar simulaciones y capacitación sobre phishing, observamos un aumento significativo en las denuncias de intentos de phishing por parte de los empleados, lo que demuestra un sentido crítico más afinado ante las amenazas».
Para medir la eficacia de la capacitación, Baiardi sugiere definir un alcance claro y realizar simulaciones periódicas con métricas predefinidas. «Es necesario medir la cantidad y la calidad de las respuestas de los empleados ante posibles amenazas».
El ejecutivo cita un informe de la empresa de educación en ciberseguridad Knowbe4, que muestra que Brasil se quedó atrás de países como Colombia, Chile, Ecuador y Perú. La encuesta de 2024 destaca el problema de que los empleados comprenden la importancia de la ciberseguridad, pero no comprenden realmente cómo operan y funcionan las amenazas. Por lo tanto, enfatiza la importancia de la cultura organizacional para promover prácticas seguras: «Sin un programa de cultura de ciberseguridad bien implementado, es imposible medir el nivel de madurez de una empresa en este aspecto».
El especialista también es responsable de liderar la entrega de las ofertas de ciberseguridad promovidas por dataRain, que proporciona soluciones robustas y de rápida implementación, como seguridad del correo electrónico, evaluaciones de cumplimiento y vulnerabilidad, seguridad de endpoints y gobernanza de la nube. «La ciberseguridad es un desafío constante, y las personas son fundamentales para garantizar la protección de la información y la integridad de los sistemas. Invertir en formación y concienciación es invertir en la seguridad de toda la organización. Y todas nuestras entregas van acompañadas de la transferencia de conocimiento, lo que nos permite aumentar la concienciación del cliente sobre las amenazas», concluye.
