Mientras leemos sobre el aumento de los riesgos de seguridad cibernética, a menudo imaginamos un equipo de terribles piratas informáticos escondidos en algún sótano oscuro esperando la oportunidad perfecta para atacar a usuarios inocentes de Internet y robarles su dinero. Sin embargo, la realidad no es tan simple.
Si buscamos el eslabón más débil de la ciberseguridad, no tendríamos que buscar más allá de nosotros mismos. Ya sea un dominio privado o profesional, nuestros sistemas de seguridad tienen menos probabilidades de fallarnos que las personas.
¿Cuáles son algunos de los riesgos de ciberseguridad más comunes causados por las personas?
La tecnología existe para hacer la vida más fácil. Puede hacer que las tareas diarias sean más eficientes mientras nos ahorra tiempo, esfuerzo y energía. Ya sea que lo usemos por motivos personales o profesionales, desempeñamos el papel principal en la creación de nuevas tecnologías y en hacerlas parte de nuestra sociedad.
En su mayor parte, la tecnología es predecible, mientras que las personas son propensas al caos. No sorprende que se nos considere la mayor amenaza para cualquier sistema de ciberseguridad.
Estos son los riesgos de seguridad cibernética más comunes desencadenados por nuestra falta de conciencia sobre la seguridad y las malas prácticas: incluso podría estar cometer algunos de estos errores de seguridad en este momento...
Malas prácticas de contraseña
En lugar de crear una contraseña única para cada servicio en línea que usamos, la mayoría de las personas intentan ahorrar algo de tiempo configurando la misma contraseña en todas sus cuentas. Entonces, incluso si están usando una contraseña segura, si los ciberdelincuentes logran descifrarla, también obtendrán acceso a todas sus cuentas.
Si se piratea una cuenta profesional, todos los datos confidenciales de una empresa terminarían en manos de los ciberdelincuentes y el daño a la reputación de la empresa podría ser desastroso.
Para evitar este escenario, no utilice el mismo contraseña o una frase de contraseña para varias cuentas y asegúrese de que todas sus contraseñas sean seguras. podrías usar herramientas en línea que verifican la seguridad de su contraseña para asegurarse de que está en el lado seguro.
Evitar la autenticación
Las razones detrás de evitar la autenticación multifactor (MFA) son similares a las razones detrás de las malas prácticas de contraseñas: las personas parecen pensar que son una pérdida de tiempo y ralentizan su flujo de trabajo. Cuanto antes puedan acceder a sus recursos, antes terminarán su trabajo; MFA se siente como una barrera innecesaria.
También debemos tener en cuenta que, si bien es mucho menos probable que las personas que utilizan MFA sean pirateadas, la autenticación en sí misma no las hace inmunes a vulnerabilidades de autenticación rotas como el secuestro de sesiones, el rociado de contraseñas y los ataques de phishing.
Configuración incorrecta de seguridad
Incluso el personal de ciberseguridad y los administradores de sistemas de una empresa no están a salvo de errores humanos. Por ejemplo, no actualizar el software de seguridad u olvidarse de cambiar las contraseñas predeterminadas en los servidores de la empresa aumenta la posibilidad de que los ciberdelincuentes encuentren una forma de piratear el sistema.
Y luego está el control de acceso remoto insuficiente, la gestión de hardware inadecuada, la protección antivirus deshabilitada, los archivos desprotegidos, los errores de codificación; Y la lista continúa...
Dichos errores crean brechas de seguridad graves que hacen que todas las aplicaciones, los datos y la propia empresa sean un objetivo fácil para los ataques cibernéticos y las filtraciones de datos.
Uso de redes no seguras
El uso de redes desconocidas es una empresa arriesgada, pero si lo hace con dispositivos de la empresa, puede dejar a toda la organización expuesta a amenazas cibernéticas. Si se proporciona una red desconocida en lugares públicos, como cafeterías, estaciones de autobuses y aeropuertos, los riesgos aumentan.
Las redes públicas pueden estar infestadas de virus y malware, y estos pueden ingresar a su dispositivo cuando intenta iniciar sesión en su cuenta de correo electrónico o sitios de redes sociales. Si un hacker encuentra una manera de colocarse entre usted y el punto de conexión, es decir, un Man-in-the-Middle (MitM), obtendrán acceso a sus inicios de sesión y a toda la demás información que está enviando y recibiendo en línea. Una vez que lo hagan, podrán ingresar a sus sistemas como si fueran usted.
Errores de seguridad física
A pesar de muchas causas comunes de violaciones de datos puede atribuirse a los ataques cibernéticos, las empresas también pueden estar en riesgo de sufrir amenazas de seguridad física. Por ejemplo, si una persona no autorizada ingresa a las instalaciones de la empresa, podría robar información confidencial, credenciales de usuario u otros datos confidenciales.
Si bien estos tipos de errores de seguridad vienen en muchas formas y tamaños, los más comunes incluyen dejar documentos confidenciales desatendido, dejando las puertas abiertas y dejando entrar a extraños en locales seguros o dándoles acceso a la compañía ordenadores.
¿Cómo utilizan los ciberdelincuentes el error humano en su contra?
Dado que los ciberdelincuentes reconocen el factor humano como un blanco fácil, intentan explotarlo al máximo. En particular, esto podría ser a través del robo de identidad, en el que un ciberdelincuente roba su información personal para cometer fraude. Pueden usarlo para obtener su dinero, solicitar crédito u obtener servicios médicos. En cualquier caso, el robo de identidad puede vaciar tu cuenta bancaria y arruinar tu reputación al mismo tiempo.
Del mismo modo, los atacantes pueden aprovechar el error humano para llevar a cabo ataques de ransomware, que pueden causar daños a una persona o empresa de varias maneras. Pero siempre se reduce a bloquear su dispositivo o datos confidenciales y exigir un rescate por una clave de descifrado. Otros tipos de malware también roban sus datos, toman el control de sus dispositivos o comienzan a "minar" criptomonedas.
Eso no es todo. Hay muchas maneras en que los piratas informáticos pueden usar un simple error humano en su contra.
- Robo de Propiedad Intelectual (PI): Es tan simple como copiar la idea, el producto o el servicio de otra persona sin hacer ese trabajo usted mismo. Es popular porque es fácil y puede ser extremadamente rentable. Tanto las personas como las empresas pueden convertirse en víctimas del robo de propiedad intelectual.
- Espionaje corporativo: El llamado espionaje industrial o corporativo es lo mismo que el espionaje político, pero se realiza con fines comerciales, en lugar de la seguridad nacional. En este tipo de ciberdelincuencia, los delincuentes no se dirigen a personas a menos que formen parte de empresas competidoras. Después de todo, el objetivo principal es obtener secretos comerciales y obtener una ventaja sobre la competencia.
- Arruinando reputaciones: Ya sea una persona pública o una empresa, la principal víctima de un ciberataque exitoso suele ser la confianza. Si bien esto puede ser un daño intencional o colateral (de ganancia financiera, por ejemplo), puede dejar una marca duradera en la reputación de uno.
¿Por qué las personas son un blanco fácil para los ciberdelincuentes?
Además de la falta de concienciación sobre ciberseguridad, existen varias razones principales por las que los ciberdelincuentes consideran que las personas son un blanco fácil.
A diferencia de la tecnología, las personas confían por naturaleza. Además, a veces están bajo estrés y los ataques de ingeniería social pueden tomarlos por sorpresa y hacerlos caer en la estafa. Si además están desinformados (o incluso son irresponsables) sobre la ciberseguridad, esto los convierte en la presa perfecta.
Los humanos somos criaturas de rutina y a la mayoría de nosotros no nos importa. Desafortunadamente, esto puede convertirnos en un objetivo fácil para la piratería, como los ataques de phishing. Por ejemplo, si revisa su correo electrónico tan pronto como se levanta por la mañana, los ciberdelincuentes podrían enviar un correo electrónico de phishing en ese momento. Luego, sin pensarlo dos veces, puede abrir el mensaje, hacer clic en el enlace y que le roben su información personal.
En última instancia, podemos ser emocionales, lo que puede nublar nuestro juicio y hacer que nos afecten fácilmente los ataques de ingeniería social. Un simple paso en falso por parte nuestra o de cualquier otro empleado puede poner en riesgo a toda la empresa y a sus usuarios.
¿Podemos superar los riesgos de errores humanos?
Dado que la amenaza de seguridad cibernética más grave no es un pirateo sofisticado sino un buen factor humano a la antigua, deberíamos eliminarlo, ¿no? Es más fácil decirlo que hacerlo. Sin embargo, podemos encontrar formas de combatir el ciberdelito superando este factor sin eliminar a los humanos de la ecuación. Los errores están obligados a suceder. Pero podemos difundir la conciencia sobre ciberseguridad y asegurarnos de que nosotros, y las personas de las que dependemos, estemos informados sobre los riesgos de ciberseguridad.
También podríamos usar herramientas de seguridad sólidas, buscar ayuda de expertos en seguridad cibernética y crear una cultura en la que las personas se sientan libres de compartir cualquier problema o inquietud que tengan sobre la seguridad cibernética.