Las personas se están convirtiendo en uno de los blancos predilectos de los ciberdelincuentes, debido a que podrían ser el eslabón más débil de la cadena relacionada con el resguardo de la información, no sólo de los datos propios sino también los de las empresas en donde trabajan.
El cibercrimen dejó de ser una cuestión de aficionados. Hoy estamos frente a verdaderas organizaciones, muchas de ellas internacionales, dedicadas con tiempo y recursos exclusivos a explotar las vulnerabilidades de seguridad de la información en todos sus niveles, para realizar fraudes online, estafas electrónicas, robos y captura de datos así como suplantaciones de identidad, muchas de las cuales afectan a empresas. Muchos gerentes creen que sus organizaciones están protegidas por tener los sistemas tradicionales de resguardo, olvidándose de considerar de manera más directa a los usuarios.
Los usuarios sin una conciencia sobre la seguridad de la información, sin capacitación, constituyen un alto riesgo para las organizaciones, pues, además del riesgo que conlleva la clásica ‘ingeniería social’, hoy las personas acceden a un mayor número de dispositivos conectados a Internet, donde muchas veces portan o manejan también información de su empresa.
En ese contexto, es cada vez más frecuente que usen dispositivos móviles de su propiedad, los cuales suelen no ser tema de injerencia o preocupación por parte la empresa en la que trabajan. La tendencia a usar smartphones, notebooks y tablets en donde se accede a datos de la empresa es universal; por lo tanto, las empresas deben adaptar y/o ampliar sus políticas de seguridad a dichos dispositivos, los cuales pueden controlarse de manera transparente para los usuarios y sin afectar su privacidad.
Las personas suelen aplicar contraseñas de fácil adivinación por parte de los ciberdelincuentes, quienes cuentan además con muchas herramientas que utilizan desde diccionarios hasta llegar al uso de ‘fuerza bruta’, que les facilitan la tarea de encontrar las claves. Los usuarios suelen poner fechas de nacimiento, números relacionados con su vida, como el domicilio u otros, que son sencillos de deducir. Sin embargo, en otros casos, suelen usar passswords demasiados simples, tanto, que el uno por ciento de ellos se puede deducir en menos de diez intentos, según demostró un reciente estudio de la Universidad de Cambdridge.
Pokémon y Juegos Olímpicos
A lo anterior hay que sumar que las personas suelen tener incluso barreras de seguridad más bajas en los dispositivos propios o de uso personal que en los relacionados directamente con su trabajo, lo que se refleja en la descarga indiscriminada de juegos y aplicaciones potencialmente nocivas, y sin mayores restricciones.
Los ciberdelincuentes suelen aprovechar ciertas modas de juegos o eventos nacionales o mundiales para cometer sus fechorías, aprovechándose de las escasas medidas de resguardo que adoptan los usuarios. En eventos masivos, como los Mundiales de Fútbol o los Juegos Olímpicos, existe el riesgo de que surjan nuevas aplicaciones móviles maliciosas o sitios web que, aparentando informar, se convierten en fuentes de malware, aprovechándose del auge mediático del evento.
Algo similar ocurre con los juegos de moda, como hoy sucede con Pokémon Go, que parece tan inocente y que ya ha desatado diversas críticas por sus riesgos reales y también virtuales.
Aprovechando la ansiedad de algunos por tener el juego antes de que esté disponible en su país, se ha detectado versiones no oficiales descargadas desde sitios desconocidos que roban información personal desde el smartphone sin que el usuario se percate.
Más Riesgos
No sólo por la tendencia BYOD (Bring Your Own Device) los usuarios internos deben ser hoy uno de los focos de preocupación más importantes de las empresas, sino porque muchas veces la propia organización comete descuidos sencillos y que abren importantes brechas en materia de seguridad de la información. Los usuarios internos son hoy estadísticamente uno de los focos de riesgo más importantes, no sólo por lo que puedan hacer ellos mismos deliberadamente, sino porque pueden ser blanco, sin saberlo, del robo de sus credenciales legítimas por diversas vías y ser suplantados por cibercriminales que se apoderan posteriormente de la información crítica de la empresa.
Este riesgo puede darse incluso cuando una persona ya no se encuentra trabajando en la empresa y no se aplican en forma inmediata protocolos de seguridad para dar de baja su perfil de usuario, por ejemplo, continuando activa la o las cuentas que le permitían acceder a los sistemas en forma remota.
Un ex empleado descontento puede usar su clave de acceso a correo electrónico u otro sistema de información para robar, borrar o dañar datos sensibles como una represalia contra la organización. Por ello, cada perfil de usuario debe tener muy bien definido roles y vigencia de las credenciales de acceso, debiendo aplicarse políticas de seguridad sobre los teléfonos inteligentes o los computadores portátiles de propiedad del trabajador pero que usa en su trabajo, ya que además pueden ser extraviados o robados, exponiendo datos confidenciales.
Por Pablo Dubois, Gerente Regional de Productos Data Center y Seguridad de Level 3