No es una novedad para el mundo de la informática que el ser humano o el usuario, por naturaleza es el componente más débil de la seguridad informática, así lo comprueban cientos de estudios, hechos de robo de información a empresas que se dan a conocer en diferentes blogs, pero además podemos citar los estudios realizados por los investigadores de la Universidad de Tecnología de Copenhague (Dinamarca) y la de Wisconsin-Madison (EEUU), en el cual se ha analizado el comportamiento de más de 800 empleados de una compañía, agrupando novatos y expertos en informática. Las conclusiones son: casi el 95% de los usuarios no cumple las recomendaciones en su totalidad.
Según el estudio, los usuarios han desarrollado diferentes estrategias para hacer frente a sus limitaciones, por ejemplo utilizando la misma contraseña para varias aplicaciones o sitios web, almacenándolas en ficheros electrónicos, etc.
También se leen casos como el robo de código fuente de la plataforma Reddit como consecuencia de un ataque de phishing a uno de sus empleados. Afortunadamente la información de los usuarios no se vio afectada.
La plataforma Reddit confirmó a través de un comunicado que atacantes accedieron a sus sistemas y lograron robar documentación y código fuente de su propiedad. Los atacantes en este caso lanzaron una sofisticada campaña de phishing apuntando a sus empleados en los que se incluía un enlace a un sitio que simulaba ser la página de inicio de la intranet para robar las credenciales de acceso y el código del segundo factor de autenticación.
Parece ser que un empleado cayó en la trampa y entonces esto permitió el acceso a sus sistemas internos. Luego de caer en el phishing, el empleado reportó el incidente rápidamente, lo que permitió a la compañía actuar rápido y revocar el acceso al atacante.
Plan de Acción
Siempre buscando la proactividad, recomendamos desde EVIGUIF IT Security no hacer lo que suele pasar muchas veces: Capacitar en seguridad informática de forma aislada a los usuarios sobre cómo protegerse, que luego con el pasar del tiempo, la rotación del personal, y el día a día, los usuarios olvidan lo que han aprendido y pueden caer en este tipo de trampas. Lo que recomendamos es realizar un Plan de Acción.
Lo primero de todo es conocer el nivel de conocimiento de los usuarios, de esta forma se puede saber desde donde se comienza o nivelar de forma diferente.
Para esto se pueden desempeñar campañas internas de Phishing o Ransomware, obviamente sin un fin malicioso, de esta manera podemos determinar quiénes caen en la trampa, quienes denuncian los casos, etc.
Acto seguido implantar capacitaciones en seguridad informática, mejores prácticas, revisión de casos reales, tanto en vivo como grabadas de manera que queden a disposición de los próximos empleados que se vayan sumando en el futuro y que sea parte de su proceso de inducción o ingreso en la empresa.
Enseñar a los usuarios a desconfiar de algunos correos electrónicos, o de aquellos emails que vengan de remitentes extraños o mal redactados. Que conozcan el procedimiento para reenviar los correos sospechosos al departamento de TI para verificar el contenido. Que no hagan clic en enlaces sospechosos que puedan llegarles por email, redes sociales o Whatsapp.
Por supuesto, implantar una política de contraseñas seguras y doble factor de autenticación son algunas de las acciones más comunes que se pueden encontrar en el plan.