fbpx
MartinWin CC BY-SA

El humano, el eslabón más débil en la ciberseguridad

Últimamente hemos visto ciberataques más amplios, con resultados más costosos cada vez y, mientras que en la conciencia colectiva crece la idea de que la sofisticación de los sistemas lleva a los cibercriminales a tratar de penetrar por rutas complejas, la verdad es que siga siendo el correo electrónico, con su omnipresencia en nuestra vida, la puerta más común, así como el factor humano quien abre generalmente esa puerta.

En un reciente estudio publicado por investigadores de la Universidad de Albany, se afirma que “la principal causa de las brechas de seguridad es una vulnerabilidad básica humana: nuestra susceptibilidad para el engaño. Los hackers explotan esta vulnerabilidad a través de correos electrónicos fraudulentos (phishing) con links maliciosos que descargan malware o engañan al usuario para revelar información confidencial”. Hay tres factores principales de sesgo cognitiva que regularmente son los que usan los hackers:

  1. Miedo: conduce a que el usuario realice acciones preventivas para protegerse a sí mismo y sus propiedades.
  2. Avaricia: se capitaliza con el señuelo de dinero fácil para engañar a las víctimas.
  3. Percepción de escasez: establece un sentido de urgencia, o de miedo a perder algo, que incrementa el valor percibido de un objeto.

Estos factores pueden llevar a la persona a hacer elecciones irracionales, particularmente cuando esa elección se puede hacer u un sencillo clic del mouse.

Es claro que los humanos son el eslabón más débil en cualquier estrategia de ciberseguridad, por lo cual se debe poner más atención en fortalecer la línea de defensa humana a través de una cultura de alerta continua. Algunas acciones que pueden realizarse son:

  • La capacitación regular juega un papel vital en el proceso, aunque esta capacitación no debe limitarse a una o dos veces al año. Expertos recomiendan reuniones para discutir nuevas amenazas al menos una vez al mes, ya que el panorama de riesgo no es estático.
  • Los usuarios pueden beneficiarse de ejemplos del mundo real, estudios de caso que les ayuden a reconocer correos electrónicos peligrosos de inmediato. Cuando las personas están familiarizadas con las herramientas y tácticas usadas por los cibercriminales, es menos probable que sean víctimas de estos esquemas.
  • Las áreas de Tecnologías de la Información pueden simular ataques de phishing con regularidad entre sus usuarios.  Se deberá trabajar con estrategias de incentivos positivos para destacar a aquellas personas que identificaran la amenaza y actuaran de manera adecuada.

No hay recetas o guías que sean solución llave en mano para este panorama de riesgo del factor humano, por lo cual las organizaciones deben de poner tanta atención en este eslabón como lo hacen con los mecanismos de protección de los elementos tecnológicos.

Con información de DigitalGov.

Comentarios de Facebook