Ciberataques: el usuario final también es clave en la protección

Las últimas brechas en ciberseguridad han tenido un grado de notoriedad nunca antes visto en Chile y han puesto en tela de juicio la preparación que el país tiene frente a estos casos, tanto en el sector público como privado. Las víctimas no solo han sido los usuarios, sino también las empresas que se han visto afectadas con estos ciberataques.

Para conseguir un mejor resguardo de los antecedentes personales e institucionales, se debe lograr un equilibrio entre cumplimiento y ciberseguridad, ya que constantemente las industrias y los servicios están cambiando las políticas con respecto a este tema, todo con el fin de lograr una armonización entre seguridad operativa y la normativa.

La empresa Dimension Data, integradora global de tecnología y experta en ciberseguridad, explica en su informe anual de esta materia que el arma preferida por los ciberdelincuentes es el ransomware, el cual tuvo un alza del 350% a nivel global el 2017. El reporte también dejó en evidencia que la evolución de algunas industrias, como por ejemplo la manufacturera gracias al Internet de las Cosas (IOT), ha aumentado la vulnerabilidad a los ciberataques, dejando a muchas organizaciones expuestas a través de su cadena de suministro.

En particular a la región de América, se vio que los ataques al sector financiero son los que más han aumentado, tendencia que resuena con la realidad local. Por eso, Carlos Tondreau, client manager de Seguridad en Dimension Data Chile, recomienda que la primera línea de protección para las empresas sean sus colaboradores.

“En general, las empresas han demostrado su preocupación y han desarrollado varios métodos de acción para proteger sus datos y los de sus usuarios, pero aun así han tenido incidentes. Los empleados que son debidamente capacitados pueden reducir drásticamente la probabilidad de que se ejecuten archivos maliciosos dentro de un ambiente empresarial”, sostiene.

Por ejemplo, señala, el phishing –que es la suplantación de identidad donde un cibercriminal se hace pasar por una persona o entidad de confianza para obtener información personal–, es una táctica muy usada para propagar ransomware, y su control pasa en gran parte por educar a los colaboradores. “El phishing permite conseguir información como contraseñas de un empleado, las
cuales abren la puerta de los ambientes empresariales. El peligro del phishing se reduce bastante con políticas robustas de educación y protocolos establecidos”, asegura.

En ese contexto, Tondreau entrega las siguientes recomendaciones para empresas y trabajadores:

• Nunca descargar información de e-mails que sean o hagan solicitudes sospechosas, aunque se vean genuinos, y por sobre todo, nunca entregar información personal de forma directa o a través de enlaces.
• Las empresas y colaboradores deben redoblar la precaución con respecto al phishing, y hacer un llamado a sus empleados a no confiar en correos de usuarios desconocidos.
• Crear conciencia y promover la cautela respecto al uso del correo de trabajo. Promociones y ofertas recibidas por email no deberían ser abiertas en cuentas de correo empresariales, ya que comprometen la seguridad de la empresa donde se trabaja.
• Para las empresas, además de educar a sus colaboradores, hay soluciones de protección para el correo electrónico, como programas de servicios anti-phishing, que hacen que el correo electrónico que se recibe pase por servidores, se analice y después se direccione al email del usuario final. Estas soluciones funcionan incluso en aquellas compañías que tienen su correo electrónico en la nube.
• Los correos sospechosos tienen que ser reportados al área interna que se ocupa de la seguridad de la empresa, siempre.
• Suena simple, pero es muy importante no ocupar la misma clave para todo el sistema digital. Se debe elegir un algoritmo mental que sea fácil de recordar que combine palabras, números y secuencias de caracteres diferentes para cada una de las identidades que maneje el usuario en los diversos sistemas.
• Las empresas deben habilitar con urgencia la autenticación multifactor, privilegiando las soluciones tipo PUSH que envían el código directamente al celular registrado de los usuarios al momento de intentar un login. Hoy en día, casi el 100% de las nubes típicamente usadas por las empresas disponibilizan este sistema a sus clientes.
• Si estás transando con un sitio por primera vez y no tienes mucha seguridad o certeza de él, lo mejor es validarlo a través de referencias de conocidos, de una breve validación en los buscadores y estar seguro de que es confiable.
• Al realizar transacciones desde un celular, siempre que sea posible hacerlo desde la aplicación oficial de la empresa, y no desde el navegador.