Trampas y sustos en el trabajo para impulsar la ciberseguridad

Ha sido necesario más tiempo del que muchos hubiesen deseado, pero parece que por fin la ciberseguridad se ha convertido en un asunto capital para las empresas. Al menos en lo relativo a la concienciación de los consejos y de la alta dirección. En el impacto de este problema en el resto de la organización, sin embargo, aún queda mucho que hacer. “Se estima que el 90% de los empleados viola, de una forma u otra, alguna medida de seguridad informática en el trabajo”, explicó ayer el director de Accenture Strategy, Juan Antonio Rossell, durante la jornada Los empleados en el centro de la ciberseguridad, organizada por la citada consultora y la Asociación para el Progreso de la Dirección (APD). Ubicar a todas las capas de la compañía en el epicentro del ciberriesgo es, desarrolló este experto, una prioridad: “A día de hoy, el 52% de las brechas en seguridad está causado por el factor humano”.

De nada sirve, por lo tanto, aumentar la inversión y el esfuerzo en ciberseguridad si no se destina una parte importante a la concienciación y formación de las personas. Y en eso, al menos por ahora, se suspende de manera estrepitosa. “Solo un 2% del presupuesto de las empresas destinado a combatir el cibercrimen se enfoca a esta tarea”. Con el peligro añadido de que estos delitos se modernizan y cambian con el paso del tiempo, por lo que sin formación suficiente, el empleado no sabe realmente a qué se enfrenta ni por dónde acecha el peligro.

“La ciberdelincuencia tradicional está cambiando”, sentenció el comisario jefe de la brigada de seguridad informática de investigación tecnológica de la Policía Nacional, Pedro Pacheco. Y está pasando a adoptar formas tales como las estafas o la suplantación del consejero delegado, mecanismo por el que el delincuente se hace pasar por el jefe para convencer a alguien de que efectúe una transferencia bancaria a una cuenta propiedad de los atacantes. Saber desenvolverse en estas tesituras, así como saber identificarlas, es clave en la reducción del impacto.

Por eso ya hay quienes se nutren de técnicas diferentes, a modo de terapia de choque, para lograr este objetivo. Y las hay de todo tipo. “Ya enviamos correos trampa a los profesionales, con enlaces no autorizados o peligrosos, para ver si pinchan sobre ellos”, contó Rossell. Y así, si un empleado hace clic sobre una dirección comprometida que hemos creado nosotros, rápidamente recibe un correo, “con copia a su jefe”, explicando la situación e instando a tener más cuidado la próxima vez. También hay otros métodos, ejemplificó, tales como poner pósits sobre pantallas no bloqueadas y abiertas para llamar la atención del usuario cuando este vuelve a su sitio, u otros como retirar dispositivos desatendidos. “Si dejas tu portátil sobre una mesa común para ir al baño, a lo mejor al llegar encuentras en su lugar un papel que te indica dónde ha ido a parar el ordenador y tienes que gastar tiempo en recuperarlo. Son métodos para cambiar comportamientos arriesgados”, desarrolló Rossell.

Enviamos correos trampa o retiramos dispositivos desatendidos

Juan Antonio Rossell

De todas estas técnicas, quizá las más asentadas en las compañías son los ejercicios de pishing, que intentan adquirir información confidencial de forma fraudulenta. Por eso, recordó el director de riesgo tecnológico y operacional de Banco Santander, Mikel Zaldibar, cuando la empresa recurre a estos métodos es imprescindible que antes contacte con la Policía y la Guardia Civil. “En términos regulatorios es obligatorio, pero además es imposible de ocultar”.

Y además de con las fuerzas de seguridad, otro protagonista para desarrollar estas técnicas son los departamentos de recursos humanos de las empresas, “con los que se tiene una relación directa”, apuntó Zaldibar. Todas estas campañas de concienciación son efectivas, sobre todo, a largo plazo, reconoció el director de seguridad de la información de Telefónica, Alejandro Ramos: “Te pueden escuchar, pero no hay nada como vivir una situación así para tomarlo en serio”. Eso sí, recordó la directora de recursos humanos de Adecco y conocedora de la gestión de personas, Encarna Maroño, “es imprescindible hacer ver a los profesionales que esto no se hace por incordiar o hacer más difícil el trabajo, sino por proteger la información de la empresa, su cuenta de resultados y, por ende, su reputación”.