La imprudencia fomenta los ciberataques

Los ataques de phishing son especialmente populares entre los ciberdelincuentes. Intentan obtener datos confidenciales y sensibles engañando o induciendo a error a sus víctimas. Este tipo de ataque puede clasificarse como ingeniería social. Además de los ataques a través del correo electrónico, también incluyen los denominados "USB dropping", mensajes de texto falsificados a través de SMS o llamadas telefónicas falsificadas. En el caso del tráfico por correo electrónico, el mensaje contiene un archivo adjunto malicioso o un enlace a un sitio "falso". Se prometen beneficios o herencias, pero también puede parecer una oferta seria de un proveedor o cliente conocido, de modo que el umbral de inhibición para la interacción por parte de la víctima potencial sea lo más bajo posible.

El eslabón más débil

En última instancia, el factor humano es el punto decisivo. Si los empleados, como supuesta última línea de defensa, no cuestionan el destinatario o el contenido del correo electrónico, sino que interactúan con él, el riesgo de que el ataque tenga éxito es extremadamente alto.

En última instancia, estos ataques pueden acarrear enormes daños financieros y de reputación para las empresas. Una posible pérdida de confianza entre clientes y socios, costes por la salida de datos y conocimientos, la eliminación de daños consecuentes, posibles paradas de producción o cancelaciones de pedidos son solo algunas de las posibles consecuencias que podrían surgir en caso de éxito de un ciberataque. 

En el caso del cifrado, la tecnología de cifrado utilizada en cada caso y adaptada repetidamente no suele ser fácil de romper para recuperar el acceso a los datos. No obstante, las empresas que no hayan asegurado y protegido explícitamente sus propios datos mediante copias de seguridad periódicas no deberían pagar el rescate exigido bajo ningún concepto y, en su lugar, pedir asesoramiento a expertos sobre cómo seguir tratando la situación. Después de todo, es dudoso que los sistemas se descifren tras el pago del rescate. 

Los ciberdelincuentes seguirán recurriendo a los ataques de suplantación de identidad en el futuro, ya que la seguridad técnica ya existente en muchos sistemas reduce sus posibilidades de ataque y, en consecuencia, el ser humano puede considerarse ahora el eslabón más débil de la cadena. Además, estos ataques pueden llevarse a cabo con muchos menos conocimientos técnicos y a mayor escala que los clásicos ataques de hackers. En última instancia, el porcentaje de éxito es decisivo: independientemente del tamaño de la empresa, basta un empleado distraído o descuidado para desencadenar graves consecuencias para la empresa. En porcentaje, por ejemplo, una persona basta para
1000 empleados (= 0,1%) que caen en la trampa del phishing. Una probabilidad de éxito tan alta difícilmente existe en ningún otro escenario de ataque y, por tanto, se subestima, especialmente en el sector de las PYME, donde los fondos y recursos para la seguridad informática suelen ser escasos y no se dispone de suficientes conocimientos técnicos.

Formación regular

La palabra clave decisiva es: concienciación. Unas medidas de concienciación repetidas y bien construidas para los empleados, adaptadas a la situación actual de la seguridad, son la clave para quitarles el viento de las velas a los atacantes de phishing. Al fin y al cabo, sin interacción humana con los correos comprometidos, no suele aumentar el peligro, siempre que las medidas técnicas de la empresa correspondan a un nivel de seguridad necesario en la actualidad. Además, la formación de concienciación es barata si se compara con los costes de recuperación tras un ciberataque. Sin embargo, este tipo de formación de concienciación debe realizarse con regularidad y adaptarse siempre a la situación actual de la seguridad.