El 30 de noviembre se conmemora el Día Internacional de la Seguridad Informática. Solo cuatro de cada 10 empleados han recibido formación al respecto de su empresa
A estas alturas del partido —por utilizar un símil mundialista—, todos hemos oído términos como phishing, ransomware o malware, asociados a la seguridad en internet. Pero ¿somos en verdad conscientes de los riesgos que corremos? Aunque el impulso del trabajo en remoto o híbrido, implementado en muchas empresas a raíz de la pandemia, ha facilitado la conciliación de muchos trabajadores, también ha puesto de relieve la necesidad de protegerse ante las numerosas amenazas de seguridad que pueblan la red. Un esfuerzo en el que, más allá de la propia estrategia de cada organización, la concienciación y la formación de los usuarios resulta fundamental. Siete de cada 10 empresas españolas sufrieron en 2021 un ataque de ransomware, según un estudio de Sophos, pero solo cuatro de cada 10 trabajadores (un 38 %) afirma haber recibido algún tipo de formación o información sobre ciberseguridad por parte de su empresa, según un reciente informe de Infojobs. Hoy, 30 de noviembre, se celebra el Día Internacional de la Seguridad Informática.
La creciente transformación digital de la sociedad ha multiplicado el número de aplicaciones y servicios digitales que utilizamos casi a diario, pero también el riesgo y el número de ataques. No en vano la ciberdelincuencia es, hoy, el primer crimen organizado a escala internacional, por delante del narcotráfico y de la trata de personas. “Ha habido un gran impulso del teletrabajo, y eso lo aprovechan los ciberdelincuentes para pescar en río revuelto: hay mayores servicios expuestos, más empleados trabajando cuyas competencias de ciberseguridad son limitadas y las empresas están todavía adaptando sus políticas de seguridad a esta nueva realidad”, cuenta Manuel Ransán, responsable de Ciberseguridad para Menores y Ciudadanos del INCIBE. Solo en 2021, atendieron 109.126 incidentes, de los cuales más de 90.000 correspondieron a ciudadanos y empresas, y el número de ciberataques críticos (aquellos que pueden afectar a la seguridad nacional o a infraestructuras estratégicas) se elevó a 118, el doble que el año anterior, según afirma el Centro Criptológico Nacional.
¿Cuáles son los ataques más peligrosos?
“Si nos vamos a las empresas, las principales amenazas son el malware [programas con intenciones maliciosas], el phishing [hacerse pasar por una web legítima para intentar hacerse con los datos personales o bancarios del usuario] y el ransomware [que bloquea el acceso a un determinado sistema y que exige el pago de un rescate]. El caso del phishing es quizá el más preocupante, porque es el principal vector de entrada, se combina con el resto de amenazas y, además, depende en gran medida del eslabón más débil, que es el de los usuarios”, explica Ransán. Por eso, añade, la formación de los empleados es tan importante, para que sepan reconocer y reaccionar ante estas y otras amenazas. El curso de Seguridad de la Información de la plataforma de formación corporativa Goodhabitz, por ejemplo, es uno de los más demandados en los planes formativos de las empresas a las que sirven, y más de 50.000 personas lo han completado en España en el último año.
El indudable aumento de la concienciación por parte de las organizaciones se traduce en mayores presupuestos y más acciones de capacitación y sensibilización, pero se reparte de forma desigual: las grandes empresas están más preparadas, destinan más dinero y tienen incluso departamentos específicos, mientras que a las pymes les cuesta todavía un poco más, “y tienden a pensar, erróneamente, que sus negocios no serán de interés para los ciberdelincuentes. Y hasta que no ocurre un incidente, no se sensibilizan”, sostiene Ransán. Aun así, “a día de hoy se reciben muchas más llamadas no solo para la formación, sino para dar los primeros pasos en lo que a una infraestructura de ciberseguridad se refiere. No es fácil cambiar las costumbres de la noche a la mañana, y por eso las formaciones son cruciales, al igual que las campañas de concienciación, los talleres y las charlas con los empleados”, afirma Daute Delgado, lead instructor en Ironhack.
El nivel de sensibilización también varía según la categoría profesional del empleado: entre los puestos de dirección, casi cuatro de cada 10 personas manifiestan tener una gran preocupación por la seguridad informática, frente al 32 % de los mandos intermedios y el 26 % de los especialistas, según el estudio de Infojobs. De la misma manera, aquellos que han recibido una formación al respecto tienen mayores probabilidades de percibir cuándo han sido víctimas de un ataque informático: un 29 %, frente a solo un 11 % de aquellos que no la recibieron.
Garantizar la seguridad informática en un entorno de trabajo en remoto es, no obstante, una responsabilidad compartida entre los trabajadores y sus empresas, que han de definir una política de teletrabajo que contemple tanto los aspectos técnicos como organizativos. Que quede claro, por ejemplo, qué dispositivos tienen que usar los empleados, ya que los corporativos estarán sujetos a la política de ciberseguridad de la empresa y actualizaciones forzadas; pero si los empleados pueden usar sus propios dispositivos, habrá que definir las recomendaciones de seguridad a seguir. “La empresa debe también garantizar un método de acceso a distancia que sea seguro y que permita compartir información, recursos y ficheros. Aquí lo más normal es usar una red privada virtual (VPN) que garantice la confidencialidad de la comunicación”, esgrime Ransán. Desde Goodhabitz, por su parte, recuerdan que conviene evitar siempre las redes WiFi públicas, ya que cualquier información enviada o almacenada mientras se está conectado a ellas es vulnerable si no se activa la VPN de la empresa.
¿Y qué hay del empleado? “Lo primero es tener cuidado con qué abrimos y qué no; el mejor consejo es no abrir nada de lo que no tengamos referencia. Lo segundo, no pinchar jamás en enlaces que estén acortados, ya que en el día a día no utilizamos herramientas suficientes para tener visibilidad de lo que se encuentra detrás de ellos, como unshorten.it”, advierte Delgado. “Y, finalmente, no menospreciar el riesgo de trabajar en esa cafetería que tanto nos gusta, porque no todos los ataques son cibernéticos: hay que tratar con cautela el shoulder surfing [mirar por encima del hombro desde un lugar cercano, para intentar obtener información sensible de ese usuario]”. Para gestionar adecuadamente las contraseñas, la Oficina de Seguridad del Internauta recomienda utilizar lo que se conoce como gestores de contraseñas, aplicaciones que se pueden descargar en el móvil y que permiten almacenar todas las contraseñas en un fichero cifrado. Para acceder a ellas, tan solo se necesita recordar una contraseña maestra (en los terminales con reconocimiento facial o digital, ni siquiera es necesario), para poder visualizar la contraseña que se necesita, copiarla y pegarla.
Perfiles más demandados en ciberseguridad
“Los profesionales más demandados son aquellos que tienen una visión estratégica del manejo global de la información. De ahí su especialización en lo que se refiere a la arquitectura e infraestructura de seguridad”, apuntaba Jared Gil, CEO y fundador de Nuclio Digital School, a este medio el pasado mes de abril. Entre las principales habilidades de un experto en ciberseguridad, Gil mencionaba las de hacker, fundamentales para identificar agujeros de seguridad complejos; de forense, para aplicar técnicas de investigación científica a los delitos digitales; y de arquitecto, para aplicar todas las tecnologías posibles.
A la hora de identificar los perfiles de ciberseguridad más demandados por las empresas, Delgado apunta hacia los analistas, los ingenieros (que se ocupan de realizar mejoras continuas del servicio y de adaptar las herramientas a las necesidades de los clientes), arquitectos que montan las infraestructuras de ciberseguridad y pentesters, que llevan a cabo pruebas de penetración a clientes para ver hasta dónde se podría llegar en caso de un ataque real. Los analistas de Big Data, por su parte, se ocupan construir modelos matemáticos para la detección de anomalías, un perfil más buscado en empresas que necesitan un alto nivel de ciberprotección o en aquellas que ofrecen servicios específicos de ciberseguridad.
