Un reciente estudio de EY refleja que más del 90% de los incidentes de ciberseguridad se producen por un error humano, lo que supone una gran ventaja para los ciberdelincuentes por la facilidad con la que normalmente engañan a los usuarios para cometer sus ataques.
En muchos casos la actividad de un empleado durante su jornada laboral, con sus fallos de seguridad en la Red, puede llegar a ser más peligroso para la empresa que un ciberataque que venga de fuera.
Como usuarios de Internet, todos somos potenciales víctimas de un ataque cibernético y por ello, también las empresas, y unos de los errores más comunes es pensar que solamente las grandes corporaciones se exponen a este tipo de amenazas, de hecho las pymes son uno de los blancos preferidos por los ciberdelincuentes.

El factor humano en la falta de seguridad cibernética es, por tanto, un asunto que las empresas (de cualquier tamaño) tienen que abordar con urgencia. Es fundamental que se realice la inversión necesaria en la tecnología adecuada, pero será insuficiente si no va acompañado de la concienciación de los empleados sobre los riesgos que sus acciones pueden provocar. Especialmente en la actualidad, ya que la instauración del teletrabajo en las empresas va en aumento a consecuencia de la pandemia de la COVID-19.
Cada día se hace más necesario conseguir que los empleados sean conscientes de la necesidad de cuidar la información sensible tanto de la compañía como de sus clientes, y que asuman su papel y responsabilidad en temas de ciberseguridad, siendo clave que interioricen que ellos son el principal cortafuegos de las compañías ante las ciberamenazas y posibles ataques. Preservar la seguridad debe ser una actitud a la hora de trabajar.
Principales causas del factor humano en ciberataques
La falta de información y formación son las principales causas del factor humano en los ciberataques que una empresa puede sufrir. A menudo los empleados se sienten agobiados debido a la complejidad de los protocolos de seguridad, si es que existen, y terminan recurriendo a acciones poco seguras a la hora de realizar su trabajo.
Para evitar riesgos producidos por prácticas erróneas que son muy habituales y dejan la puerta abierta a que los ciberdelincuentes actúen, los empleados tienen que saber qué se puede hacer y qué no, y cómo se debe hacer. Y para ello deben contar con la formación adecuada con la que lleguen a entender bien qué peligros existen y cuál es su papel para evitarlos, un papel protagonista.
Las empresas tienen que desarrollar una cultura de seguridad y responsabilidad asociada al correcto manejo de la información sensible y su protección. Un enfoque integral y con diferentes niveles. Es clave contar con profesionales especializados en ciberseguridad que implementen los protocolos adecuados y ante cualquier cambio mantener a los empleados informados y formados, pero también es clave concienciar a los empleados no especializados en ciberseguridad sobre los peligros y el importante papel que ellos tienen ante el éxito de un incidente de seguridad.
Los ciberataques más comunes en los que caen los usuarios por esta falta de conocimiento y que pueden acarrear graves problemas económicos y de reputación a las empresas son:
- Phising: método que los ciberdelincuentes utilizan para engañar y conseguir que se revele información personal como contraseñas o datos de tarjetas de crédito. Se hace mediante el envío de correos electrónicos u otro tipo de mensajes fraudulentos que redirigen al usuario a un sitio web falso y creado por ellos mismos.
- Smishing: envío de SMS fraudulentos. Se recibe un mensaje de texto donde el emisor se hace pasar por su banco o una entidad conocida, como Correos, donde se solicita que se comunique por teléfono o clique en un enlace para obtener información bancaria.
- Pretexting por teléfono: se trata de la obtención de datos y documentos llamando a una compañía simulando ser una determinada persona.
- Baiting: consiste en dejar dispositivos infectados y esperar que alguien los use.
Cómo evitar el factor humano en ciberseguridad
Que los empleados tomen consciencia de la importancia de la ciberseguridad para la empresa y destinar la inversión necesaria a las herramientas tecnológicas y a la formación de los empleados, es la solución más óptima para evitar el factor humano en ciberseguridad.
Además, hay que tener claros algunos comportamientos básicos de seguridad que ayudan a prevenir y detectar los errores humanos más comunes con los que se pueden producir estos ciberataques:
- No utilizar dispositivos (USB o memorias externas, por ejemplo) ajenos a la empresa.
- Uso de redes sociales. Transmitir a los empleados que no descarguen archivos de procedencia desconocida a través de las redes sociales ni que compartan información de la empresa o de sus clientes. En ocasiones incluso alguna imagen u otro tipo de información sobre su jornada laboral puede dar pistas a los ciberdelincuentes.
- Cerrar las sesiones de los equipos al terminar la jornada. Los empleados deberían cerrar todas las sesiones que tengan abiertas en los programas que utilicen antes de apagar el ordenador.
- Informar a la empresa de cualquier incidente: los empleados deben saber que reaccionar a tiempo ante un ataque informático es de vital importancia, por tanto, ante cualquier indicio o sospecha deben informar y reportar cualquier sospecha de incidente.
- No permitir el uso del email personal en el ordenador de trabajo y menos la descarga de archivos que no hayan pasado el análisis del antivirus que la empresa está utilizando. Del mismo modo, hay que concienciar en la precaución de la descarga de archivos recibidos por email aunque sea desde la cuenta corporativa.
- Gestión correcta de contraseñas y permisos: por parte de la empresa se deben establecer diferentes niveles de acceso a la información y permisos en función de los roles de los empleados. No es conveniente que todos tengan acceso a todo.
- Bloquear equipos: los equipos deberían tener configurado un sistema de bloqueo automático para cuando los trabajadores estén ausentes y alejados de su puesto por alguna pausa u otro motivo.
- No permitir la descarga de software desde el ordenador del trabajo.
- Realizar copias de seguridad con regularidad tanto en la nube como en dispositivos físicos.
- Cifrar archivos importantes que contienen información o datos sensibles de la empresa o los clientes.
Con Infinite tienes la oportunidad de que tus empleados conozcan cómo proteger a la compañía en materia de ciberseguridad de la mano de los mayores expertos a nivel mundial, en un acontecimiento global e interactivo que combina juego, ficción y realidad. Una manera de concienciar de forma amena con la que podrán transferir los conocimientos y comportamientos adquiridos rápidamente a su puesto de trabajo.
8 comentarios