Los ciberdelincuentes no respetan roles ni equipos cuanto se trata de lanzar un ataque: se dirigen a cualquier persona o departamento dentro de una organización con acceso a datos sensibles, incluso antes de que los equipos de seguridad puedan investigar estas amenazas. Dado que son las personas quienes están en el punto de mira de los atacantes, el conocimiento de los usuarios acerca de posibles riesgos y cómo mantenerse seguros resulta fundamental. Octubre es el mes para la concienciación sobre la ciberseguridad, y en Proofpoint han preparado una selección de recursos gratuitos con los que ayudar a las organizaciones a protegerse de las amenazas.
Según el informe Voice of the CISO 2022 de Proofpoint, la concienciación de los empleados en seguridad va en aumento, con un 50% de empresas españolas que ha mejorado la frecuencia de las formaciones en esta materia. Sin embargo, los usuarios todavía no están suficientemente capacitados para la ciberdefensa: solo el 53% de los CISOs afirma que los empleados de su organización son conscientes de su papel como barrera frente a posibles ciberataques.
“Dotar a los usuarios con herramientas para identificar, defenderse y reportar amenazas puede inculcar unos hábitos en torno a la ciberseguridad positivos y crear una línea de defensa más fuerte en las organizaciones”, indica Fernando Anaya, country manager de Proofpoint. “La concienciación sobre seguridad nos afecta a todos por igual, porque cualquier acción que hagamos puede proteger a la empresa o, por el contrario, ponerla en peligro accidentalmente. Hay que permanecer atentos ante la más mínima sospecha y tomar las medidas adecuadas”.
A lo largo de cuatro semanas, este programa de concienciación sobre ciberseguridad de Proofpoint se detiene en las mejores prácticas para proteger a las personas y a los datos de ataques, cuyos resultados pueden ser transformadores para las organizaciones. Estos son los temas incluidos:
Autenticación multifactor
La autenticación multifactor (MFA) se ha convertido en un recurso útil para que solo el usuario autorizado acceda a su información y sistemas, pero también es bastante común, de ahí que los ciberdelincuentes traten eludirla. Lo hacen bombardeando a los usuarios con MFAs cuando tienen acceso a sus credenciales, con la esperanza de que alguno se canse de poner sus claves y acepte una solicitud falsa para dejar de recibir notificaciones. Habría que desconfiar si se reciben varias peticiones de MFA en un periodo corto de tiempo. Y, aunque sea engorroso introducir varios códigos, es recomendable configurar la MFA en todas las cuentas, pues ayuda a saber cuándo hay un intento de vulneración.
Contraseñas seguras y actualización de software
Recordar una contraseña distinta para cada plataforma a la que nos conectamos es difícil y, por tanto, no es de extrañar que a veces se acabe optando por repetir una misma clave. A sabiendas, los atacantes utilizan sitios web de código abierto diseñados para introducir una cadena de caracteres aleatorios en cualquier cuenta y poder así adivinar la contraseña correcta. Si la combinación del usuario es de por sí débil o se emplea en varios sitios, los ciberdelincuentes tienen mayores probabilidades de éxito de comprometer más de una cuenta. Asimismo, proteger los dispositivos mediante actualizaciones de software contribuye a proteger la información. Aunque estas actualizaciones ralenticen el ordenador y quiten tiempo para completar una tarea, pueden cerrar la puerta a ciberdelincuentes que intentan entrar en dispositivos y cuentas.
Reconocimiento y reporte de phishing
En el mundo laboral de hoy en día, donde se trabaja con múltiples dispositivos y todo parece prioritario, resulta muy fácil que los usuarios se distraigan y acaben haciendo clic en un correo de phishing. Estos mensajes evolucionan constantemente, adoptan distintas formas y emplean tácticas de ingeniería social para atraer a más víctimas. Así ha sucedido, por ejemplo, con campañas de phishing en las que se apelaba a las emociones de la gente sobre la ofensiva de Rusia en Ucrania para pedir donaciones económicas fraudulentas. Por eso, contar con formación sobre amenazas del mundo real ayuda a que los usuarios reporten phishing, si se encuentran con algún caso, y protegen mejor al resto de la organización.