La concientización de la importancia de la seguridad es una de las asignaturas pendientes tanto de las empresas como de los usuarios finales. Así se desprende de lo que nos contó Esteban Lubensky, director de la empresa ecuatoriana GMS, especializada en ciberseguridad.
En el caso de las empresas, aunque han ido incrementado su inversión en seguridad, lo cierto es que muchas no se preocupan de resolver un cabo suelto importante que, además, suele ser por el que terminan viniendo los problemas: la concientización de su propio personal.
Según lo ve Esteban, el nivel de concientización del personal de las compañías es, en general, muy bajo: «Eso es lo que permite que ataques de ingeniería social puedan tener una alta tasa de éxito. De hecho, otra de las grandes tendencias en cuanto a actividad maliciosa es que los hackers dejan de invertir tanto en romper las protecciones técnicas de una red porque la misma inversión en romper la protección humana es mucho más efectiva: yo puedo engañarle a un usuario para que me abra las puertas a su red o para que incluso me pague directamente con una inversión mucho menor de lo que me representaría meterme en su red.
»Un ejemplo que se ha vuelto común es tomar la identidad de un alto ejecutivo o de un proveedor importante y hacer que la gente responsable de pagos desvíe fondos pensando que está haciendo algo según las instrucciones del alto ejecutivo o según las instrucciones de un proveedor válido. Y hay casos de empresas muy grandes a nivel mundial que han perdido millones dólares en transacciones puntuales por caer en este tipo de trampas. Entonces, ¿qué tipo de inversión tuvo que hacer el hacker en lograr el éxito en ese ataque? En realidad una muy baja porque no hay la necesidad de invertir en herramientas técnicas para engañar a la gente de esa forma».
Como vemos, la concientización del personal es un problema tanto grande como difícil de abordar. Y no solamente por la falta de conocimientos de los empleados, sino también porque las empresas no reconocen que existe una necesidad que cubrir: «Tienes empresas que de pronto sí tienen una conciencia de la importancia de su información y han invertido bastante en implementar las herramientas correctas. Pero ellos mismos no ven que tan vulnerables se mantienen por la falta de conciencia de sus usuarios y no están invirtiendo en medir ese nivel de conciencia y, en base a esa medición, establecer un plan para mejorar continuamente el nivel».
Desde GMS, decidieron abordar el problema mediante el desarrollo de su propia plataforma de gestión de ingeniería social, de la cual ya hablamos en un artículo anterior. Por medio de ella, las empresas pueden evaluar cómo se están comportando sus usuarios y averiguar en qué es necesario capacitarles.
Cómo solucionar el problema de la concientización
Pero lo que ocurre dentro de las empresas es también un reflejo de la situación general de la sociedad: nadie cree que pueda ser víctima de un ataque, de un intento de estafa, de un robo de información: «es algo que la gente no tiene muy presente y en parte eso tiene que ver que uno no visualiza la gravedad de los escenarios en los cuales podría estar en el momento de tener verdadero ataque o perder su información o ver que esa información confidencial está expuesta».
Para Esteban, la solución tiene dos componentes, uno privado y otro público: «Hay componentes educativos que se deberían integrar a lo que llamaríamos educación básica, módulos que puedan abordar los temas principales de seguridad. Creo que sí es algo que se debería estandarizar en el pensum de todo colegio. También creo que programas de comunicación incluso a nivel gubernamental sí es algo que podría ayudar bastante».
Sin embargo, a su juicio el papel del sector privado es el más importante: «Creo que es algo en lo que las empresas deben tomar liderazgo. y cuando hablas de esto creo que hay dos dimensiones. Uno, la empresa tomar liderazgo ante sus propios usuarios porque tiene un incentivo fuerte para asegurarse de que se no expongan a la empresa porque al rato de sufrir una brecha de seguridad los costos pueden ser altos. Ahí hay un incentivo económico para la empresa.
»El otro nivel de liderazgo de las empresas es respecto a las que interactúan por medios electrónicos de forma masiva con sus clientes. El ejemplo preciso son los bancos, aunque no se limita a ellos. El banco que activamente busca como capacitar a su base de clientes, no solo a su base de usuarios, sobre estas amenazas puede tener un rol muy importante para generar mayor conciencia a nivel masivo porque obviamente tiene a un público muy amplio. Si pensamos en los bancos o si pensamos en aerolíneas que tienen bastante tráfico de gente que está haciendo una compra o un checking vía web, páginas de comercio electrónico… todas estas empresas sí pueden tomar un mayor liderazgo a la hora de transmitir este mensaje de la importancia de cuidar la información y de generar esta conciencia».
