La concienciación del usuario, la gran asignatura pendiente

Internet es, hoy en día, un lugar esencial para mantener la comunicación con amigos o compañeros, para investigar y para aprender. Pero Internet también oculta una serie de riesgos y amenazas, por lo que es imprescindible conocer sus peligros para saber identificarlos y tomar las precauciones necesarias.

No se trata de infundir miedo a los usuarios sino concienciación, la gran asignatura pendiente.

Y hoy es un buen día para intentarlo. Como cada 30 de noviembre, desde ESET España  queremos unirnos a las celebraciones del Día Internacional de la Seguridad de la Información, y queremos hacerlo reivindicando precisamente la necesidad de que los usuarios, es decir, tú comiences a ser proactivo y tomes una actitud responsable respecto a tu seguridad. Porque se puede comprar tecnología de seguridad, pero no conciencia de seguridad. Por ello a la vez que exploras, compartes, juegas, navegas. te sorprendes, observas, te atreves, compras, avanzas, mejoras y, en definitiva, disfrutas de tu experiencia online (en el Día de la Seguridad de la Información, y siempre) es necesario que aprendas a blindar tu seguridad más allá de la instalación del pertinente software de seguridad.

Queremos poner el dedo sobre la llaga porque tener protección, contar con un antivirus en tu hogar y una buena solución de seguridad en tu empresa es radicalmente importante pero gestionar tu navegación y el uso de todos tus dispositivos con conciencia es igual de trascendental. Podría hacer un símil un poco tosco pero que todos los lectores comprenderéis a la primera. El condón tiene una protección cercana al 100%, ¿verdad?. No llega a ser total porque puede aparecer en escena algún problema en la fabricación del preservativo o… la intervención irresponsable del usuario que no lo utiliza desde el principio o no lo coloca correctamente. Pues bien, con las soluciones de seguridad ocurre exactamente igual. La colaboración del usuario es importantísima. No solo a la hora de instalarlo correctamente desplegando todo el potencial de la solución sino también adoptando unos hábitos de navegación segura.

Los softwares de seguridad pueden tener un altísimo índice de detección, de cero falsos positivos… protegerte de muchos de los peligros pero, al final,  si el usuario actúa sin concienciación, clica en todo tipo de enlaces, descarga todo tipos de archivos (aunque se los mande el mismísimo Príncipe de Zamunda), conecta a su PC USBs de extraña procedencia etc., mal vamos.

La ingeniería social y el usuario desprevenido, la pareja ideal

Cada día más de un millón de amenazas vagan por el ciberespacio en busca de su víctima ideal, muchas buscarán agujeros en los sistemas pero muchas otras se camuflarán como ingeniería social e intentarán captar tu atención bajo informaciones sorprendentes, polémicas, de gran impacto, chollos increíbles (que incluso contribuiremos a expandir porque querremos darlos a conocer a nuestros allegados). En realidad si los usuarios pensáramos antes de hacer click probablemente nos daríamos cuenta de la poca verosimilitud de estas informaciones u ofertas y no caeríamos en la trampa tendida por los ciberdelincuentes.

Cupones, regalos, grandes ofertas que te llevan a formularios donde te exigen tus datos incluso bancarios, posibilidad de conseguir emoticonos navideños o el mítico whatsapp oro… En todos estos casos, los ciberdelicuentes no solo quieren nuestro dinero (que les puede llegar, por ejemplo, en forma de suscripciones a servicios premium que desconocemos que estamos aceptando) además, quieren hacerse con los datos personales que tenemos almacenados en nuestros dispositivos móviles, e incluso no descartamos la posibilidad de que en algún momento se utilice un gancho de este tipo para infectar a los usuarios con alguna variante de ransomware para móviles. Otros podrían inducirnos a descargar un códec para ver un vídeo, seguir un link que lleve a una web maliciosa etc. La casuística puede ser muy variada.

Desde las empresas de seguridad podemos detectar páginas maliciosas o detener determinados ataques, pero al final quien está entre la pantalla y la silla es la parte fundamental. Los usuarios también han de tomar un papel activo y responsable en su protección. Si la fuente no parece confiable, no cliques, si te ofrecen un vale de 200 euros en un supermercado, tampoco. Y por supuesto, no contribuyas difundiendo los bulos. Si algo te parece demasiado bueno para ser verdad, con toda probabilidad no lo sea.

Y luego, las empresas

Y luego están las empresas. Sí, esos sitios donde acudimos a trabajar cada día. Los CISO y demás responsables de seguridad, en muchas ocasiones, se rompen la cabeza por intentar securizar su compañía al máximo con los mejores productos de seguridad del mercado pero descuidan esa parte tan importante de la que estamos hablando hoy: la concienciación del usuario. Porque al final las empresas están compuestas por personas y si ese conserje, esa secretaria, ese administrativo o ese CEO (sí ellos/as también son vulnerables) no están concienciados, acabarán pinchando en el archivo enviado por el Príncipe de Zamunda, y eso podría acarrear grandes problemas para la empresa. Más cuanto más pequeña porque, por normal general, descuidan más las copias de seguridad y resto de recomendaciones de seguridad para empresas que aconsejamos desde compañías como ESET.

Y es que las personas son una línea de defensa muy importante frente a las ciberamenazas, y los responsables de seguridad deberían de tenerlo muy presente a la hora de trazar su estrategia y metodologías de seguridad. Nunca están de más los cursos de formación interna o una buena charla con los empleados, no con el objetivo de reprenderlos, sino con el afán de darles los conocimientos que les ayudarán a detectar correos fraudulentos o casos de phishing.