El email maldito: por qué los empleados somos los mayores aliados del cibercrimen

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture

Un email puede acabar con todo. Da igual que nuestra empresa se preocupe por la ciberseguridad, da igual que nos haya dado consejos para evitar intrusiones, da igual que se haya gastado un dineral en la tecnología más avanzada… Al final nos llega un email, lo miramos muy por encima, no nos fijamos en los detalles, pinchamos donde no debemos o nos descargamos un fichero adjunto… y ya se ha liado.

La realidad, aunque duela, es evidente: la mayoría de las veces, los empleados somos los mayores aliados del cibercrimen, tal y como hemos comprobado en el capítulo 5 de El Enemigo Anónimo. Casi siempre lo somos de manera involuntaria y otras pocas de manera voluntaria, pero lo cierto es que la mayoría de ciberataques y brechas de seguridad se producen tras un error humano.

Los datos avalan esta realidad. Debajo de estas líneas puedes ver las cifras de tres estudios que lo corroboran: uno es el informe An integrated approach to insider threat protection, de IBM; otro el International Trends in Cybersecurity, de Azure; y el tercero el The Global State of Information Security Survey 2018, de PwC. Ambos sitúan al empleado como la mayor fuente de incidentes de ciberseguridad (PwC mete en la misma categoría a empleados y exempleados).

Sea como fuere, lo cierto es que la forma en que dichos empleados se desenvuelven frente a los posibles ataques preocupa (y mucho) a las empresas. De hecho, según EY, los trabajadores son la mayor vulnerabilidad que puede tener una compañía.

¿Y por qué los empleados iban a ser tan preocupantes? Porque, según el informe de IBM, de los empleados que provocan un ciberataque, el 74,2% lo hace de manera deliberada, siendo totalmente conscientes de ello.

A su vez, IBM establece hasta cuatro tipos de empleados que, voluntaria o involuntariamente, pueden acabar provocando ciberataques (en los nombres otorgados en esta clasificación nos hemos permitido alguna licencia creativa a la hora de traducir):

LOS CUATRO TIPOS DE INSIDERS
1.- El involuntario. No es consciente de lo que está haciendo. Alguien le ha engañado para que se descargue malware o entregue información confidencial. No tiene maldad y es una pura víctima.
2.- El listillo. No tiene intención de perjudicar a la compañía, pero las normas no van con él. Elude los consejos de ciberseguridad porque a él no le van a engañar. Es ese compañero que te dice que no seas pardillo con ese correo de Netflix pero luego chatea en Facebook con una aparente modelo rusa que le pide que encienda la webcam. (Sí, es un poco cuñado.)
3.- El traidor. Sabe de sobra lo que está haciendo y trabaja para el atacante, que puede ser un competidor o cualquier otro agente externo. Ha decidido vender la seguridad informática de su empresa.
4.- El lobo solitario. No ha sido coaccionado ni sobornado por nadie: simplemente ha decidido sacar información. Tiene un cargo privilegiado y está motivado o por pura maldad o por estar en contra de la actividad de su empresa (el mejor ejemplo es Edward Snowden).

¿Qué hacemos mal? De la contraseña regulera a charlar con el enemigo

¿Qué hacemos mal los empleados para dar el pistoletazo de salida (aunque sea de manera involuntaria) de un ciberataque? En realidad nada que no haga casi cualquier usuario normal en su día a día, pero cuando lo hacemos con el correo de la empresa estaremos generando la fórmula para que todo salte por los aires.

«Reutilizamos contraseñas continuamente», nos cuenta Clara García Palacios, de 4IQ, «y seguramente mucha gente esté utilizando su contraseña de cualquier red social en el correo corporativo». Incide en ello Luis Álvarez Satorre, CEO de SIA, una compañía de Indra, quien recuerda que «a todos nos ha pasado que pones una contraseña muy fácil de replicar. Todavía hay gente que deja un ‘psot it’ pegado a su ordenador con el usuario y la password, y te dice ‘Es que si no, me olvido'». Eso es lo que hay que evitar.

Clara García Palacios (4IQ).

Tenemos varios ejemplos de ello. En 2018, una auditoría externa del Gobierno de Australia Occidental reveló que el 26% de los cargos públicos tenía contraseñas débiles o de uso muy común. Entre las más frecuentes, ‘Pasword1234’ (utilizada por 1.464 personas), ‘password1’ o simplemente ‘password’.

No es el único ejemplo. Un informe de Positive Technologies reveló también algunos datos que demuestran que existe un claro problema de formación en ciberseguridad en los empleados, ya que:

  • 1 de cada 3 empleados se arriesga a ejecutar malware en un ordenador de trabajo
  • 1 de cada 7 habla con un impostor y revela información confidencial
  • 1 de cada 10 metió sus credenciales en un formulario de autenticación falso

La joya del crimen: el Fraude del CEO

El phishing es quizá el intento de estafa cibernética más viejo de la historia: ¿quién no se acuerda del príncipe nigeriano heredero de una fortuna o de la millonaria que busca novio con el que disfrutar de su dinero? Sin embargo, aunque este tipo de estafas sigue vigente, hay una especialmente peligrosa en los últimos años: el Fraude del CEO.

Infografía: Europol.

«Hemos tenido muchísimos casos de denuncias y no hemos podido recuperar el dinero, sobre todo en estafas del CEO», nos cuenta Juan Antonio Calles, CEO de Zerolynx, ya que «montan cuentas en paraísos fiscales o en sitios que no colaboran con la justicia». Y lo peor es que la tendencia no hace más que crecer: «Raro es el mes que no nos llaman por 10 ó 12 estafas del CEO», reconoce.

«Montan cuentas en paraísos fiscales. Raro es el mes que no nos llaman por 10 ó 12 estafas del CEO»

Juan Antonio Calles, Zerolynx

Estas estafas son de las que más dinero cuestan a las grandes y no tan grandes empresas. En el gráfico de abajo puedes ver algunos ejemplos, recopilados por knowbe4, de estafas del CEO, el dinero perdido y el recuperado.

Tampoco se queda muy atrás el spoofing, sobre todo por lo sencillo y asumible que es. Según Bromium, por apenas 20 dólares puedes contratar un mes entero de campañas de spoofing por SMS. La facilidad para llegar a este tipo de cibercrimen es tal que, según un estudio de Caida, existen casi 30.000 ciberataques de spoofing al día.

¿Cómo se puede evitar todos estos tipos de casos? Siempre se habla de la concienciación, pero parece un mantra en el que pocos concretan medidas exactas y que, por desgracia rara vez funciona. Y es que «aunque hagas una campaña de concienciación, hay un porcentaje de la población que sigue cayendo«, asegura Daniel González, de Osane Consulting. «Esto es como las estafas de la lotería o del príncipe nigeriano: hay gente que cae y el que cae, cae varias veces, no le vale solo con una».

No, la culpa no es (casi nunca) de los empleados

Llegados a este punto, ¿no estaremos siendo un poco injustos con los empleados? Vale que la mayoría de los ciberataques se desencadena tras el error humano de un empleado, pero ¿acaso es justo ‘culpar’ a alguien que no está especializado en ciberseguridad? Pues quizá no.

Para Yoya Silva, ISO Tower Lead en DXC, «el empleado es el eslabón más débil, pero no debería serlo. Si la empresa está bien protegida, para un ciberatacante debería ser muchísimo más difícil llegar a un empleado cualquiera para poder hacer fraude. Esto debería pararse en alguna capa anterior«.

Yoya Silva (Woman in Cybersecurity Spain, WiCS).

No le falta razón. Si echamos un ojo a los datos veremos que, aunque los empleados podrían ser más cuidadosos, en muchas ocasiones sus empresas no les han ayudado a serlo.

Para empezar, el informe Global Corporate IT Security Risks Survey (ITSRS) de Kaspersky muestra una realidad evidente: el 88% de las compañías españolas afirma haber sufrido algún incidente de seguridad causado por la actuación de sus empleados… pero solamente el 38% ofrecen a su plantilla algún tipo de formación en este ámbito.

El 88% de las empresas españolas ha sufrido ciberincidentes por la actuación de sus empleados… pero solo el 38% les ofrece formación en este ámbito

Y es que muchas empresas son las primeras en culpar a sus empleados de sus ciberataques… a la vez que no protegen su seguridad informática. En 2019, PwC hizo una encuesta a más de 9.500 directivos de empresas de todo el mundo y sacó una peligrosísima conclusión: el 48% de estos ejecutivos reconoció que su empresa no tiene un programa de formación en ciberseguridad para sus empleados.

Por otro lado, otro informe, en este caso elaborado por Azure, muestra otra cifra muy a tener en cuenta: el 57% de las empresas encuestadas están pensándose dar formación a sus empleados, un porcentaje que a todas luces resulta demasiado bajo.

Pero lo grave no acaba ahí. No solo hay un problema de falta de concienciación entre empleados, sino también de reacción ante cualquier incidente: el informe de PwC revela que el 54% de las empresas ni siquiera tiene un proceso de respuesta ante ciberataques.

Y estos son los mimbres con los que los empleados, además de hacer su trabajo diario, deben evitar los ataques que les usan como puerta de entrada. Todo ello en un contexto en el que el 64% de las empresas reconoce haber sufrido un ataque de phishing en el último año y, según Verizon, el 94% del malware enviado en todo el mundo llega a través de correo electrónico.

Pero, ¿cómo puede ser tan efectivo el phishing si las empresas suelen contar con filtros antispam? Comparitech nos da la clave: muchos ciberatacantes consiguen burlar estos filtros. Una de las formas más eficaces de hacerlo es coger la dirección de email de una persona y registrarla en alguna web. Como el correo de confirmación será transaccional no será tratado como spam, así que los ciberdelincuentes incluyen ahí el enlace en el que quieren que pinche la víctima.

¿Es, entonces, simplemente una cuestión de fallos humanos por parte de los empleados? Evidentemente no. Los directivos también fallan y lo hacen en dos direcciones: en primer lugar, no invirtiendo en dar formación en ciberseguridad a sus empleados; y en segundo, asumiendo ellos también riesgos mucho más comprometedores que sus propios subalternos. De hecho, como nos cuenta Daniel Zapico, CISO de Globalia, «los puestos más sensibles de una organización no son los empleados medios, sino precisamente los directivos, ya que los ciberdelincuentes van a por ellos».

«Los puestos más sensibles no son los empleados medios, sino los directivos; los ciberdelincuentes van a por ellos»

Daniel Zapico, CISO de Globalia

Al final, en definitiva, se trata de un problema de muy difícil solución. Y es que, como asegura Zapico, «los ciberdelincuentes saben que el fallo humano existe, es inevitable, y lo que buscan es ese fallo humano. Cuando se insiste de forma masiva en intentar comprometer a través de una persona, antes o después acaba cayendo, es casi inevitable. Al final todas las organizaciones acabamos teniendo algún incidente, en mayor o menor medida, de mayor a menor impacto, con mayor o menor repercusión… pero al final todas tenemos algo. Y los incidentes menores son prácticamente a diario, a todas las organizaciones nos pasa«.

Patrocinador Oro: Kaspersky
Patrocinadores Plata: SIA, Stormshield, Geekshubs,
Tarlogic, Accenture