Durante las últimas semanas hemos sido testigos de cómo el cibercrimen se ha vuelto a apoderar de la agenda pública. Y es que los casos de Fonasa y Tesorería General de la República, más allá del impacto mediático que tienen, involucran un factor común: las personas.

En el caso de la institución de salud, alrededor de 250 computadores de funcionarios del servicio fueron infectados en sus sucursales y edificio central, lo que se suma a 25 servidores de Windows, entre ellos, uno que correspondía a información de «utilización operacional para las distintas divisiones de Fonasa», y «los servidores de ‘Active Directory’, lo que significa que la información de los funcionarios (nombres y correos institucionales) también fue comprometida. Fonasa informó, además, que se sustrajeron otros 40 gigabytes de información de sus servidores.

En tanto, la Tesorería tomó conocimiento de una vulnerabilidad asociada a algunos de sus servidores que hospedaban información interna en enero pasado, siendo atacados por un presunto autodeclarado “ciberactivista”, indicando que el impacto sería sustantivo, aun cuando la TGR catalogó el ataque “como un incidente que no afectó la operación de la Tesorería y que los servicios funcionaron normalmente, sin poner en riesgo las finanzas del Estado”. Ambos casos están en etapa de investigación por parte de la Brigada del Cibercrimen de la PDI.

Es una realidad que la mayoría de las organizaciones recurren a la tecnología como método para combatir a los ciberdelincuentes, sin considerar que invertir en la concientización e intervención humana es tanto o más esencial. Según el Informe sobre las investigaciones de violaciones de seguridad de datos de 2022 de Verizon, el 82 % de todos los incidentes de seguridad implicaron el factor humano, lo que da cuenta de cuán vulnerables son las personas.  Y ése factor sí puede marcar la diferencia.

Gustavo Radovic, Gerente General de Human Secure, indica: “La gestión del riesgo humano es la nueva clase de seguridad centrada en el usuario, donde las organizaciones deben poner el foco en su medición a partir del comportamiento de sus colaboradores en el buen uso de las tecnologías de la información, pero principalmente en la prevención como base de la estrategia de seguridad informática”.

¿Qué tienen en común los delitos informáticos? Todos requieren de la presencia del factor humano en ellos. De hecho, más de un 90% de probabilidades de infección en las organizaciones recaen en los mismos usuarios y en su comportamiento anómalo y riesgoso frente a las tecnologías de la información. ¿Cuál es la clave entonces?: Medir, educar, comprometer y monitorear a los colaboradores en aspectos de ciberseguridad no parece ser una alternativa, sino que representa una real necesidad para las organizaciones. “Son los propios colaboradores quienes deben convertirse en los principales agentes de defensa ante esta clase de delitos”, sostiene.

Y agrega: “Un proceso de concientización bien realizado debe concentrarse en cambiar comportamientos, en lugar de informar a sus colaboradores sobre las cosas que desea que sepan. Es necesario generar acciones que impacten constructivamente a los colaboradores con ataques simulados lanzados y pruebas de ciberseguridad teóricas y prácticas en las compañías.

De hecho, en el Estudio de evaluación comparativa de phishing por industria de 2022 se analizó un conjunto de datos de más de 9,5 millones de usuarios en 30.173 organizaciones, con más de 23,4 millones de pruebas de seguridad contra el phishing (PST) simuladas en 19 industrias diferentes. Y los resultados fueron sorprendentes: “Luego de un año de implementar un proceso de capacitación en concientización sobre seguridad en conjunto con frecuentes pruebas simuladas de phishing, las organizaciones de todos los tamaños y todas las industrias mejoraron drásticamente. Las organizaciones que tienen de 1 a 249 empleados siguieron logrando la mayor mejora general, dado que 17 de las 19 industrias obtuvieron una mejora del 85 % o más.

El informe detalla además que en las organizaciones medianas, los índices de mejora fueron buenos, ya que 17 industrias obtuvieron una mejora del 80 % o más y dos de las industrias obtuvieron una mejora apenas por debajo del 80 %. En las organizaciones grandes, en tanto, se observa que existen 14 industrias con índices de mejora que superan el 80 %, las cinco industrias restantes obtuvieron una mejora del 71 % al 79 %. Cuando se analizan todas las industrias y las organizaciones de todos los tamaños, el índice de mejora promedio del 85 % desde las pruebas iniciales a más de un año de capacitación continua y pruebas es evidencia notable para obtener el compromiso a fin de establecer un programa completo de capacitación en concientización sobre seguridad.

Gustavo Radovic  finaliza explicando que “la concientización es un proceso continuo de aprendizaje, teórico y práctico, que debe medirse constantemente para detectar debilidades y prevenir eventos que impliquen pérdidas en términos financieros y reputacionales para las organizaciones”.

En Human Secure hemos identificado los riesgos humanos que se presentan por el mal uso de la tecnología. A través de una metodología probada, minimizamos el impacto de ataques informáticos, cuyo objetivo es reducir las vulnerabilidades a nivel usuario, mejorando sustancialmente su comportamiento digital, disminuyendo así los riesgos en ciberseguridad de las organizaciones.

Human Secure tiene el propósito de transformar a los colaboradores en Agentes de Defensa mediante una plataforma integrada que mide, educa, compromete y monitorea constantemente el nivel de riesgo en el comportamiento digital de los usuarios, anticipando eventos adversos y alertando sobre tendencias peligrosas ante potenciales ataques como phishing, ingeniería social, accesos indebidos, entre otros.

Más información en:

https://cooperativa.cl/noticias/tecnologia/internet/seguridad/tesoreria-general-de-la-republica-y-fonasa-sufrieron-ciberataques-en-el/2023-02-28/171624.html