Ciberriesgo en modelos híbridos de trabajo, ¿Cómo medirlos y gestionarlos?
Marzo 2023
Ciberriesgo en modelos híbridos de trabajo, ¿Cómo medirlos y gestionarlos?
El factor humano continúa siendo el vector de ataque más atractivo para los ciberdelincuentes. Ningún sector vertical de negocios, tamaño de empresa o área geográfica ha resultado inmune y de hecho, se ha atacado el factor humano en entornos profesionales y personales. Los ciberdelincuentes no discriminan a sus víctimas, ya que los ataques elaborados de forma minuciosa se dirigen a las personas mientras trabajan o disfrutan de alguna actividad, durante el día o la noche y a través de varios tipos de ingeniería social.
Prevenir parece ser la consigna y sólo es posible creando conciencia entre los usuarios para que sean ellos quienes detecten, protejan e informen las acciones sospechosas antes de que sea demasiado tarde y que los sistemas se vean comprometidos.
Con la llegada de COVID-19 y la alerta pandémica, la rutina laboral tuvo que ser modificada, haciendo del home office una nueva normalidad para muchos. Sin embargo, a dos años de ella, ahora se plantea un escenario distinto y es la realidad post-pandemia: una combinación de trabajo remoto y asistencia esporádica a la oficina.
Si bien el teletrabajo ha disminuido respecto del tiempo que se utilizaba en pandemia, las modalidades híbridas o flexibles llegaron para quedarse. Una tendencia que reflejó un masivo estudio realizado en seis países de Latinoamérica, entre ellos Chile, por WeWork, junto a la proveedora de reclutamiento permanente, Michael Page.
El sondeo, que contó con más de 8.000 entrevistas a profesionales en Latinoamérica, reflejó cómo han evolucionado en estos meses las tendencias de nuevos hábitos, así como las prioridades, demandas y valores de los profesionales que enfrentaron el desafiante período de la pandemia. El estudio, llamado “Más allá de la revolución híbrida: La paradoja del trabajo flexible en Latinoamérica”, arrojó que si antes de la pandemia el 84% de los encuestados en Chile trabajaba de forma presencial, hoy el 74% lo hace bajo el esquema híbrido.
Esta realidad ha obligado a las compañías a robustecer sus sistemas informáticos y particularmente su ciberseguridad, dado que los colaboradores se encuentran más expuestos a ataques de ciberdelincuentes. Si los equipos ya no trabajan exclusivamente en la oficina dentro de la red corporativa protegida, no sólo aumenta el riesgo de ciberataques, sino también el esfuerzo de IT para dar soporte.
Mientras las oficinas cuentan con medidas de seguridad muy complejas, la situación es diferente en una red doméstica. Si un computador portátil se conecta a una red Wi-Fi pública en una cafetería, por ejemplo, sin suficientes medidas de seguridad y datos envíados en formato no cifrado, podría permitir a los ciberdelincuentes acceder a información sensible y contraseñas con facilidad. Según estudios, los modelos de trabajo híbridos aumentan la dependencia de las herramientas de comunicación digital. Para los ciberdelincuentes, esto ofrece las condiciones óptimas para los ataques de phishing o ransomware por la exposición a la tecnología.
El phishing, por ejemplo, tiene como objetivo obtener información privada sensible, como contraseñas o datos de tarjetas de crédito, y puede realizarse a través de correos electrónicos fraudulentos (spoofing), mensajería instantánea, mensajes de texto (smishing) o pesca de voz (vishing).
Asimismo, en la mayoría de los casos, los colaboradores pueden acceder fácilmente a datos de la empresa con smartphones o tablets personales. Estos dispositivos suelen utilizarse en entornos inseguros, y los datos privados y empresariales pueden mezclarse. Como resultado, las precauciones de seguridad en tecnología no son suficientes y por lo tanto, TI no tiene control sobre los datos privados y las aplicaciones de los usuarios, sólo por razones de protección de datos. Sin embargo, las empresas deben garantizar que las medidas de seguridad puedan seguir cumpliéndose, especialmente cuando los empleados utilizan aplicaciones como Facebook o WhatsApp en dispositivos finales que también se utilizan para fines empresariales.
Lo anterior demuestra la importancia que adquiere la capacitación en materia de ciberseguridad, siendo los propios colaboradores los principales agentes de defensa ante posibles ataques.
Gustavo Radovic, gerente general de Human Secure indica: “Los responsables de la seguridad continúan invirtiendo solo en tecnología y arquitectura de seguridad sofisticadas sin tomar en consideración una práctica recomendada comprobada para reducir la vulnerabilidad principal: capacitación en concientización sobre seguridad en conjunto con frecuentes pruebas simuladas de ingeniería social. Este enfoque no sólo contribuye a aumentar el nivel de preparación de las personas para combatir los ciberdelitos, sino también sienta las bases fundamentales con el fin de promover una cultura de la seguridad sólida en toda una organización”.
De hecho, según el informe de evaluación comparativa de phishing (suplantación de identidad) por industria realizado por Verizon el año 2022 la hiperconectividad de las últimas décadas aumentó el panorama de las actividades cibernéticas y el objetivo de los ciberdelincuentes.
Cada usuario, empresa y gobierno es un blanco y, por lo tanto, la seguridad debe considerarse como una inversión de recursos importante y de alta prioridad. Debido a varios factores técnicos y financieros, los ciberataques pueden pasar desapercibidos, pero ciertas acciones ofensivas pueden representar graves amenazas y generar considerables pérdidas económicas. “Los cálculos de las pérdidas financieras que causan los ciberataques aumentan año a año. Según el Informe de ciberseguridad en Latinoamérica de Statista, el mercado de la ciberseguridad en Latinoamérica se avaluó en casi 12.900.000.000 USD en 2019. Se espera que esta cifra supere los 25.000.000.000 USD en 2025. Brasil, México y Colombia aparecen como los países más atacados por ciberdelincuentes. En conjunto, estas tres naciones representan casi nueve de diez de los ataques registrados en Latinoamérica.
En este sentido, Gustavo Radovic explica: “Todas las organizaciones están en un grave riesgo si no cuentan con una capacitación en concientización sobre seguridad actual y cualquier organización puede reforzar la seguridad en algunos meses si capacita al usuario final”.