Durante las últimas semanas, hemos conocido ciberataques a importantes organizaciones, que mediáticamente han puesto en tela de juicio el nivel de la ciberseguridad que existe en nuestro país, sin embargo, estos episodios están lejos de ser una realidad poco común, no solo en Chile, sino que a nivel mundial. Es más, cada minuto se produce alguna vulneración y es muy probable que nunca estemos 100% preparados para evitarlas, ya que los ciber atacantes cambiaron, en su mayoría son millenials, ocupan herramientas automatizadas, con técnicas de ataque masivos y en parte son personas expertas y entrenadas.
La Ingeniería Social es una de las estrategias más utilizadas por los ciberdelincuentes para engañar y manipular a las personas, sin que estas se den cuenta, con el objetivo de obtener información, por lo general credenciales, para robar datos y luego publicarla o instalar algún software malicioso (virus, malware, ransomware).
Los engaños mutan de acuerdo a la situación actual, pero a pesar de la sofisticación, las tácticas siempre son las mismas. Hoy estamos mucho más conscientes que un correo electrónico puede ser malicioso, pero si ese mismo aviso nos lo envían por redes sociales tendemos a volver a confiar y caer en el engaño.
Este punto es clave para entender por qué este tipo de acciones son tan comunes. Las personas componen la primera línea de defensa de una organización y, sin embargo, son ellas el principal vector de ataque, por lo que si no están capacitadas difícilmente van a poder cumplir ese rol.
Por ello, es indispensable invertir más en educación, formación y capacitación y la realidad es que las empresas no lo están haciendo, aún sabiendo que las personas son las responsables del 85% de las infracciones en ciberseguridad. Se ha invertido mucho en tecnología y en procesos, pero el factor humano no ha sido la prioridad y es necesario reducir esta brecha.
Hoy las áreas de ciberseguridad deben pensar en las personas y en los temas psicológicos, y sociológicos que experimentamos, sobre todo, tras la pandemia. No considerar esto sería un error, porque la seguridad no depende exclusivamente de la tecnología, de hecho, cada vez depende menos de ella, ya que son las personas finalmente las que toman las decisiones y manejan las plataformas y un error derivado de un engaño, puede terminar perjudicando a toda una organización pública o privada, poniendo datos e información crítica en manos de ciber delincuentes.
Sin duda, la diferencia entre ser más o menos vulnerable y el nivel de impacto que el ataque pueda generar en una organización, es la educación, capacitación y entrenamiento continuo de quienes componen una empresa y la inversión consciente en ciberseguridad.
