Concientizaciòn a usuarios

Iniciamos este  2024 bien vale el esfuerzo de  pensar qué incluir en los programas de ciberseguridad.

Debemos considerar  lo siguiente:

Phishing

El fraude por correo electrónico comercial (BEC), que aprovecha los mensajes de phishing dirigidos, sigue siendo una de las categorías de ciberdelincuencia con mayores ganancias. Se trata de un delito basado fundamentalmente en la ingeniería social, normalmente engañando a la víctima para que apruebe una transferencia de fondos corporativos a una cuenta bajo el control del estafador.

Las estafas de phishing siguen siendo una de las formas más exitosas para que los atacantes instalen malware, roben credenciales y engañen a los usuarios para que realicen transferencias de dinero corporativas. ¿Por qué? Debido a una combinación de tácticas de suplantación de identidad que ayudan a los estafadores a hacerse pasar por remitentes legítimos y técnicas de ingeniería social diseñadas para apresurar al destinatario a actuar sin pensar primero en las consecuencias de esa acción.

Estas tácticas incluyen:

• Identificadores de remitentes/dominios/números de teléfono falsificados, a veces utilizando  nombres de dominio internacionalizados (IDN)
• Cuentas de remitentes secuestradas, que a menudo son muy difíciles de detectar como intentos de phishing
• Investigación en línea (a través de las redes sociales) para hacer que los intentos de spearphishing dirigidos sean más convincentes
• Uso de logotipos, encabezados y pies de página oficiales
• Crear una sensación de urgencia o emoción que apresure al usuario a tomar una decisión
• Enlaces acortados que ocultan el verdadero destino del remitente
• La creación de portales y sitios web de inicio de sesión de aspecto legítimo

El phishing como tal existe desde hace décadas, pero sigue siendo uno de los principales vectores de acceso inicial a las redes corporativas. Gracias a la distracción de los trabajadores remotos, los criminales tienen aún más posibilidades de lograr sus objetivos y sus están cambiando. Los ejercicios de concienciación sobre el phishing deben actualizarse en consecuencia y las simulaciones en vivo pueden ayudar realmente a cambiar los comportamientos de los usuarios.

Para 2024, considere incluya contenidos que concienticen sobre phishing a través de aplicaciones de texto o mensajería(smishing), llamadas de voz (vishing) y nuevas técnicas como la omisión de la autenticación multifactor (MFA).

Las tácticas específicas de ingeniería social cambian con mucha frecuencia, por lo que es una buena idea asociarse con un proveedor de cursos de formación que mantenga actualizado el contenido.

Seguridad en el trabajo remoto e híbrido

Los expertos llevan tiempo advirtiendo de que los empleados son más propensos a ignorar las directrices/políticas de seguridad, o simplemente a olvidarlas, cuando trabajan desde casa. Un estudio reveló que el 80% de los trabajadores admiten que trabajar desde casa los viernes en verano les hace estar más relajados y distraídos, por ejemplo. Esto puede exponerles a un mayor riesgo de peligro, especialmente cuando las redes y dispositivos domésticos pueden estar peor protegidos que los equivalentes corporativos. Y aquí es donde deben intervenir los programas de formación con consejos sobre actualizaciones de seguridad para portátiles, gestión de contraseñas y uso exclusivo de dispositivos aprobados por la empresa. Esto debería ir acompañado de formación sobre phishing.

Además, el trabajo híbrido se ha convertido en la norma para muchas empresas. Según un estudio, el 53% de ellas cuenta ya con una política al respecto, y esta cifra seguramente irá en aumento. Sin embargo, desplazarse a la oficina o trabajar desde un lugar público tiene sus riesgos. Uno de ellos son las amenazas de los puntos de acceso Wi-Fi públicos, que pueden exponer a los trabajadores móviles a ataques de intermediario (AitM), en los que los piratas informáticos acceden a una red y espían los datos que viajan entre los dispositivos conectados y el router.

Otro de los riesgos son las amenazas de los "gemelos malvados", en los que los delincuentes crean un punto de acceso Wi-Fi duplicado que se hace pasar por uno legítimo en una ubicación específica.

También existen riesgos menos “tecnológicos”. Las sesiones de formación pueden ser una buena oportunidad para recordar a los empleados los peligros de la navegación clandestina.

Protección de datos

Las multas del GDPR aumentaron un 168% anual hasta superar los 2.900 millones de euros (3.100 millones de dólares) en 2022, ya que los reguladores tomaron medidas enérgicas contra el incumplimiento. Esto supone un argumento de peso para que las organizaciones se aseguren de que su personal sigue correctamente las políticas de protección de datos.

La formación periódica es una de las mejores formas de tener presentes las buenas prácticas en el tratamiento de datos. Esto implica el uso de un cifrado seguro, una buena gestión de las contraseñas, el mantenimiento de la seguridad de los dispositivos y la notificación inmediata de cualquier incidente al contacto pertinente.

El personal también puede beneficiarse de una actualización en el uso de la copia oculta (CCO), un error común que conduce a fugas involuntarias de datos de correo electrónico, y otra formación técnica. Y siempre deben considerar si lo que publican en las redes sociales debe mantenerse confidencial.

Los cursos de formación y concienciación son una parte fundamental de cualquier estrategia de seguridad. Pero no pueden funcionar de forma aislada. Las organizaciones también deben contar con políticas de seguridad herméticas aplicadas con controles y herramientas sólidas, como la gestión de dispositivos móviles.