La formación en ciberseguridad puede ser similar a la de un examen. Primero se aprende algo, y si no se utilizan los conocimientos durante mucho tiempo, se olvidan. Ese podría ser el efecto de la formación en ciberseguridad para los empleados, que tiene lugar una o dos veces al año y luego continúa con presentaciones ocasionales que nadie entiende. Tanto si el nivel de ciberseguridad de tu empresa es menor como mayor, los ciberataques son cada vez más sofisticados. Pero si consigues aumentar la alerta de tus empleados, estos pueden convertirse en uno de los controles de seguridad más eficaces.
¿Te preguntas cómo pensar en nuevas formas de formación de los empleados? Lee nuestra entrevista con el Director de Seguridad de la Información de ESET, Daniel Chromek.
Parece claro que es necesario concienciar a los empleados sobre las ciberamenazas. Sin embargo, muchos empleados siguen siendo incapaces de detectar los ciberataques. ¿Qué impide a las empresas resolver esta situación?
Por lo general, las empresas pueden subestimar la educación en ciberseguridad o mantenerla en el mismo nivel mientras los ciberataques mejoran, evolucionan y cambian con el tiempo. Ya no podemos confiar en las características clave de los correos electrónicos fraudulentos, como la mala gramática o los errores lógicos, para reconocer los ataques. Tanto el contenido como la forma visual de estos ataques son cada vez más sofisticados. No creo que estemos tan lejos del punto en el que mucha gente no sea capaz de distinguir el phishing de los correos electrónicos normales. Además, existe el riesgo de que el vishing sea más frecuente, aunque simular una llamada telefónica desde un número determinado es difícil de realizar en tiempo real. Pero no es difícil coger la voz del director general de YouTube y preparar el vish de antemano para convencer a la gente de que transfiera dinero.
¿Qué pasa con los deepfakes o los sistemas de reconocimiento facial? ¿Afectará también a la forma de los futuros ataques?
Definitivamente. Ya existen deepfakes que son difíciles de distinguir de la realidad, especialmente en el vídeo. Sin embargo, los deepfakes son mucho más difíciles de hacer cuando se utilizan en una interacción en tiempo real, como en una simulación de una videollamada. En general, es más fácil atacar a alguien con un correo electrónico de phishing que contiene texto e imágenes estáticas que con un ataque que requiere una interacción directa con la víctima. No obstante, el impacto en las relaciones públicas de la difusión de deepfakes a través de una red social puede ser un acontecimiento importante en la actualidad.
Por lo tanto, este tipo de ataques aún no se producen.
Hasta ahora, solo he oído hablar de un caso en Francia, donde un grupo de estafadores escenificó una videollamada en la que utilizaron una máscara de silicona para hacerse pasar por un ministro de defensa francés y pidieron a personas y grupos adinerados que apoyaran financieramente una operación gubernamental falsa. Aunque todavía no se trataba de un deepfake generado por ordenador, fue más bien un poco de teatro, cabe esperar que el problema no haga más que empeorar.
¿Cuáles son los obstáculos para enseñar a los empleados a reconocer estos ataques?
Cuando trabajé como consultor de IT hace unos años, me di cuenta de que las empresas suelen pensar en la ciberseguridad como un asunto que automáticamente recae en el departamento de IT. Pero los profesionales de las IT no siempre son capaces de proponer una formación que la gente entienda y esté interesada en ella. Simplemente no es tan fácil como parece. Requiere conocimientos de seguridad, sobre cosas como la suplantación de identidad, la elección de contraseñas, el cifrado, y también conocimientos eficaces de educación para adultos.
¿Crees que los profesionales de la informática deberían trabajar con psicólogos, por ejemplo?
Ciertamente. O con alguien que tenga un título en pedagogía de adultos o que simplemente sepa cómo hacer que cualquier persona recuerde realmente ciertos hechos y cambie algo en su comportamiento. Hoy en día, es posible pagar por diversas formaciones personalizadas. Las empresas más grandes suelen resolver esto trabajando con los departamentos de IT y de RRHH. La clave es encontrar a alguien que pueda transmitir la información a los empleados de forma clara e interesante. Por eso, hoy en día vemos con más frecuencia el enfoque de la gamificación.
¿Consideras que la mayoría de las pequeñas y medianas empresas tienen ya algún tipo de formación para sus empleados?
Sí. La mayoría utiliza al menos una formación básica en ciberseguridad, por ejemplo, la que está disponible en plataformas online. Pero, en mi opinión, hay que hacer más si se quiere construir una cultura de ciberconciencia en la empresa. Cuando se forma a los empleados una vez al año, el resultado es el mismo que con otros tipos de formación: después del "examen", los alumnos olvidan rápidamente lo que han aprendido y vuelven a estar como al principio.
¿Con qué frecuencia debe impartirse la formación?
Con la mayor frecuencia posible. En mi opinión, tiene más sentido dividir la información que hay que transmitir en trozos más pequeños para que los empleados puedan asimilarla. Por ejemplo, utiliza vídeos de 10 minutos que se centren en una sola cosa clave, o que resuman los cuatro principales cambios derivados de las nuevas políticas. A continuación, puedes distribuir estos ejemplos simplificados con regularidad para recordar a los empleados que es importante vigilar las cuestiones de seguridad. Y si hay un intento de ataque en la empresa, puedes trabajar con ello y explicar a los empleados cómo funciona un ataque de este tipo.
Digamos que quiero construir una empresa resistente a los ciberataques desde cero. ¿Qué debería saber cada empleado?
En primer lugar, todo el mundo debe saber qué quiere la empresa de los empleados. ¿Cómo van a utilizar la tecnología proporcionada y qué sanciones les esperan en caso de pérdida o daños? Estas preguntas deben responderse antes de que ocurra algo, idealmente al principio del empleo. Luego hay unos cuantos temas estandarizados que cubren las medidas de seguridad básicas: cómo establecer una contraseña fuerte; cómo utilizar la autenticación de dos factores; y, por supuesto, cómo reconocer los sitios web de phishing y fraudulentos basándose en los elementos característicos y el contenido de los mensajes. Los empleados también deben saber a quién informar de las actividades sospechosas; cómo utilizar el software o los servicios en la nube; qué hacer en caso de ver a personas sospechosas dentro de las instalaciones de la oficina; y cómo utilizar la tecnología de seguridad, como un gestor de contraseñas.
Además, la empresa debe explicar a los empleados que, si reciben un dispositivo móvil de la empresa o un iPad, deben tener cuidado con lo que descargan e instalan en él. Hay muchas aplicaciones móviles fraudulentas, por lo que es importante mostrar a los empleados dónde buscar para verificar una aplicación antes de instalarla. Algo similar se aplica a la instalación de varios programas en un ordenador mientras se trabaja a distancia. Y, por supuesto, el empleado también debe saber a quién dirigirse si ocurre algo. A finales del año pasado, por ejemplo, nos dimos cuenta de que había llamadas falsas de Microsoft: fue una oportunidad para informar a nuestros empleados sobre lo que debían tener en cuenta y por qué ocurría esto.
¿Por qué la dirección de cualquier empresa debería evitar alarmar a la plantilla con las posibles consecuencias personales de los ciberataques?
Porque a los cinco minutos de un incidente de este tipo, los empleados dejan de escuchar y lo único que se les ocurre es que cualquier cosa que hagan saldrá mal y acabará con su despido o con la cárcel. El peligro de crear una mentalidad tan derrotista es que puede hacer que los empleados se rindan desde el principio y piensen que no tiene sentido ser cuidadosos, ya que meterán la pata de todos modos. Por lo tanto, es mejor comunicar positivamente y señalar las amenazas más comunes y mostrar cómo evitarlas, no solo en el trabajo sino también en casa. Todos tenemos personas queridas, y cuando podemos mostrar a los empleados cómo proteger no solo los intereses de sus empleadores, sino también los de sus padres, su cónyuge o sus hijos de determinadas maneras, puede despertar su interés.
A menudo envía cuestionarios a tus empleados. ¿Es la gamificación una buena forma de explicar todo esto a los empleados?
Si se utiliza con prudencia, claro. Si se decide probar la simulación de phishing en una empresa, por ejemplo, hay que pensarlo un poco. El objetivo no es captar al mayor número posible de personas, sino darles la oportunidad de reconocer el phishing y "ganar" derrotando al atacante. Cuando la gente sabe que ha dado el paso correcto y ha sido capaz de denunciar un ataque, se fortalece.
Otro buen ejemplo de gamificación en la formación en ciberseguridad sería una historia de cómic interactiva con vídeos en la que el protagonista realiza diferentes misiones y gana algunos puntos a medida que consigue los objetivos; los jugadores que tengan éxito obtendrán una pequeña recompensa al final.
¿Es así como se crea una cultura de ciberconciencia?
Hemos hablado de todos los pequeños pasos y cosas que ayudan a construirla. Todo el mundo en la empresa debe conocer los aspectos clave de la seguridad, desde los empleados hasta los directivos de nivel C. El objetivo es poder apoyar la seguridad y, por tanto, a la propia empresa. Y cuando todo el mundo lo entienda y se dé cuenta de lo que ocurre a su alrededor, apoyará la capacidad de recuperación de toda la empresa.