Blog

las personas el eslabón más débil de la ciberseguridad

¿Somos las personas el eslabón más débil de la cadena de seguridad?

Todos conocemos el mantra popularizado por el conocido experto en seguridad informática Bruce Schneier: las personas a menudo representan el eslabón más débil de la cadena de seguridad y son crónicamente responsables de los fallos de los sistemas.

Puede que el año 2000 esta afirmación fuese irrefutable, pero hoy en día algunas neveras son ordenadores que producen hielo para el gin tonic al mismo tiempo que participan en un ataque de denegación de servicio contra Twitter y Spotify.

La idea de que un refrigerador pueda ser pirateado puede parecer sacada de una película distrópica.

Pero el peligro va mucho más allá de que un pirata informático sepa cuántos huevos comemos.

Este aparato con su sistema Android o Tizen, que se  conecta a internet vía wif, puede ser explotado para formar parte de una botnet.

Y la mayoría de veces incorporar en estos dispositivos un módulo de plataforma segura (TPM) no es una prioridad para el fabricante debido a que no es rentable.

¿Si los humanos somos el eslabón más débil, eso significa que el resto de la cadena (hardware, software etc) es más robusta y más segura?

Podríamos decir que esto no es exacto.

  • Por ejemplo Microsoft, por cortesía de Windows Update, nos brinda parches de seguridad para su sistema operativo.
  • Lo hace con los célebres Patch Tuesdays: una singular tradición que hace que el segundo martes de cada mes podamos acceder a las últimas actualizaciones de seguridad.
  • Esto significa que con el paso del tiempo se van descubriendo vulnerabilidades que ya venian incluidas dentro del software.

Lo mismo puede aplicarse a todos los programas instalados en un dispositivo, incluido el propio dispositivo.

Nos pasamos todo el tiempo parcheando vulnerabilidades (lo que los desarrolladores llaman eufemísticamente, actualizar) y es el mecanismo principal que tenemos para mantener nuestros sistemas seguros.

Imaginémos por un momento que somos fabricantes de coches, y tenemos que decirle a nuestros clientes que si quieren conducir de forma segura, deben reparar su automóvil prácticamente cada quince días.

Pero si mientras tanto ocurre un accidente: ¿tacharíamos a los conductores de negligentes?

Una pieza de software con vulnerabilidades no corregidas es una puerta abierta a los exploits.

Si nos tomamos la molestia de leer el acuerdo de licencia para el usuario final (EULA), casi todos los programas que instalamos en nuestros dispositivos, vienen con una cláusula que exime al desarrollador de toda responsabilidad por los posibles problemas derivados de la ejecución y el uso de su software.

Muchas de estas cláusulas por su complejidad y longitud disuaden a los consumidores de leerlas, lo que refuerza perversamente sus infames atributos.

Son lentejas, las tomas o las dejas.

Si quieres utilizar un software tienes que instalarlo tal cual viene, sin poder matizar sus términos de uso, ni pedir responsabilidades si tu sistema se ve comprometido porque el programador ha escrito mal el código, o ha implementado una puerta trasera.

En este caso:¿Somos los usuarios el eslabón más débil de la cadena de seguridad? ¿O somos víctimas de la mala praxis la industria?

No todos somos expertos en lenguaje de programación para poder revisar el código fuente de un programa, y aunque lo fuésemos, tampoco podríamos.

Aplicar ingeniería inversa a una pieza de software (excepto si es libre o de código abierto) implica cometer un delito contra la propiedad intelectual.

El factor humano: ¿el mayor riesgo para la seguridad informática en las empresas?

Aunque las organizaciones protegen constantemente sus activos digitales de los atacantes, la incómoda verdad es que muchas veces la mayor amenaza son las herramientas que utilizan para las tareas cotidianas.

Muchas todavía usan Windows 7 que dejó de recibir soporte en enero de 2020 y, para empeorar las cosas, este sistema operativo solo admite versiones de Internet Explorer descontinuadas, que son utilizadas por muchas empresas como navegador predeterminado incluso en sus Intranets.

La razón principal es que sus necesidades operativas y la dependencia de programas que no son compatibles con Windows 10, hacen que la migracion a otra versión del sistema operativo resulte cara y complicada.

Pero es bien sabido que Microsoft ya no envía más actualizaciones de software para este sistema operativo ni tampoco parches de seguridad.

También que Internet Explorer 11 para Windows 10 es la única versión que está recibiendo (de momento) soporte por parte de Microsoft.

Apuntalar un sistema operativo obsoleto, junto con un navegador vulnerable, es similar a intentar frenar una enfermedad degenerativa con homeopatía.

Y ante estas malas prácticas los empleados poco pueden hacer, ya que la mayoría ni siquiera tienen los privilegios necesarios para instalar Mozilla Firefox en sus terminales con Windows 7.

En cualquier caso, todas las empresas son objetivos potenciales de ataques de malware y violaciones de datos.

A los piratas informáticos no les importa su modelo de negocio o la cantidad de empleados. Solo se preocupan por sus datos y no se detendrán ante nada para tenerlos en sus manos.

Y no acostumbran a complicarse la vida: el correo electrónico sigue siendo su principal vector de ataque.

Indudablemente es mucho más fácil engañar a un profesional mediante ingeniería social para obtener acceso a los archivos confidenciales de una empresa, que intentar instalar un rastreador de paquetes en una LAN interna.

También es mucho más complicado conseguir acceso root para infectar con ransomware un servidor basado en Linux, que ocultarlo dentro de un archivo adjunto a un correo electrónico con la esperanza de que un empleado lo ejecute.

Basta con enviar al departamento comercial una factura con un archivo PDF adjunto que al ser abierto propagará el malware por la red de la empresa como si fuese la peste.

Y no hay que olvidar que cuando pasamos muchas horas trabajando en tareas repetitivas delante de un ordenador, los comportamientos como hacer clic en enlaces o abrir archivos, pueden llegar a automatizarse.

¿Esto significa que los empleados siempre tienen la culpa?

No necesariamente: la infame desconexión entre las personas y la seguridad tiene mucho más que ver con las políticas dentro de una organización.

Si bien puede haber empleados que actuen con negligencia y hasta incluso con mala fe, la mayoría de ellos asumirán que ya están protegidos mediante los procedimientos establecidos por su departamento de TI.

Es por ello que ignorarán las repercusiones que puede tener abrir por inercia un archivo adjunto a un correo electrónico, o el papel que podrían desempeñar sin saberlo en una brecha de seguridad.

No se trata de imponerles limitaciones absurdas, como por ejemplo no tener privilegios de usuario para instalar un navegador web, con el que posiblemente se sentirán más cómodos a la hora del desempeño de sus funciones.

Tampoco de implementar un régimen sancionador asociado al incumplimiento de las normas en materia de seguridad informática.

El problema es que si no están bien informados, inevitablemente se producirán incidentes.

Y no basta con la típica presentación de 20 minutos mediante PowerPoint.

Esta información debe proporcionarse en un lenguaje sencillo y entendible, libre de tecnicismos que impidan una comprensión clara de los conceptos, pero sin sacrificar su precisión.

Pero las empresas rara vez invierten en educar a su personal sobre los peligros de la ingeniería social, el malware y los ataques dirigidos que podrían surgir todos los días durante la jornada laboral.

La tecnología puede filtrar la mayoría de las amenazas, pero ni el mejor antivirus del mundo evitará que un profesional facilite a un tercero su contraseña de acceso a la red, si cae en la trampa de la llamada teléfonica supuestamente procedente del departamento de informática.

Tampoco evitará que un villano recopile información corporativa utilizando la página web de la empresa, y junto con los datos de un directivo obtenidos de su perfil de LinkedIn, perpetre un ataque de phishing dirigido, mediante un correo electrónico casi personalizado.

La redes sociales profesionales y personales son un hervidero de información sobre personas y empresas.

En lugar de confiar solamente en el departamento de TI, las empresas deberían ofrecer programas de capacitación y educación para garantizar que los empleados puedan identificar y prevenir las amenazas de seguridad.

Las personas, son la primera línea de defensa y deben ser vistas como unos activos valiosos y una parte fundamental de la solución: no como un riesgo más.

¿Qué piensas?

¡Envianos tus comentarios!

También te puede interesar
Qué es un ataque de fuerza bruta

Qué es un ataque de fuerza bruta

Un ataque de fuerza bruta es básicamente un método de prueba y error para...

Riesgos de seguridad en el Internet de las cosas

Riesgos de seguridad en el Internet de las cosas

Si bien la mayoría de personas son conscientes de la importancia que tiene la...

Qué pueden saber los ISP sobre nosotros

Qué pueden saber los ISP sobre nosotros

Los proveedores de servicios de Internet (ISP) pueden ver los sitios web que...

Defiendete contra la piratería de Wi-Fi

Defiendete contra la piratería de Wi-Fi

Piratear Wi-Fi es mucho más habitual de lo que la mayoría de la gente piensa.Las...