El viejo adagio "una cadena es tan fuerte como su eslabón más débil" se utiliza frecuentemente en discusiones sobre ciberseguridad, y no podría ser más adecuado. En el ámbito cibernético cada eslabón está representado por un empleado individual, lo que significa que existen muchos potenciales puntos débiles que los atacantes pueden investigar. Y de hecho lo hacen permanentemente. Lamentablemente, el cambio de manera masiva hacia el trabajo remoto durante la pandemia convirtió un problema de larga data en un desafío aún mayor para los equipos de ciberseguridad.
Ahora que las organizaciones están más preparadas para implementar un modelo híbrido que combina trabajar unos días desde casa y otros días en la oficina para la mayoría de los empleados, los desafíos del trabajo remoto es algo que ya no se puede ignorar. Simplemente porque lo que está en juego es demasiado importante.
El potencial impacto de una amenaza interna
Aunque las amenazas internas son un problema creciente, el mayor problema está relacionado con empleados negligentes o descuidados. Los seres humanos son los que hacen clic en los enlaces, crean contraseñas, configuran sistemas de TI y programan software. Lo que significa que son propensos por naturaleza a cometer errores y que pueden ser manipulados mediante ingeniería social. Por lo tanto, es natural que representen un riesgo cibernético central para las organizaciones y una gran oportunidad para los actores de amenazas. En un hipotético mundo libre de errores humanos, es difícil imaginar que exista una industria de ciberseguridad que valga los 156.000 millones de dólares estimados en la actualidad.
¿Cómo contribuye el error humano al riesgo de seguridad? Vale la pena destacar algunas estadísticas.
- El factor humano estuvo presente en aproximadamente el 85% de las brechas que ocurrieron en 2020, según Verizon
- Casi el 19% de las brechas involucraron "varios errores"
- En aproximadamente el 35% de las brechas estuvo involucrada la ingeniería social
- Los ataques de phishing aumentaron un 11% entre 2020 y 21
- Casi 2.000 millones de dólares se perdieron el año pasado en ataques del tipo Business Email Compromise (BEC), en cual los usuarios son engañados para que envíen fondos corporativos a estafadores
- Los dispositivos perdidos representan una amenaza importante pero que no está cuantificada. Más de 1.000 dispositivos fueron perdidos o robados de los departamentos gubernamentales del Reino Unido solo en 2020.
El impacto financiero de todas estas amenazas es muy debatido. Sin embargo, un reporte reciente afirma que una brecha interna significó para las organizaciones a nivel global un costo promedio cercano a los 11.5 millones en 2019 y esta cifra aumentó 31% con respecto a 2017.
Cómo los actores de amenazas se dirigen a los trabajadores remotos
Con la pandemia llegaron nuevas oportunidades para dirigirse a los empleados. Casi de la noche a la mañana, las organizaciones pasaron de sistemas de TI centralizados protegidos con políticas, procesos y tecnología probados a tener a la mayoría de su fuerza laboral distribuida. Los empleados no solo usaban redes y dispositivos domésticos potencialmente inseguros, sino que también pueden haber estado más distraídos por la vida en el hogar, especialmente aquellos que tenían compromisos de cuidado infantil. Incluso aquellos que no sufren tener que estar más aislados, el escenario hizo que sea más difícil poder verificar con colegas o el personal de TI cualquier correo sospechoso.
El estrés también puede haber tenido un papel importante aquí, aumentando el riesgo interno. Según un informe de ESET producido el año pasado con los especialistas en psicología empresarial The Myers-Briggs Company, el 47% de los encuestados estaban algo o muy preocupados por su capacidad para manejar el estrés durante la crisis. Los empleados estresados pueden ser más propensos a entrar en pánico y hacer clic en un enlace malicioso, o a no informar al equipo de TI acerca de un posible incidente, advirtió el informe. Las largas horas de trabajo pueden tener un efecto similar. Datos oficiales de la Oficina de Estadísticas Nacionales del Reino Unido revelaron que en 2020 los teletrabajadores estuvieron en promedio cinco horas más sentados frente al escritorio que sus colegas trabajando en la oficina.
Pero el informe de ESET tuvo hallazgos más preocupantes, que incluyen:
- Los CISO reportaron que el delito cibernético aumentó un 63% desde que comenzaron los confinamientos
- Aunque el 80% de los encuestados aseguró que contaba con una estrategia de trabajo remoto, solo una cuarta parte dijo que era efectiva.
- Alrededor del 80% dijo que el aumento del riesgo cibernético causado por factores humanos es un desafío.
- El 80% de las empresas dijo que el aumento del riesgo de la ciberseguridad por factores humanos planteaba algún tipo de desafío.
Junto con el phishing, otras amenazas alrededor del trabajo híbrido incluyen:
- Secuestro del RDP, el cual es cada vez más utilizado por los actores de ransomware. Esto es posible por el uso de credenciales débiles o que fueron previamente comprometidas
- Sistemas sin parches (por ejemplo, VPN, computadoras portátiles)
- Wi-Fi y/o dispositivos inteligentes de uso doméstico sin contraseñas seguras
- Uso compartido de los dispositivos, donde los convivientes de los empleados o sus hijos utilizan estos dispositivos para visitar sitios riesgosos y descargan involuntariamente software potencialmente malicioso
Cómo proteger el trabajo híbrido
Con un regreso parcial a la oficina, es de esperarse que algunos de estos desafíos retrocedan. Menos estrés y aislamiento puede que tengan un impacto positivo en los esfuerzos por reducir los riesgos. Pero también existe la posibilidad de que los trabajadores lleven consigo algunos malos hábitos aprendidos durante la etapa de confinamiento, o incluso algún malware escondido entre sus dispositivos. El transporte de computadoras portátiles entre el hogar y el trabajo también puede aumentar el riesgo de dispositivos perdidos o robados.
Sin embargo, hay cosas que los equipos de seguridad pueden hacer para minimizar los riesgos asociados a este modelo de trabajo híbrido. Por ejemplo:
- Exigir el uso de la autenticación multifactor (MFA) para todas las cuentas y dispositivos
- Directivas para requerir que se activen las actualizaciones automáticas para todos los dispositivos
- Contraseñas seguras para todos los dispositivos domésticos, incluidos los routers
- Pruebas psicométricas para ayudar a identificar dónde existen debilidades humanas. Esta información podría usarse para desarrollar mejores protocolos de seguridad y hacer que la capacitación sea más personalizada y efectiva.
- Investigación/auditoría estricta de los proveedores y sus capacidades para mitigar las amenazas internas
- Herramientas de prevención de pérdida de datos
- Segmentación de la red
- Restricción de los permisos de acceso bajo el principio de menor privilegio
- Adoptar un enfoque Zero Trust para limitar el daño que pueden causar los incidentes internos
- Modificar la cultura de trabajo para que los que están en casa no se sobrecarguen.
La gestión del riesgo interno consiste en tratar de proteger su eslabón más débil para evitar que sea el causante del compromiso. Con políticas y procesos de mejores prácticas respaldados por la tecnología adecuada, existe la esperanza de un lugar de trabajo híbrido más seguro.