Factor humano: ¿cómo combatir al eslabón más débil en la cadena de la ciberseguridad?

Por en Seguridad

Más allá de los rimbombantes ciberataques, existe un factor -más silencioso- que está repercutiendo permanentemente en las finanzas y operaciones de las empresas. Conversamos con expertos para saber qué hace la industria para solucionarlo.

Fin de año, época de resúmenes y proyecciones múltiples. Una tendencia de la cual no escapa la industria de la ciberseguridad, que año tras año ve nuevas formas de ataques maliciosos y mejores técnicas de los ciberdelincuentes.

Sin ir más lejos, según el Reporte Anual de Ciberseguridad de Cisco 2018, más de la mitad de los ataques resultaron en pérdidas financieras de más de US$500 mil dólares para las empresas.

El viejo y conocido problema

Pero más allá de las mediáticos o rimbombantes campañas de los ciberdelincuentes, existe un factor algo más silencioso que está repercutiendo permanentemente en las finanzas y operaciones de las empresas, el enemigo interno que pueden representar los mismos empleados o usuarios, el factor humano. No se trata de una mala intención necesariamente, sino de convertirlos en víctimas y cómplices a la vez, al exponer sus datos o accesos para los criminales.

Ghassan Dreibi, quien se desempeña como responsable regional de Seguridad de Cisco, comentó con AETecno en el marco del reciente Cisco Live! celebrado en Cancún: “Tenemos un dato que revela que el 70% de las amenazas o de las brechas de seguridad ocurren por errores internos, por un clic o algo que se propagó: puede ser una amenaza, una pérdida de datos, varias cosas, pero ¡es mucho!”

Según Dreibi esto ocurre porque generalmente no se usa la seguridad de forma ideal, sino como un “add on”, un aditivo, donde a la red o la computadora le vamos agregando un antivirus, bajamos sistemas, o por cada amenaza, agregamos otro producto o programa. Por el contrario, el directivo brasileño aclara: “Seguridad tiene que ser por diseño, hecho en cada operación, hecho pensando que el usuario no es un ingeniero, que va a cometer errores y si va a cometer errores hay que tener niveles de contención, de remediación”.

En esta misma tendencia, el último reporte de seguridad de ESET reveló que casi un 16% de las empresas encuestadas de Latinoamérica fueron víctimas de un ataque de ingeniería social; es decir, aquellos ataques en que a partir de un engaño a la víctima, esta ejecuta un código malicioso o brinda su información en un formulario o a través de algún correo electrónico.

Cecilia Pastorino, Security Researcher de ESET Latinoamérica, explica: “La mayoría de estos engaños van mutando con el tiempo, por eso decimos que son difíciles de erradicar porque por más que se eduque a los usuarios, los atacantes van cambiando la forma y las técnicas para engañar”.

Un ejemplo de esta mutación es el Black hat SEO, un ataque que posiciona a sitios web fraudulentos entre los primeros resultados de los buscadores y así en vez de enviar un correo o sitio falso, lo ponen en el buscador, y el usuario cuando quiere buscar algo, le aparece ese sitio. “También evolucionaron los ataques homográficos, que es cuando reemplazan caracteres de otros idiomas y hacen al sitio web falso muy parecido al original, como con  letras del alfabeto cirílico que se parecen a las del alfabeto latino”, señala Pastorino, quien advierte además que las certificaciones https y de candado en los sitios tampoco son una garantía de seguridad a estas alturas, pues los sitios falsos también los incluyen.

Ante tal panorama, Stephen Schmidt, VP and Chief Information Security Officer de Amazon Web Services, sostuvo durante el reciente AWS re:Invent en Las Vegas:  “El eslabón más débil en la seguridad computacional es a menudo el humano y no es porque lo sean intencionalmente, sino porque los humanos tienden a ir a sitios en la web que no deberían, phishing emails y otras cosas como esas, así que esa es absolutamente la mayor debilidad”.

Para Pastorino, de Eset, “lo más difícil de erradicar en seguridad es que el usuario no sea víctima de este tipo de engaños”. Por eso se apunta tanto a combatirlo “con muchísima educación, información y obviamente instalando soluciones de seguridad en los dispositivos para que la herramienta lo prevenga”.

Sin embargo, un aspecto a destacar es que los investigadores concuerdan en que por más campañas o cursos de concientización y educación que se puedan hacer en una empresa, siempre hay una tasa fija de empleados que caen en estos engaños y exponen vulnerabilidades para sus compañías. ¿Qué está haciendo la industria para paliar esta situación?

Menos exposición, más automatización

“Uno de los focos para abordar esto es reducir drásticamente el acceso de los humanos a los datos.¿Qué quiere decir drástico en este caso?  En este contexto significa una reducción del 88% al acceso de los humanos a los datos”, revela Schmidt de AWS. Ante el asombro de su audiencia, agrega: “Podría haber una reducción del 10%, lo cual sonaría razonable; es como quitar a una persona en una mesa donde habían diez. Pero eso no es lo que quiero. Lo que quiero es impulsar la automatización. Al hablar del 80% tienes que saber desarrollar herramientas para hacer cosas que los humanos solían hacer”.

Para Ghassan Dreibi de Cisco, el asunto no pasa por quitar opciones o acceso a los usuarios porque sí, pues esto nunca va a funcionar dado que el usuario no acepta que le quiten recursos, pero sí concuerda con automatizar cosas como sistemas por aplicaciones más simples de autenticación. “Creo que la palabra sacar acceso, nunca va a funcionar porque el usuario siempre busca algo, pero sí automatizar los principales procesos sin duda es correcto. Hoy en día es cada vez más fácil hacerlo. Es posible con aplicaciones con automatización tener esas formas muy transparentes, muy tranquilas. Eso funciona bien”, señala Dreibi.

En el marco de estos recursos tecnológicos para combatir el factor humano asoman soluciones que integren precisamente herramientas inteligentes, capaces de adaptarse. Ignacio Perrone, Research Manager Latin America de la consultora Frost & Sullivan ve un enfoque innovador con el uso de machine learning. Dado que el malware de hoy es dinámico por naturaleza, no es posible hacer frente a los ataques emergentes con las soluciones tradicionales. “La ventaja del machine learning es que "aprende" lo que es normal, y con base en la experiencia sigue aprendiendo y prediciendo. Este enfoque es más efectivo a la hora de identificar nuevos ataques que el sistema nunca antes vio”.

A eso agrega: “Además, hay un beneficio de escala. Lo que a un equipo humano le llevaba dos días, por ejemplo, con machine learning se puede lograr en un día, pero además como el sistema sigue aprendiendo, lo que llevaba un día luego llevará 20hs, luego 12hs, y así. Esto implica respuestas más rápidas, mayor eficiencia y menor costo”.

Para Perrone, el factor humano sigue siendo el eslabón más débil, por lo que sugiere que hay que buscar herramientas que detecten las potenciales amenazas y alerten a los usuarios, como forma de hacer más visible la amenaza y bajar su impacto. Una idea que comparte Dreibi, quien, refiriéndose a los productos de seguridad para adoptar, comenta: “Deben ser aquellos que te agreguen visibilidad, para que sepan más temprano cuando esto ocurre. Lo que impacta a las empresas hoy en día es el tiempo en que la amenaza queda por ahí sin ser conocida, entonces cuanto más temprano recibe la información, mejor para él”.

Stephen Schmidt ha materializado estas ideas en AWS. El directivo explica que todos sus recursos vienen con políticas de control, por defecto cerradas. Pero pasa que a veces los clientes los abren a internet y no los cierran apropiadamente, lo que resulta en que otros puedan ver sus datos. “Por esto que muchos clientes nos piden que hagamos más obvio cuando se estén subiendo a internet, así que hace unos meses empezamos a poner un banner grande rojo en la pantalla cuando lo abres: “¿Realmente quieres hacer esto?” Luego lanzamos un servicio que te permite establecer políticas como que esto nunca debe ser expuesto en internet”.

Finalmente, John Stewart, Vicepresidente sénior y Director de Seguridad en Cisco, quien destacó como uno de los speakers en Cisco Live Cancún reconoce que “con la sofisticación que utilizan los adversarios, es difícil saber si se debe hacer clic en un enlace o abrir un archivo adjunto cada vez. La gente es solo un tercio de las personas, los procesos y la tecnología, donde las dos últimas están diseñadas para ayudar a reforzar la primera”. Y aunque a veces se ve a la tecnología como la respuesta universal, Stewart lo descarta, apuntando que estos tres elementos son necesarios para el éxito.

En una visión más global, el directivo de Cisco concluye: “Las organizaciones necesitan una cultura de seguridad, comenzando en la junta o directorio, pasando por los rangos ejecutivos y luego integrándose en el mismo tejido operacionalmente. Esa cultura representa el aspecto más crítico y, si se hace bien, permite todos los demás pasos”.

Comentarios