Los ataques a través de la red están a la orden del día. Casi a diario nos desayunamos con la noticia de un ataque a gran escala (por ejemplo WannaCry) o nos enteramos que un familiar ha sido víctima de un estafa online.
Pero, ¿cómo y por qué se producen estos ataques?
Podemos pensar que la tecnología no es segura, pero la realidad es que el principal factor por el ocurren que estos ataques es el humano. Las empresas incrementan su gasto en ciberseguridad, recurren a la tecnología para tapar las brechas de seguridad, pero el eslabón más débil en ciberseguridad está en el hombre.
De hecho, el estudio Cyber Security Intelligence Index de IBM, asegura que el 95% de los ataques o incidentes en materia de ciberseguridad se debe a fallos humanos.
Y sí, la segunda causa radica en la vulnerabilidad de los sistemas.
Digamos que la puerta de entrada del atacante es el fallo humano, pero su éxito final se produce porque existen vulnerabilidades en los sistemas que facilitan el ciberataque.
Repasemos, pues, los dos motivos que pueden provocar un ataque a nuestras redes.
Factor humano:
Reconozcámoslo, esto de las tecnologías nos ha pillado a todos un poco “en pañales”. La realidad es que todos somos usuarios de la tecnología, pero sólo unos pocos la entienden de verdad. Adicionalmente, a la velocidad a la que todo evoluciona es difícil que simples usuarios puedan conocer las consecuencias de la gran mayoría de sus actos en materia tecnológica.
¿Quién no conoce a alguien que ha picado en una estafa, ha sido víctima de un ataque o infección por virus por haber hecho algo incorrecto o por desconocimiento?
Por tanto, el desconocimiento o desinformación es un primer motivo por el que muchos caen en la trampa de un ataque. Si bien es cierto que tanto empresas como instituciones están haciendo una gran labor para concienciar cada vez más a la sociedad, los usuarios deberían ser los primeros en hacerse responsables de adquirir unos mínimos conocimientos sobre el uso de las tecnologías. En este sentido el INCIBE puso en marcha una herramienta gratuita que permite analizar el nivel de ciberseguridad de las empresa.
Otro factor humano que puede desencadenar un ataque es la divulgación accidental de información confidencial o de privilegios de acceso que permiten obtener información sensible. Por ejemplo, escribir la contraseña en un post-it o dejársela a otra persona para que entre en un sistema es algo más habitual de lo que creemos y una mala práctica que debería ser desterrada para siempre.
También la pérdida o robo de dispositivos, son motivos para que ciberdelicuentes se hagan con información muy valiosa.
Otro escenario que se puede presentar es la acción de un empleado que hace mal uso de sus accesos para obtener información que le sirva luego para sabotear, chantajear o revelar secretos a la competencia.
Todos estos casos se basan en errores humanos, intencionados o no, pero sin un agente externo que lo active. Pero existen otro tipo de acciones que se aprovechan de la psicología para explotar las debilidades humanas y que se conoce como ingeniería social.
La ingeniería social consiste en utilizar técnicas de manipulación de usuarios legítimos para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgos o abusos.
En la ingeniería social interviene más la psicología que la tecnología y, por tanto, no existe ningún sistema informático que nos pueda proteger de un ataque de este estilo. Nuestro comportamiento es predecible y el engaño y la manipulación forman parte de nuestra historia como humanos. Al final, no dejan de ser los mismos timos de siempre pero utilizando nuevos canales y tecnologías.
Hemos dedicado un post completo sobre la ingeniería social, ya que es uno de los elementos más críticos en ciberseguridad.
Vulnerabilidad de tecnologías y sistemas
Existen muchos motivos por los que un sistema o una tecnología es vulnerable, pero el principal es que están desarrollados por humanos y como hemos visto anteriormente, los humanos nos equivocamos con frecuencia.
Por ejemplo, se estima que por cada mil líneas de código en el software comercial hay entre 20 y 30 errores, de los cuales entre 5% y 10% puede derivar en problemas de seguridad. Si consideramos que un sistema operativo llega a tener más de 50 millones de líneas de código, el volumen de fallos es fácilmente calculable.
Tampoco pensemos que los principales sistemas operativos son coladeros, porque en general suelen pasar muchos controles de calidad y seguridad. En este sentido, desarrolladores están constantemente auditando y preparando parches de seguridad para paliar dichas vulnerabilidades.
No obstante, hoy en día existen una amplia variedad de dispositivos que funcionan con software y que son los más expuestos desde el punto de vista de seguridad. Nos referimos a los numerosos dispositivos IoT que cada vez están más presentes en nuestras vidas y que, la mayoría de ellos vienen configurados de serie con poco nivel de seguridad y sus fabricantes se despreocupan de su actualización.
En definitiva, los fallos humanos son los que abren la puerta a los sistemas, y los ciberdelicuentes se aprovechan de las vulnerabilidades inherentes para perpetrar ciberataques.
Por tanto, hay que ser extremadamente cuidadoso con la información de acceso que manejamos a diario, así como con los dispositivos que utilizamos. Hay que mantenerse alerta antes posibles acciones de ingeniería social y tener todos los dispositivos siempre actualizados.
Con estas sencillas pautas se evitarían una gran parte de los ciberataques que se producen habitualmente.