En el último reporte de seguridad (ESET Security Report Latinoamérica 2017) el Perú quedó en el segundo lugar en cuanto a incidentes de tipo phising, con un 16.6 % de incidentes, después de Ecuador que tiene un 20.9 %. Nos sigue México con un 16.1 %.
El problema es que este tipo de incidente de seguridad es producido por los empleados, que abren archivos o enlaces sin mayor responsabilidad.
En el interesante artículo “Los empleados tienen bajo IQ cibernético y desconocen nociones básicas de seguridad”, publicado en welivesecurity.com muestra los resultados de una encuesta hecha a empleados de empresas, donde el 50% mencionó que “era seguro abrir cualquier correo en su computadora”, el 62% de los encuestados también respondió que sólo completó algún tipo de entrenamiento porque era “requerido”, es decir solo por obligación. Esta situación demuestra la razón por la que les es muy difícil que consideren involucrarse en la protección de la información de la empresa, poniendo en riesgo su propia identidad digital.
Si a esto le sumamos que en Europa solo el 20% de las empresas está preparada para cumplir con las próximas regulaciones referidas a la ley de protección de datos personales, según IDC. Nos lleva a pensar que tenemos frente a nosotros dos elementos muy importantes que juegan contra la seguridad: las empresas que no están preparadas y que cuentan con empleados poco conscientes sobre temas de seguridad. Dos frentes que nos obligan a tomar una actitud más proactiva en términos de educación, tanto para los empleados como para los empresarios.
Para empezar, recomendaría a quienes amablemente me sigue en la lectura y que estén interesados en aumentar su IQ CIBERNETICO a descargar:
https://www.welivesecurity.com/wp-content/uploads/2013/11/guia-empleado-seguro-eset.pdf
Para el caso del phishing, debo añadir que para quienes ya han recibido un correo del banco pidiendo actualizar sus datos o de una aerolínea conocida diciéndoles que les regalaría pasajes, esperen recibir un correo de “su jefe” pidiéndoles que revisen Urgente el documento que les adjunta. El phishing ha evolucionado y se ha convertido en Spear Phishing, que es un ataque más sofisticado donde el atacante (phisher) simula ser una persona o empresa de confianza, agregándole un nivel muy alto de credibilidad. Este tipo de ataque puede utilizar no solo el email, sino también los sistemas de mensajería electrónica e incluso llamadas telefónicas, solicitando a la víctima información sensible.
Ya sea un correo o enlace de redes sociales “regalando pasajes de avión” o productos conocidos a precios increíbles, los delincuentes cibernéticos continuaran haciendo gala de los más ingeniosos cuentos, utilizando los elementos que disparan algunas veces nuestras acciones: curiosidad y codicia.
Las amenazas son parte inherente a este mundo, nunca cambiaran. El robo de dinero o valores, más las amenazas a nuestra privacidad, nuestra información o hasta suplantarnos (robo de identidad). son temas con los cuales tendremos que luchar siempre.
La tecnología evoluciona continuamente. Redes de información colaborativas como LiveGrid, lleva a la nube (cloud) los acontecimientos de seguridad que enfrentan cada usuario, cada empresa que usa la soluciones de ESET en tiempo real alrededor del mundo (big data), mediante el aprendizaje automatizado (machine learning) no solo detecta amenazas, sino que es posible contrarrestarlas.
Esto se suma a un equipo de personas que están permanentemente vigilantes de los eventos de seguridad, y nos hacen sentir muy tranquilos que en un equilibrio perfecto máquina-hombre, seguiremos luchando contra el cibercrimen.
Insisto, es momento de elevar tu IQ cibernético: edúcate, infórmate y comparte.