El factor humano lleva años siendo el talón de Aquiles de la ciberseguridad. Lo preocupante es que, lejos de fortalecerse, esta debilidad se agrava en un entorno laboral cada vez más digitalizado y descentralizado. Así lo alerta la compañía de ciberseguridad Proofpoint en un comunicado emitido este martes, donde explica cómo los ciberdelincuentes están aprovechando las nuevas herramientas de colaboración para ampliar su radio de acción y hacer de cada usuario una potencial puerta de entrada a las organizaciones.
Según señala, aunque el correo electrónico sigue siendo el principal vector de ciberamenazas, los ciberdelincuentes están explotando cada vez más las plataformas de mensajería, las aplicaciones en la nube y los servicios de intercambio de archivos. "Esto ha creado un panorama de seguridad fragmentado con productos puntuales desconectados, lo que resulta en costes operativos más altos y brechas de seguridad cada vez mayores", advierten los investigadores de Proofpoint.
Cómo operan los ciberdelincuentes en el actual entorno de trabajo digital
De acuerdo con el comunicado, los grupos de ciberdelincuencia funcionan de forma muy similar a las empresas: son pacientes, organizados y cuentan con una amplia experiencia. No buscan golpes rápidos, sino que juegan a largo plazo, sabiendo que una cuenta comprometida puede brindarles acceso a sistemas sensibles, datos financieros y redes corporativa. Generalmente, se dirigen a empresas cuyos empleados, socios y clientes se comunican y colaboran a través de múltiples canales, como Slack, Teams, SMS y Zoom, lo cual no es nada extraño en el entorno laboral actual.
El primer paso de los atacantes es seleccionar cuidadosamente a la víctima. Para ello, rastrean redes sociales, ofertas de trabajo o registros normativos para trazar la estructura de esa organización e identificar al usuario objetivo, preferiblemente alguien con cierta autoridad y acceso a datos.
Una vez elegida la víctima, crean mensajes personalizados aparentemente legítimos en los que apelan a la urgencia de realizar una determinada acción pulsando sobre un enlace, que se disfraza de documento seguro, pero que en realidad redirige a los usuarios a una página maliciosa. Si la víctima accede y facilita sus credenciales –por ejemplo, en una página fraudulenta de inicio de sesión de Microsoft 365– los atacantes consiguen acceso a su cuenta sin levantar sospechas.
Con ese acceso inicial, los ciberdelincuentes pueden evadir controles de seguridad, moverse lateralmente dentro de la red, escalar privilegios, robar datos o incluso hacerse pasar por la víctima para engañar a otros empleados, solicitando pagos urgentes por email. Y si es descubierto, en muchas ocasiones puede permanecer más tiempo dentro de la red, crear nuevos métodos de autenticación, añadir su propio dispositivo como inicio de sesión de confianza, o utilizar la cuenta comprometida para controlar otras cuentas internas. "Aquí es donde fallan muchos equipos de seguridad: pueden detectar un inicio de sesión malicioso, pero sin un análisis de comportamiento más profundo no pueden ver el alcance completo del ataque. De este modo, se quedan un paso por detrás del atacante", subraya Proofpoint.
En esta línea, sus expertos instan a las organizaciones a reevaluar su estrategia de ciberseguridad si no están deteniendo las amenazas antes de que lleguen a los empleados a través de cualquier canal digital, si el personal no está preparado para reconocer ciberamenazas o si no son capaces de detectar cuentas comprometidas antes de que causen daños importantes.
Un enfoque holístico centrado en las personas
En su comunicado, la compañía de ciberseguridad también aboga por la adopción de un enfoque holístico centrado en prevenir al máximo las amenazas centradas en las personas, tanto actuales como emergentes. Su recomendación es implementar una solución combinada de protecciones de ciberseguridad que incluya mecanismos de detección precisa de la más amplia variedad de amenazas, sistemas de protección de cuentas basados en IA, herramientas contra el phishing y suplantaciones de identidad, automatización de controles seguridad adaptables, así como una gestión activa de riesgos de los usuarios y programas de formación específicos que capaciten a los empleados para tomar decisiones seguras al enfrentarse a ciberamenazas.