"Las personas son el nuevo perímetro, pero la tecnología debe liderar y proporcionar las primeras líneas de ciberdefensa"
Fernando Anaya, country manager para Iberia de Proofpoint.
Empresas de todo el mundo, incluyendo el 75% de la lista Fortune 100, confían en las soluciones de seguridad de Proofpoint para detener amenazas, proteger sus datos y hacer que su gente sea más resiliente a los ciberataques. Y esto último es muy importante, porque son las personas quienes dan mayores oportunidades de éxito a los ciberdelincuentes. Centrándose en los usuarios, Proofpoint ha elaborado su informe anual El factor humano, de cuyas conclusiones nos habla su country manager, Fernando Anaya, además de la importancia del canal en la estrategia de la compañía.
1. ¿Demuestra vuestro informe 'El factor humano' que las personas siguen siendo el eslabón débil de la ciberseguridad?
Sí, los datos de este estudio respaldan algo que defendemos desde bastante tiempo, y es que para que un ataque tenga éxito es necesario que intervenga el usuario. De hecho, el Foro Económico Mundial señala que el 95% de los problemas de ciberseguridad se debe a errores humanos. Por todo ello, los ciberdelincuentes aprovechan constantemente las noticias o temas más de actualidad, junto con la suplantación de identidad de personas y marcas, para solicitar una acción que abra camino al malware o consiga que la víctima entregue sus contraseñas, información financiera... Esto se hace principalmente a través de correos electrónicos de phishing que, al fin y al cabo, suponen una baja barrera de entrada para los atacantes, pero con la que obtienen un retorno de alto valor. Son ataques muy fáciles de crear, requieren pocos conocimientos técnicos y, lo que es más importante, van directamente al destinatario, que no es consciente de los motivos ocultos que hay detrás.
2. ¿Y por qué pasan tan inadvertidos los ataques para los usuarios?
Parte de ello se debe por la falta de concienciación sobre seguridad, algo que se ha agravado desde que la pandemia obligó a la gente a trabajar a distancia durante mucho tiempo y a depender más de aplicaciones de trabajo colaborativas y redes sociales. En esos momentos no contaban, por ejemplo, con la posibilidad de recurrir a un compañero que estuviese cerca para verificar si un correo era legítimo. Por eso, aunque estas circunstancias han hecho que los empleados estuviesen más atentos a posibles amenazas, seguían careciendo de los conocimientos necesarios para protegerse. Según una encuesta que hicimos a CISOs de todo el mundo, el 56% todavía considera que el error humano es la mayor vulnerabilidad de su organización, pero en el último año solo la mitad de las organizaciones ha aumentado la frecuencia de la formación en ciberseguridad para sus empleados. Del otro lado, los ciberdelincuentes han mejorado mucho las técnicas de ingeniería social para sus ataques, aprovechando acontecimientos de la vida real a fin de obtener una respuesta inmediata y emocional, como en el caso de la guerra de Ucrania. Vemos asimismo que los atacantes emplean en sus amenazas una combinación de emails, llamadas e interacciones para que la víctima crea que esa comunicación es veraz. Incluso, los ciberdelincuentes han conseguido hacerse con servicios de Microsoft y Google para dar mayor sensación de legitimidad y difundir fácilmente sus ataques.
3. ¿Qué otras conclusiones sacáis de este último año que recogéis en vuestro informe?
Como siempre, hemos analizado tres de los principales aspectos de riesgo de los usuarios: vulnerabilidades, ataques y privilegios. Para ello, hemos recopilado uno de los mayores conjuntos de datos sobre ciberseguridad que existen actualmente, compuesto por más de 2.600 millones de mensajes de correo electrónico, 49.000 millones de URLs, 1.900 millones de archivos adjuntos, 28,2 millones de cuentas cloud, 1.700 millones de mensajes de móvil, entre otros, que analizamos cada día. Esto nos permite saber cuál es la naturaleza de los ciberataques en la actualidad en torno a las personas como nuevo perímetro de seguridad de las organizaciones. Al respecto, en el último año los ciberdelincuentes han aumentado los ataques dirigidos a teléfonos móviles, ya que suelen contener claves personales y profesionales de los usuarios, por lo que no tienen que hackear nada, sino simplemente conectarse; dentro de empresas, los directivos y ejecutivos, pese a ser menos en número, sufren los ataques más graves; o la relación cada vez más estrecha que existe entre los grupos de ciberdelincuentes especializados en malware y ransomware. Con todo esto, se demuestra una vez más que la protección de las personas frente a las amenazas es un reto enorme y continuo.
4. Dado que son los empleados quienes están en el punto de mira de los atacantes, ¿qué áreas necesitan reforzar las organizaciones en su estrategia de seguridad?
El primer paso para que funcione un programa de seguridad dirigido a los usuarios es que las organizaciones aprovechen las herramientas de las que disponen. Los CISOs tienen que mirar entre su cartera de proveedores y productos para ver dónde dedicar recursos, aprovechar la información y tomar así decisiones más inteligentes sobre posibles riesgos. Realmente, lo que buscan los responsables de seguridad es, sobre todo, conocimiento que sirva para proteger a su gente.
5. ¿No suelen inclinarse primero por soluciones meramente tecnológicas en detrimento de programas más centrados en las personas?
Ambos aspectos no se excluyen mutuamente, ya que existen soluciones tecnológicas que abordan directamente las amenazas centradas en las personas. Proofpoint ha anunciado hace poco una serie de innovaciones de este tipo para abordar las necesidades de seguridad y cumplimiento de la normativa de los trabajadores actuales, cada vez más dependientes de cloud y distribuidos. Las organizaciones deben encontrar formas de aprovechar la tecnología para resolver problemas a escala, antes de que un usuario humano se vea obligado a ponerse en primera línea. No podemos esperar que los individuos sean la única protección contra ataques de grupos organizados. Las soluciones tecnológicas deben liderar esa protección y proporcionar las primeras líneas de defensa. Es fundamental conocer quiénes son las personas más atacadas dentro de una empresa (VAP o Very Attacked People), así como educar a todos los usuarios para garantizar que puedan identificar una amenaza y denunciarla. Además de esto, por supuesto, recomendamos una defensa tecnológica multicapa en el gateway del correo electrónico, cloud y endpoint, junto con protocolos de autorización de correo electrónico, como DMARC y SPF, para autenticar la validez de cualquier mensaje enviado desde su dominio y evitar que la organización sea suplantada.
6. ¿Cuál es el papel del canal en la venta de soluciones tecnológicas de seguridad?
Los partners del canal son clave para proteger a las organizaciones ante un panorama de las ciberamenazas en constante aumento y evolución. Deben centrarse en ayudar a las empresas a replantearse sus inversiones en seguridad para adecuarse a ataques que, como decíamos, se dirigen principalmente a las personas y no a la infraestructura, a fin de que empleados, aplicaciones y datos estén a salvo más allá del perímetro tradicional. La estrategia de seguridad tiene que ser una combinación de tecnología y personas, integrando además una formación eficaz de concienciación sobre la seguridad para detener unas amenazas cada vez más especializadas y de ingeniería social. En Proofpoint vendemos principalmente nuestras soluciones de ciberseguridad bajo suscripción anual a través de partners. Para nosotros, es fundamental incorporar más recursos con los que ofrecer oportunidades significativas de negocio para ellos y, de esta forma, generar demanda tanto entre clientes actuales como potenciales. Esto se traduce en una serie de iniciativas, que hemos desarrollado dentro de la región de EMEA, de apoyo a distribuidores y partners, como un portal web con funcionalidades optimizadas para nuestra comunidad. A través de una integración con Salesforce, somos capaces de gestionar la relación con nuestros partners de la mejor manera, agilizando su incorporación, automatizando tareas, ofreciendo mejores informes y cuadros de mando, así como una experiencia personalizada, entre otras ventajas. Y seguiremos comprometidos con el canal invirtiendo en la especialización de los partners en formación y concienciación sobre ciberseguridad, junto con protección de la información, para que toda esa experiencia les permita integrar nuestras soluciones plenamente en su oferta tecnológica.