Muchas empresas europeas no están preparadas para hacer frente a los ciberamenazas de la ingeniería social
Blue Coat Systems ha presentado los primeros resultados de una encuesta sobre los comportamientos on line (uso de smartphones, correo y redes sociales) de los empleados en tres de los principales países de Europa (Alemania, Francia y Reino Unido).
Estos resultados muestran hasta qué punto, la mayoría de las empresas no se encuentran debidamente preparadas y pueden llegar a ser víctimas desprevenidas frente a las amenazas, cada vez más sofisticadas, que presenta la ingeniería social, es decir, la obtención de información personal a través de las redes sociales, pudiendo llegar frecuentemente a ser utilizada como vía de entrada de amenazas avanzadas en las redes corporativas.
El estudio online muestra los comportamientos arriesgados de los empleados, haciéndoles muy vulnerables ante los ataques. Así, en Gran Bretaña, el 54% de los participantes reconocieron que conectaría con extraños en las redes sociales, y el 56% reconoció que no había establecido ningún criterio de privacidad en sus redes sociales. Estos porcentajes se mantienen muy similares en Alemania, con el 57% y el 60% respectivamente, incrementándose en Francia de manera significativa, hasta alcanzar el 64% y el 69%.
Estas cifras deberían alertar a los responsables informáticos y a los directivos sobre los riesgos que pueden suponer para las empresas.
En recientes ciberataques, informaciones básicas han servido para resetear las claves de acceso a los medios sociales, permitiendo a criminales, hacktivistas, o incluso agentes de potencias extranjeras, acceder a informaciones confidenciales y sensibles, susceptibles de poner en peligro la reputación de las marcas y de comprometer los activos de las empresas.
Ciertos grupos de individuos participantes en este estudio, se han mostrado más sensibles que otros sobre las materias de seguridad sobre las redes sociales.
Asuntos de género
Las empleadas que utilizan las redes sociales son más conscientes de las ciberamenazas y se preocupan más por revisar los parámetros y controles de confidencialidad, limitando el acceso o la consulta de su perfil completo sólo a determinadas personas. SI examinamos los distintos países en los que el estudio ha tenido lugar, vemos como en todos ellos la diferencia entre mujeres y hombres es favorable a las primeras, con una mayor brecha en Francia (36% y 27%), creciendo en Alemania (42% y 38%), y alcanzando la mayor diferencia en Gran Bretaña (52% frente al 36%).
Pero a pesar de que las mujeres son mucho más cuidadosas en lo relativo al respeto de su privacidad en las redes sociales, la encuesta muestra que siguen siendo igual de vulnerables. En efecto, el 10% de las empleadas francesas declaran que utilizan el nombre de una mascota para recuperar on line sus palabras de paso, frente a tan sólo el 4% de los hombres. Algo parecido sucede en los otros países europeos. Así, en Gran Bretaña el 12% de las empleadas utilizan este tipo de pregunta frente al 5% de los hombres. En Alemania observamos la misma tendencia, aunque con una diferencia menor (7% de las mujeres y 4% de los hombres).
Todas las generaciones cometen errores
Más de la mitad de la Generazión Z, aquellos nacidos después de 1990 y con edades comprendidas entre los 18 y 24 años (FR 50%, AL 49% y RU 62%), toman medidas efectivas de precaución sobre quién accede sus datos sociales a través de las aplicaciones móviles, y verifican la identidad de todo desconocido antes de aceptar toda petición de contacto. Pero por otro lado, este mismo grupo de edad tiene tendencia a compartir más informaciones profesionales sobre estos soportes. Pero en el otro extremo, la encuesta revela que entre los 45-54 años (una edad en la que se suelen encontrar normalmente los cuadros directivos de las empresas y, por tanto, susceptibles de ser los objetivos de los ciberataques), verifican mucho menos las peticiones de desconocidos antes de aceptarlos (FR 34%, AL 29% y RU 33%).
Carencia de formación
Sorprendentemente, todavía un empleado de cada 5 (FR19%, AL 14% y RU 18%) reconoció no haber recibido nunca formación sobre seguridad informática en su empresa actual. El Reino Unido se sitúa a la cabeza, con un modesto 10% frente al 7% de Alemania y al 6% de Francia, a la hora impartir formación en las empresas de forma habitual. Y a pesar de que los ataques que utilizan la ingeniería social son cada vez más complejos, sólo el 6% de los empleados franceses y británicos (la cifra desciende al 4% de los alemanes) habrían recibido formación y recomendaciones sobre cómo poder enfrentarse al phishing o suplantación de personalidad, una de lás técnicas de ataque más comunes.
Para Hugh Thompson, director técnico y vicepresidente sénior de Blue Coat, “Esta encuesta demuestra cómo los empleados pueden llegar a ser las pasarelas de acceso a los sistemas de las empresas. Cuanto más se divulguen en las redes sociales informaciones personales o profesionales, más se puede aprender de ellas, lo que incrementa el riesgo de ser víctimas de la ingeniería social. A medida que las amenazas son cada vez más graves y complejas, las empresas deben tomar medidas de seguridad, incluyendo formación, para comprender mejor los hábitos y comportamientos de los empleados y así poder proteger mejor las empresas”.