El concepto de “ciberseguridad” abruma a muchas personas y a menudo se considera responsabilidad exclusiva de los equipos de seguridad. Pero los ciberdelincuentes no hacen distinciones entre cargos ni equipos. Atacan a empleados con acceso a datos sensibles de cualquier departamento y nivel, a menudo antes de que los equipos de seguridad tengan tiempo de investigar el ataque. Por lo tanto, a nadie deben sorprender estas palabras de la National Cybersecurity Alliance (NCA):
“Es fundamental que los equipos de seguridad fomenten buenos hábitos de ciberseguridad, encuentren formas de despertar el interés de los usuarios y les inculquen la idea de que desempeñan un papel activo en la seguridad de la organización”.
Este año, el kit del mes para la concienciación en ciberseguridad de Proofpoint coincide con los temas principales de la NCA para 2022 y tiene como objetivo familiarizar a sus usuarios con diversos tipos de ciberamenazas. Al equiparles con herramientas para identificar, resistir y denunciar amenazas, esperamos que pueda promover buenos hábitos de ciberseguridad y crear una línea de defensa más fuerte en su organización.
Antes de profundizar en los temas de este año, debemos analizar por qué es importante y necesario concienciar en materia de seguridad.
¿Por qué es importante concienciar en materia de seguridad?
Los ciberdelincuentes prefieren atacar a usuarios antes que a infraestructuras porque les resulta más fácil y rápido engañar a personas que penetrar en un firewall o hackear una cuenta. Inevitablemente, alguna amenaza logra atravesar el gateway de correo electrónico. Y cuando eso ocurre, los usuarios deben ser capaces de reconocer las amenazas y saber cómo responder para reducir la probabilidad de que el ataque tenga éxito.
La formación para concienciar en materia de seguridad incluye ejemplos de amenazas reales, enseña a los usuarios qué hacer cuando se enfrentan a una amenaza, contribuye a generar buenos hábitos de ciberseguridad y evalúa cómo aplican los usuarios lo que aprenden en situaciones del mundo real.
A fin de ayudarle a prepararse mejor para el mes de concienciación en ciberseguridad, Proofpoint ha seguido las directrices de la NCA y ha incluido los temas siguientes en el kit de este año:
- Uso de la autenticación multifactor (MFA)
- Creación de contraseñas seguras
- Actualización del software
- Identificación y denuncia de phishing
Proteja sus cuentas con MFA
En la mayoría de las cuentas es necesario que el usuario autentique su identidad de varias formas para asegurar que solo él pueda acceder a su información y sus sistemas. Algunos ejemplos de opciones de MFA habituales son el empleo de contraseñas adicionales, una llave física (un dispositivo USB), los identificadores biométricos (por ejemplo, huellas dactilares, voz) o una ubicación GPS en el dispositivo.
Figura 1. Estas imágenes son ejemplos de formas habituales de MFA para iniciar sesión en cuentas de Microsoft en la nube (imágenes por cortesía del sitio de información sobre autenticación de Microsoft Azure Active Directory).
Los ciberdelincuentes saben lo útil y frecuente que ha llegado a ser la MFA y han encontrado maneras de obviarla utilizando “ataques por fatiga” o “bombardeo de MFA” cuando tienen acceso a las credenciales de una persona. En este caso, los agresores envían por teléfono o correo electrónico varias notificaciones push o mensajes emergentes para la autenticación MFA. Esperan que el usuario se canse de introducir sus credenciales y simplemente “acepte” una solicitud falsa de MFA para no recibir más mensajes.
Para mantener sus cuentas seguras, tenga cuidado con las solicitudes inusuales de MFA en sus dispositivos y desconfíe si recibe muchas en poco tiempo. Acepte solicitudes de MFA únicamente cuando intente iniciar sesión en sus cuentas y configure alertas en sus dispositivos para estar informado de cualquier actividad sospechosa.
Aunque parezca engorroso introducir varios códigos, análisis biométricos o identificadores por huella dactilar, configure la MFA en todas sus cuentas y tómese el tiempo necesario para verificar qué le piden los mensajes de MFA legítimos. Todo ello puede contribuir a la seguridad de sus datos y garantizar que reciba siempre una notificación si alguien intenta comprometer su cuenta.
Cree contraseñas seguras y actualice el software con regularidad
A veces es difícil recordar las diferentes contraseñas de todas las cuentas en las que iniciamos sesión a diario y, por lo tanto, puede ser tentador utilizar las mismas contraseñas en múltiples plataformas. Sin embargo, los ciberdelincuentes suelen utilizar sitios web de código abierto diseñados para introducir una cadena de caracteres aleatorios en una cuenta con la esperanza de “adivinar” la contraseña correcta.
Las contraseñas no seguras facilitan a estos sitios que finalmente acierten la combinación. Además, si se utiliza la misma contraseña en varios sitios, aumenta la probabilidad de que los agresores comprometan varias cuentas una vez que descubren la contraseña. Si se crean contraseñas seguras con una combinación de caracteres, símbolos y números es más difícil que los hackers consigan acceder.
La imagen siguiente muestra la diferencia entre una contraseña segura y una no segura:
Figura 2. La contraseña no segura no combina diferentes caracteres ni usa letras mayúsculas. Además, incluye una fecha de nacimiento, lo que los sitios web de código abierto pueden adivinar con facilidad. La contraseña segura incluye una mezcla aleatoria de caracteres y palabras.
Enseñe a sus usuarios las buenas prácticas de creación de contraseñas con nuestro kit gratuito de concienciación sobre contraseñas.
Otro factor que contribuye a la protección de la información es instalar en los dispositivos las actualizaciones de software. Los equipos de seguridad se esfuerzan por identificar los errores que requieren parches. A veces, si no se controlan, estos errores pueden crear vulnerabilidades en el software. Aunque durante la instalación de las actualizaciones de software el ordenador funcione con más lentitud o haya que reiniciarlo, lo que interrumpe la tarea que se esté realizando, es importante asegurarse de utilizar la versión más reciente para “cerrar la puerta” a los agresores que intentan acceder a sus dispositivos y sus cuentas.
Esté atento a los ataques de phishing en el lugar de trabajo y en casa
Actualmente, con el teletrabajo, utilizamos varios dispositivos y todo parece prioritario, por lo que es fácil distraerse y hacer clic en enlaces maliciosos. Ser capaz de identificar un ataque de phishing y saber cómo denunciarlo puede ayudar a los compañeros a evitar caer ante estas tácticas y prevenir vulneraciones.
Los mensajes de correo electrónico de phishing adoptan diferentes formas, evolucionan constantemente y hacen uso de tácticas de ingeniería social para resultar atractivos a los usuarios. Por ejemplo, a principios de este año, varias campañas de phishing aprovecharon la conmoción provocada por el conflicto Rusia-Ucrania y enviaron mensajes de correo electrónico fraudulentos solicitando ayuda económica y donaciones.
Recaudación de fondos fraudulenta para un sitio web de ropa para Ucrania, con fines lucrativos
Figura 3. La imagen anterior muestra un mensaje de correo electrónico fraudulento que, con el pretexto de recaudar fondos, intentaba recabar datos bancarios aprovechando el incentivo emocional de apoyar a Ucrania con la compra de ropa.
Si dispone de una solución de formación para concienciar en materia de seguridad que enseñe a los usuarios a afrontar amenazas reales, aumentan las probabilidades de que estos denuncien el próximo mensaje de phishing que reciban y pongan de su parte para proteger el resto de la organización.
Cómo utilizar el kit del mes para la concienciación en seguridad de Proofpoint
La concienciación y la aplicación de los conocimientos por parte de usuarios son fundamentales para reducir los riesgos de ciberseguridad. Para ayudar a sus empleados a desarrollar conductas de seguridad positivas, hemos reunido una selección de recursos gratuitos que fomentan el uso correcto de la MFA, la creación de contraseñas seguras y las actualizaciones periódicas de software. También ofrecemos formación para ayudarles a no dejarse engañar por el phishing y otros timos de ingeniería social. Hemos dividido el kit en un programa de cuatro semanas que incluye:
- Semana 1 (inicio): Reconocimiento del valor de la concienciación en seguridad y familiarización con la MFA
- Semana 2: Uso de contraseñas seguras
- Semana 3: Actualización del software
- Semana 4: Reconocimiento y denuncia de phishing
Utilice la “guía inicial” para redactar los mensajes semanales de la campaña y ayudar a sus usuarios a considerarse parte del equipo de seguridad.
Paso siguiente: descarga del kit
La concienciación en materia de seguridad nos afecta a todos, no solo a los equipos de seguridad. Además, todos nuestros actos tienen el potencial de ayudar a proteger la organización a largo plazo, pero también a ponerla en peligro. Para protegernos online, es importante mejorar nuestros hábitos de ciberseguridad, permanecer alerta al más mínimo indicio de comportamiento sospechoso y adoptar las medidas oportunas frente a una amenaza.
Descargue y utilice el kit del mes para la concienciación en ciberseguridad de Proofpoint y visite nuestro portal de concienciación en ciberseguridad para obtener consejos y trucos que ayuden a sus usuarios a convertirse en guerreros de la ciberseguridad y protegerse online tanto en el trabajo como en casa.