Este año, mientras muchas organizaciones avanzaban hacia la “nueva normalidad” incorporando el trabajo híbrido, sus equipos de seguridad se dedicaban a idear formas creativas de proteger al personal frente a los nuevos tipos de ataques. De hecho, casi la mitad (48 %) de los CISO entrevistados en el informe Voice of the CISO 2022 de Proofpoint declararon que creían que su organización estaba en riesgo de sufrir un ciberataque importante en los próximos 12 meses.
Posiblemente cuando recopile los indicadores que le permitirán analizar el resultado de los programas de formación para concienciar en materia de seguridad que ha implementado a lo largo de 2022, se plantee también cómo formar a sus empleados de manera eficaz en 2023. El kit para concienciar en seguridad “Get Ready for ’23” de Proofpoint le será de gran ayuda, ya que ofrece el equivalente a tres semanas de mejores prácticas sobre ciberseguridad. Además, incluye recursos de formación para mejorar el conocimiento que sus usuarios tienen de las ciberamenazas, lo que les permitirá:
- Evitar ser víctimas de ataques de ransomware.
- Actuar con seguridad cuando teletrabajen.
- Permanecer atentos frente a los engaños de phishing.
Los ataques de ransomware son difíciles de detectar y sus consecuencias pueden ser catastróficas
El ransomware sigue siendo una de las principales preocupaciones para los equipos de seguridad, y con razón. Los atacantes que emplean este método no solo cifran los archivos y la información, sino que también exigen un pago para devolver estos datos. Además, el ransomware puede provocar la paralización de la actividad de las empresas mientras investigan el alcance de los daños. Según nuestro informe 2022 State of the Phish, el 78 % de las organizaciones han sufrido ataques de ransomware en 2021 y casi 15 millones de mensajes de phishing contenían payloads de malware con ransomware que actúa en fases posteriores del ataque.
Aunque los gateways de seguridad del correo electrónico (SEG) están diseñados para bloquear los mensajes maliciosos, los ciberdelincuentes son cada vez más expertos en sortearlos incorporando ransomware en ataques multifase que los gateways tradicionales no siempre consiguen detectar. En este tipo de ataques de varias fases es posible que el archivo adjunto o enlace inicial sea inofensivo, pero en los mensajes se pide a los usuarios que interactúen con varios recursos o hagan clic en distintos enlaces, y será esto lo que acabe provocando la infección con ransomware. Por este motivo, su detección es prácticamente imposible.
Una vez que un ataque de ransomware consigue atravesar el gateway y llegar a la bandeja de entrada de un usuario, este debe estar suficientemente informado para poder identificar el mensaje como malicioso, determinar la medida que debe aplicar y contar con el tiempo y la motivación necesarios para aplicar buenos hábitos de ciberseguridad. Por eso es fundamental que aplique un enfoque de la seguridad muticapa, con el fin de garantizar la mejor protección para sus empleados. Solo con la combinación de defensas y protocolos de seguridad, así como formación de los usuarios finales podrá garantizar la seguridad de su empresa.
Como profesional de la seguridad, debe asegurarse de que sus usuarios conozcan los peligros del ransomware y sepan cómo vigilar estos ataques para contribuir a mantener a salvo la empresa. Los usuarios deben saber sin titubear cómo actuar ante un ataque de ransomware, de manera que respondan rápidamente, aunque estén distraídos, tengan montones de mensajes que examinar o consulten el correo electrónico cuando están cansados.
El teletrabajo exige protección para evitar riesgos personales y profesionales
Hoy día muchos empleados trabajan desde casa durante buena parte de la semana. Si bien estos teletrabajadores han dedicado tiempo y recursos a montar su oficina doméstica de manera que sea ergonómica y tranquila y que favorezca la concentración, ¿cuántos de ellos han pensado en la seguridad de sus redes Wi-Fi, sus contraseñas para las distintas cuentas o su presencia en redes sociales?
Trabajar en casa se asocia a paz y seguridad, pero hay varias vías que los ciberdelincuentes pueden aprovechar para lanzar ataques y, si las personas no están prevenidas o no saben cómo identificarlos, conseguirán su objetivo. Por ejemplo, si se utiliza una contraseña débil para la Wi-Fi, los atacantes pueden adivinarla fácilmente y conseguir acceso a toda la red de la empresa.
Cuando se configuran las redes Wi-Fi en casa, los usuarios también quieren poder ver películas, escuchar música, participar en videollamadas y realizar otras actividades, fácilmente. Es posible que entre sus principales prioridades no se incluya asegurarse de que la red tiene una contraseña fuerte, que la administración remota está desactivada o que el firmware del enrutador está actualizado.
Además, los empleados utilizan dispositivos personales para acceder a material del trabajo y a sus redes sociales personales, e incluso comparten dispositivos, como ordenadores portátiles o tablets, con otros miembros de la familia. Así, si un usuario interactúa con un mensaje malicioso en su dispositivo personal, puede provocar un compromiso de los datos que no se limitará a su información personal, y una brecha de seguridad que puede afectar a toda la organización. Por eso es particularmente importante que sus usuarios finales apliquen las medidas de defensa adecuadas para proteger sus redes, dispositivos, cuentas y datos, además de evitar que los ciberdelincuentes puedan hackear su entorno.
Forme a los usuarios para que eviten el phishing y para que lo denuncien
Los usuarios deben examinar a diario muchos mensajes de correo electrónico, a veces incluso al final de una larga jornada de trabajo o mientras están ocupados con varios proyectos, lo que aumenta su probabilidad de caer en la trampa de un mensaje de phishing. Los ciberdelincuentes saben que los usuarios se distraen y emplearán tácticas de ingeniería social para engañarlos y conseguir su colaboración.
Por ejemplo, al emplear un lenguaje con carga emotiva, los atacantes intentan despertar las emociones “rápidas”, como el miedo, la curiosidad, la empatía y la ambición. Estas emociones, denominadas “rápidas”, impulsan al ser humano a actuar inmediatamente, antes de haber procesado completamente la información y haber reflexionado sobre lo que está ocurriendo, lo que aumenta las probabilidades de que haga clic o realice lo que se le pide antes de advertir que se trata de phishing.
Aunque parezca un incidente sin importancia, caer en la trampa del phishing puede acarrear graves consecuencias y abrir la puerta a fugas de datos, así como a la divulgación de secretos comerciales y a pérdidas financieras para las empresas. Además, puede facilitar el robo de datos y la suplantación de la identidad, y afectar al usuario a nivel emocional en su vida personal.
Por lo tanto, es fundamental proporcionar a los usuarios las mejores prácticas de ciberseguridad y concienciarlos para que eviten confiar ciegamente en mensajes de correo electrónico que parezcan vagos, susciten emociones fuertes o urjan a tomar algún tipo de medida. Sobre todo, los empleados deben entender la importancia de denunciar los mensajes para que nadie más en la organización caiga en la trampa, aunque ellos mismos no hayan abierto los mensajes de phishing.
Actúe: descargue este kit para proteger a su organización en 2023
La reducción de los riesgos para la ciberseguridad y la protección de su empresa exigen que los equipos de seguridad trabajen en colaboración con los usuarios finales que, a su vez, deben adoptar buenos hábitos de ciberseguridad. Para mejorar la resiliencia de sus empleados ante ataques especiales, hemos seleccionado una lista de recursos gratuitos que le servirán de ayuda en la formación para concienciar en materia de seguridad y le permitirán empezar 2023 con buen pie.
El kit de mejores prácticas de ciberseguridad de Proofpoint se divide en un programa de tres semanas:
- Semana 1: Evitar ser víctimas del ransomware.
- Semana 2: Mantenerse a salvo cuando teletrabaje.
- Semana 3: Estar alerta contra el phishing.
Descargue ya el kit y utilice la guía de inicio para diseñar sus mensajes semanales de la campaña y ayudar a sus empleados a convertirse en una sólida línea de defensa dentro y fuera del lugar de trabajo.