El panorama mundial de ciberseguridad es complejo y cambia constantemente. Nuevas vulnerabilidades y amenazas surgen casi a diario. Aunque las organizaciones han avanzado en la implementación de medidas de seguridad avanzadas, resulta sorprendente notar que la mayoría de los incidentes de seguridad no son el resultado de técnicas de piratería sofisticadas, sino que a menudo se ven favorecidos por errores humanos.
El Foro Económico Mundial resaltaba en 2022 que un porcentaje significativo de los incidentes de ciberseguridad (95 %) son el resultado de errores humanos. Dejaba claro que el factor humano suele ser el eslabón más débil en las defensas de ciberseguridad de una organización.
El factor humano en la seguridad informática no tiene tanto que ver con las acciones maliciosas de personas que quieren dañar a la organización a la que pertenecen, sino más bien con errores inocentes de quienes no aplican medidas básicas de seguridad. Los protocolos de seguridad más sofisticados pueden verse afectados por un solo clic desafortunado de un empleado desinformado o descuidado. Este artículo, vinculado al Proyecto Estratégico de Ciberseguridad DANGER financiado por el Instituto Nacional de Ciberseguridad de España (INCIBE) a través de la Unión Europea – NextGenerationEU y el Plan de Recuperación, Transformación y Resiliencia, hace un repaso en cómo el factor humano constituye una puerta de entrada a los ataques y propone recomendaciones para ayudar a las organizaciones a fortalecer este eslabón más débil en la cadena de ciberseguridad.
Los nueve errores humanos más comunes
Contraseñas débiles. Usar contraseñas simples o comunes, compartirlas o almacenarlas incorrectamente, puede llevar a comprometer cuentas y sistemas enteros.
Uso de software no autorizado. Cuando los empleados instalan aplicaciones sin el conocimiento y aprobación del departamento de tecnología informática, pueden introducir vulnerabilidades y comprometer la seguridad de la organización.
Olvido de actualizar el software. No aplicar parches o actualizaciones necesarias puede dejar sistemas susceptibles a la explotación por ciberdelincuentes.
Envío incorrecto de información sensible. Enviar datos valiosos a destinatarios incorrectos por correo electrónico o enviar documentos con datos sensibles por error puede provocar brechas de datos.
Uso no autorizado de dispositivos. Conectar dispositivos no autorizados a la red, como unidades USB o dispositivos personales, puede introducir programas maliciosos (malware) o proporcionar un punto de entrada para atacantes.
Ciberseguridad: ¿cómo prevenir los errores del factor humano?
Cultura y formación de seguridad. Fomentar una cultura de conciencia de seguridad dentro de la organización, estableciendo políticas y procedimientos claros y proporcionando capacitación continua.
Políticas de contraseñas fuertes. Implementar políticas de contraseñas sólidas y fomentar el uso de la autenticación multifactor.
Políticas y procedimientos de seguridad claros. Desarrollar y hacer cumplir políticas claras de seguridad y procedimientos.
Controles de acceso estrictos. Implementar controles de acceso estrictos basados en dotar de los privilegios mínimos a cada rol y revisar periódicamente los privilegios de acceso de los usuarios.
Medidas de seguridad física. Implementar medidas de seguridad física para proteger la infraestructura crítica.