En la ciberseguridad existen diferentes factores por los que un ciber atacante elige como objetivo a alguna organización, ya sea para obtener información sensible o hasta confidencial, con el motivo de obtener un reconocimiento, un apoyo político o finalmente por una cuestión económica. Es por ello que el atacante buscará diferentes maneras de realizar y generar un vector de ataque que le permita obtener sus intereses.

Ahora bien, los ataques pueden empezar de diversas maneras implicando tácticas y técnicas complejas como el reconocimiento total de la red de una organización o el envío de correos maliciosos, pero también de una manera sencilla los mismos atacantes pudieran hacer uso del “eslabón más débil”. Aquí es donde nos centramos en el tema y punto principal de este texto: el recurso humano, el cual es el más importante en una organización.

Las organizaciones hoy en día están buscando nuevas y mejores formas en materia de ciberseguridad enfocándose en la confidencialidad, integridad y la disponibilidad de su información. Sin embargo, olvidan que el personal con el que cuentan maneja una gran cantidad de datos y, si no es cubierto ese importante eslabón pudiera conllevar a una brecha de seguridad, por lo que surge la pregunta: ¿Qué podemos implementar o mejorar antes de que estos ciber atacantes logren su cometido?

Las organizaciones deben preparar y medir los niveles de conciencia con el que cuentan sus colaboradores por medio de pruebas de ingeniería social, ya sean aplicadas por ellos mismos o por un tercero que les ayude con esta evaluación.

La ingeniería social se apoya en 4 pilares psicológicos y sociales que los ciber atacantes explotan dentro de una organización, tal como nos indica Kevin Mitnick, informático estadounidense reconocido en el campo de la seguridad informática:

• Las ganas de ayudar: en México, por nuestra idiosincrasia, tenemos una gran desventaja; la amabilidad es una seña particular de nuestra gente y esto hace que no dudemos en ayudar al que lo necesita y puede ser perjudicial para la seguridad de una organización.
• Exceso de confianza: nuestra cultura, al ser sumamente amigable con el necesitado o con alguien con quien forme parte de nuestro círculo social, hace que entremos en confianza muy rápido con desconocidos.
• A todos nos gusta que nos alaben: es muy gratificante que alguien nos diga lo bueno que somos haciendo nuestro trabajo y toda la capacidad que hemos obtenido al desempeñarlo perfectamente; por lo tanto, esto se traduce como una bandera de ataque hacia una víctima.
• No nos gusta decir no: este es un tema bastante complicado, ya que si un superior es quien nos da la instrucción, ¿cómo decir que no?

En conclusión, podemos decir que el eslabón más débil de una organización es su personal. Hoy en día, seguimos teniendo abierta esa brecha y continuamos siendo vulnerables ante ataques por medio de llamadas telefónicas, apertura de correos electrónicos, la visita a sitios no identificados como seguros, así como también por cubrir las necesidades de otros. El simple hecho de ser humanos y formar parte de una sociedad con una idiosincrasia cultural, nos está dejando como un blanco vulnerable ante estos ciber atacantes. Si no tomamos en serio nuestra seguridad individual, por muchos cursos o documentación que nos brinden en la organización, seguiremos siendo: “El eslabón más débil en la ciberseguridad”.

Referencias:

El eslabón más débil de la seguridad. (s. f.). CCN-CERT. https://www.ccn-cert.cni.es/gl/gestion-de-incidentes/lucia/23-noticias/830-el-eslabon-mas-debil-de-la-seguridad.html
“Somos el eslabón más débil en la seguridad informática” – UAM. (s. f.). UAM. https://uam.edu.ni/somos-el-eslabon-mas-debil-en-la-seguridad-informatica/
Rosencrance, L. y Bacon, M. (2021, 3 de junio). What are social engineering attacks? SearchSecurity. https://www.techtarget.com/searchsecurity/definition/social-engineering