Los ataques cibernéticos aumentaron un 151% en 2021, según las estimaciones del Global Cybersecurity Outlook 2022 elaborado por el World Economic Forum. A pesar del aumento creciente en inversión en ciberseguridad, la sofisticación y capacidad de innovación de los ciberdelincuentes no deja de crecer.
La pandemia ha demostrado que se puede ser productivo desde el confort del hogar. Sin embargo, el teletrabajo se ha convertido en una amenaza para la seguridad de las organizaciones. Si antes los profesionales de ciberseguridad debían proteger los ordenadores y servidores de una empresa, ahora tienen que hacer lo mismo con las redes de los empleados. Para los ciberdelincuentes es más fácil atacar a los empleados porque interpretan que es el punto más vulnerable.
En efecto, el factor humano sigue siendo unos de los retos más importantes a afrontar en materia de ciberseguridad. No hay que pensar solo en los sistemas y redes conectadas, sino también en herramientas de concienciación y formación. El objetivo debe ser convertir a las personas en una línea de defensa más que permita también minimizar los riesgos. Para lograrlo, es importante concienciar sobre los riesgos que existen en la red, crear planes de prevención apropiados y capacitar al recurso humano en detección de amenazas. Esta debe ser una de las prioridades de la estrategia de ciberseguridad de cualquier compañía u organización, con independencia de su tamaño o su ámbito de actividad.
En este sentido, el hacking ético juega un papel crucial a la hora de promover la concienciación entre los trabajadores. La labor del hacker ético consiste en adelantarse a los atacantes y buscar las posibles brechas de seguridad de la empresa que contrata el servicio. Así, el hacker ético ataca a la empresa de la misma forma que lo haría un ciberdelincuente, buscando vulnerabilidades que le permitan obtener información que cause daño a la compañía. Ahora bien, su finalidad, no es lucrarse sino aprender y fortalecer el sistema de ciberseguridad de la empresa.
Otra forma de crear cultura de ciberseguridad son los ejercicios de simulación de phishing, el método de ingeniería social para hacer que la víctima comparta sus contraseñas mediante un engaño. Mediante estas prácticas controladas los empleados toman consciencia de cómo funcionan estas sofisticadas -y a veces no tan sofisticadas- formas de piratería. Un e-mail, mensajes de texto o incluso llamadas telefónicas con faltas de ortografía, logos pixelados o pequeños fallos que deberían generar una alerta en el destinatario.
Ya nadie duda que, en la actualidad, las brechas de ciberseguridad son una amenaza, no sólo para las empresas, sino para la estabilidad de la economía mundial, como viene destacando el Foro Económico Mundial en su conferencia anual de Davos desde 2016. De hecho, según el Instituto Ponemon, en el último año el coste medio de una brecha de ciberseguridad fue de 4,86 millones de dólares.
Por ello, es esencial que las organizaciones construyan su plan estratégico de ciberseguridad en donde deben primar principios como el desarrollo de una cultura de ciberseguridad centrada en las personas. Con ello, las organizaciones se enfocan en la prevención de ciberataques, evitando así las consecuencias dramáticas que estos podrían tener tanto desde el punto de vista de la continuidad del negocio, pérdida de clientes, impacto económico o sanciones, así como en lo que tiene que ver con el impacto reputacional o de la imagen de la marca, entre otros.
En definitiva, el hacker ético es una figura clave en la lucha contra los ciberdelincuentes y puede ayudar a empresas y organizaciones en el proceso de pasar de considerar víctimas a sus empleados, a darles las herramientas necesarias para transformarlos en uno de sus ejes fundamentales de defensa. Y, por qué no, considerarlos como su última línea de defensa.
