El papel del error humano en el éxito de las violaciones de la ciberseguridad
No hay una sola persona viva que nunca cometa errores. De hecho, cometer errores es una parte fundamental de la experiencia humana: es la forma en que desarrollamos y aprendemos. Sin embargo, en el ámbito de la ciberseguridad, los errores humanos se pasan por alto con demasiada frecuencia.
Según un estudio de IBM, el error humano es la causa principal del 95% de las violaciones de la ciberseguridad. En otras palabras, si se eliminara por completo el error humano, ¡19 de cada 20 violaciones de la ciberseguridad no habrían tenido lugar!
Así pues, ¿por qué el error humano causa tantas filtraciones, y por qué las soluciones existentes no han conseguido resolverlo? Echemos un vistazo a la historia del error humano y a lo que puede hacer para mejorar el comportamiento cibernético de los empleados en tu organización.
¿Qué es el error humano en la seguridad informática?
Cuando se habla del error humano en la ciberseguridad, lo que se entiende por el término es ligeramente diferente de su uso en términos más generales.
En el contexto de la seguridad, se entiende por error humano las acciones involuntarias -o la falta de acción- de los empleados y usuarios que provocan, propagan o permiten que se produzca una violación de la seguridad.
Esto abarca una amplia gama de acciones -desde la descarga de un archivo adjunto infectado con malware hasta no utilizar una contraseña segura-, lo cual es en parte la razón por la que puede ser tan difícil de abordar.
Con nuestros entornos de trabajo cada vez más avanzados y complicados, tenemos un número creciente de herramientas y servicios que utilizamos, y tenemos nombres de usuario y contraseñas y otras cosas que recordar para cada uno de ellos. Todo esto se acumula, y cuando no se proporcionan soluciones alternativas y seguras, los empleados empiezan a tomar atajos para hacerse la vida más fácil.
Por si esto no fuera suficiente para que los usuarios finales se esfuercen por tomar las medidas adecuadas, también tienen que lidiar con la amenaza constante de los ciberdelincuentes que influyen en sus decisiones. La ingeniería social tiene un papel cada vez más importante en todo tipo de violaciones de la seguridad, y se utiliza para explotar la capacidad de los empleados de entregar datos o credenciales directamente en manos de los malos actores sin que tengan que escribir una sola línea de un programa malicioso o un exploit de software.
Tipos de error humano
Aunque las posibilidades de error humano son casi infinitas, pueden clasificarse en dos tipos diferentes: errores basados en la habilidad y errores basados en la decisión. La diferencia entre estos dos se reduce esencialmente a si la persona tenía o no los conocimientos necesarios para realizar la acción correcta.
Errores basados en la habilidad
El error humano basado en la habilidad consiste en deslices y lapsus: pequeños errores que se producen al realizar tareas y actividades conocidas. En estos casos, el usuario final sabe cuál es la acción correcta, pero no la lleva a cabo debido a un lapsus temporal, un error o una negligencia. Esto puede ocurrir porque el empleado está cansado, no presta atención, está distraído o tiene un breve lapsus de memoria.
Errores basados en la decisión
Los errores de decisión se producen cuando un usuario toma una decisión errónea. Puede haber varios factores que influyan en ello: a menudo se trata de que el usuario no tenga el nivel de conocimientos necesario, no tenga suficiente información sobre la circunstancia concreta o ni siquiera se dé cuenta de que está tomando una decisión por su inacción.
Descubre cómo usecure ayuda a las empresas a impulsar un comportamiento seguro con una formación de concienciación sobre ciberseguridad automatizada de forma inteligente, que a tus empleados les encantará.
Ejemplos de errores humanos en las empresas
El error humano puede perjudicar la seguridad de tu empresa de un número casi interminable de maneras diferentes, pero algunos tipos de error son más frecuentes que los demás. Veamos algunos de estos errores tan comunes.Envío erróneo
El envío erróneo -enviar algo a un destinatario equivocado- es una amenaza común para la seguridad de los datos corporativos. Según el informe de filtraciones de 2018 de Verizon, el envío erróneo fue la quinta causa más común de todas las filtraciones de ciberseguridad. Con muchas personas que confían en funciones como la autosugestión en sus clientes de correo electrónico, es fácil que cualquier usuario envíe accidentalmente información confidencial a la persona equivocada si no tiene cuidado.
Una de las filtraciones de datos más graves causadas por un error humano se produjo cuando una consulta del NHS (servicio de salud pública británico) reveló las direcciones de correo electrónico y, por tanto, los nombres) de más de 800 pacientes que habían acudido a las clínicas de VIH. ¿Cómo se produjo el error? El empleado que enviaba una notificación por correo electrónico a los pacientes con VIH introdujo accidentalmente sus direcciones de correo electrónico en el campo "a" (para), en lugar de en el campo "bcc" (copia oculta), dejando al descubierto sus datos. Este es un ejemplo clásico de un error basado en la habilidad, ya que el empleado conocía el curso de acción correcto, pero simplemente no tuvo suficiente cuidado para asegurarse de que estaba haciendo lo que pretendía.
Problemas con las contraseñas
Los humanos y las contraseñas simplemente no se llevan bien. Los datos del informe de 2019 del Centro Nacional de Ciberseguridad arrojan una imagen nefasta: 123456 sigue siendo la contraseña más popular del mundo, y el 45% de las personas reutiliza la contraseña de su cuenta de correo electrónico principal en otros servicios. Además de no crear contraseñas fuertes y únicas, los usuarios sin formación cometen muchos otros errores con las contraseñas, como anotarlas en notas adhesivas en sus monitores o compartirlas con sus compañeros.
Parches
Los ciberdelincuentes buscan siempre nuevos exploits en el software. Cuando se descubren los exploits, los desarrolladores de software se apresuran a corregir la vulnerabilidad y a enviar el parche a todos los usuarios antes de que los ciberdelincuentes puedan comprometer a más usuarios. Por eso es esencial que los usuarios instalen las actualizaciones de seguridad en sus ordenadores tan pronto como estén disponibles. Lamentablemente, la mayoría de los usuarios finales retrasan la instalación de las actualizaciones, con resultados nefastos.
El ataque de ransomware WannaCry de 2017 afectó a cientos de miles de ordenadores en todo el mundo, costando a empresas y organizaciones millones de dólares en daños. Sin embargo, el exploit utilizado en el ataque, denominado "EternalBlue", fue parcheado por Microsoft meses antes de que se produjeran los ataques. Si los ordenadores afectados se hubieran limitado a descargar e instalar la actualización de seguridad, nunca se habrían puesto en peligro.
Errores de seguridad física
Aunque las filtraciones de datos se atribuyen con mayor frecuencia a los ciberataques, las empresas también están expuestas a las amenazas físicas. La información confidencial y las credenciales pueden ser robadas o vistas por personas no autorizadas si acceden a locales seguros.
Los errores de seguridad física son muy variados, pero uno de los más comunes es dejar documentos sensibles sin vigilancia en las mesas, salas de reuniones o incluso en las bandejas de salida de las impresoras. Cualquiera que acceda a las instalaciones de la empresa puede coger el documento sin que nadie se dé cuenta de que ha desaparecido.
Otro error de seguridad física muy común es permitir el 'rebufo'. Se trata de que una persona no autorizada siga a otra a través de una puerta o barrera de seguridad, normalmente caminando detrás de ella. A muchos empleados les parecerá grosero rebatir a alguien que les siga por la puerta, lo que garantiza un alto porcentaje de éxito en los intentos de ir a rebufo.
¿Qué son los factores que provocan el error humano?
Hay una gran variedad de factores que influyen en el error humano, pero la mayoría se reducen a estos tres: oportunidad, entorno y falta de conciencia.
Oportunidad
El error humano sólo puede producirse cuando hay una oportunidad que lo permita. Aunque parezca obvio, la cuestión es que cuantas más oportunidades haya para que algo salga mal, mayor será la probabilidad de que se cometa un error en algún momento.
Entorno
Hay muchos factores relacionados con el entorno que pueden aumentar la probabilidad de que se produzcan errores.
El entorno físico de un lugar de trabajo puede contribuir significativamente al número de errores que se producen. Cualquier trabajador de una obra de construcción dirá que los errores son más frecuentes en días de calor o frío intenso, pero estas consideraciones también se aplican a las oficinas. Aunque la temperatura adecuada de la oficina es una consideración importante, la privacidad, el nivel de ruido y la postura son factores que pueden contribuir a un entorno más propenso a los errores.
La cultura también desempeña un papel importante en las decisiones relativas al entorno. A menudo, los usuarios finales saben cuál es la acción correcta, pero no la llevan a cabo porque hay una manera más fácil de hacer las cosas o simplemente no creen que sea importante. Tener una cultura en la que la seguridad siempre pasa a un segundo plano conducirá a que los errores sean cada vez más habituales.
Falta de conciencia
Gran parte del error humano se debe a que los usuarios finales simplemente no saben lo que deben hacer desde el principio. Por ejemplo, los usuarios que no son conscientes del riesgo de phishing son mucho más propensos a ser víctimas de estafas de phishing, y alguien que no conozca los riesgos de las redes Wi-Fi públicas verá rápidamente sus credenciales robadas. La falta de conocimientos casi nunca es culpa del usuario, sino que la empresa debe ocuparse de garantizar que sus usuarios finales tengan los conocimientos y habilidades necesarios para mantenerse seguros ellos mismos y la empresa.
¿Cómo evitar los errores humanos en tu empresa?
El error humano sólo puede producirse cuando hay una oportunidad que lo permita, por lo que es esencial eliminar las oportunidades de error en la medida de lo posible. Al mismo tiempo, los usuarios finales seguirán cometiendo errores si no saben cómo actuar correctamente y cuáles son los riesgos. Para superar esta brecha, es esencial abordar el error humano desde ambos lados para crear una defensa integral para tu empresa.
Reducir las oportunidades
Cambiar las prácticas de trabajo, las rutinas y las tecnologías para reducir sistemáticamente las oportunidades de error es la mejor manera de comenzar los esfuerzos de mitigación. Aunque la forma de conseguirlo dependerá de las actividades y entornos específicos de tu empresa, existen algunas pautas comunes para mitigar las oportunidades de error humano.
Control de privilegios: asegúrate de que tus usuarios sólo tienen acceso a los datos y funcionalidades que necesitan para desempeñar sus funciones. Esto reduce la cantidad de información que quedará expuesta, incluso si el usuario comete un error que conduzca a una filtración de datos.
Gestión de contraseñas: dado que los errores relacionados con las contraseñas son uno de los principales riesgos de error humano, alejar a tus usuarios de las contraseñas puede ayudar a reducir los riesgos. Las aplicaciones de gestión de contraseñas permiten a los usuarios crear y almacenar contraseñas seguras sin tener que recordarlas o arriesgarse a escribirlas en notas adhesivas. También debería imponer el uso de la autenticación de dos factores en toda su empresa para añadir una capa adicional de protección a las cuentas.
Cambiar la cultura
Una cultura centrada en la seguridad es fundamental para reducir los errores humanos. En una cultura de seguridad, la seguridad se tiene en cuenta en cada decisión y acción, y los usuarios finales buscarán y discutirán activamente los problemas de seguridad cuando los encuentren.
Hay una serie de cosas que puede hacer para ayudar a crear una cultura de seguridad en tu empresa.
Fomentar la conversación. Una de las mejores maneras de garantizar que la seguridad se mantenga en primera línea es hacer que la gente hable de ella. Plantea temas de debate en torno a la seguridad y asegúrate de que sean relevantes para las actividades laborales cotidianas de tus usuarios finales, de modo que sea más probable que se comprometan. Esto les ayudará a ver lo que pueden hacer personalmente para ayudar a mantener la seguridad de la empresa.
Facilitar las preguntas. Como parte del proceso de aprendizaje, es probable que los usuarios finales se topen con muchas situaciones en las que no estén seguros de las implicaciones de seguridad. En estas situaciones, es preferible que te pregunten a ti o a otra persona con conocimientos en lugar de adivinar y arriesgarse a tomar la decisión equivocada. Asegúrate de que siempre haya alguien disponible para responder a las preguntas de los usuarios finales de forma amistosa, y recompensa a los usuarios que planteen buenas preguntas.
Utilizar carteles y recordatorios. Los carteles y consejos de seguridad sirven como pequeños recordatorios para ayudar a garantizar que los usuarios finales piensen en la seguridad a lo largo de su jornada laboral. Un póster con información sobre contraseñas seguras permitirá, por ejemplo, que los usuarios vean fácilmente cuáles son los requisitos para mantener seguras las cuentas de la empresa.
Abordar la falta de conocimientos con formación
Si bien es esencial reducir las oportunidades de error, también hay que abordar las causas de error desde un ángulo humano. Educar a tus empleados en los fundamentos de la seguridad y en las mejores prácticas les permite tomar mejores decisiones, y les permite tener la seguridad en mente y buscar más ayuda cuando no están seguros de cuáles son las consecuencias de una determinada acción.
Formar a los empleados en todos los temas básicos de seguridad: dado que el error humano puede manifestarse de muy diversas maneras, es esencial formar a los empleados en un nivel básico sobre cualquier tema de seguridad que puedan encontrar en sus actividades laborales cotidianas. El uso del correo electrónico, de Internet y de las redes sociales, así como la formación en materia de phishing y malware, son algunos de los temas que debe cubrir la formación.
La formación tiene que ser atractiva y relevante: los empleados tienen una capacidad de atención limitada y debes asegurarte de que la formación no les aburra. Los cursos de formación interactivos que utilizan imágenes y vídeos son mucho más eficaces que las sesiones de PowerPoint de una hora de duración. Además, la formación no debe impartirse en sesiones anuales que los empleados olvidarán una semana después, sino que debe repetirse regularmente a lo largo de su vida laboral en un formato breve y fácilmente comprensible.
No es necesario que los humanos sean el eslabón más débil
Empezamos este artículo con una estadística aterradora sobre el número de infracciones causadas por errores humanos, pero hay otra forma de ver esa estadística. Si el 95% de las filtraciones son causadas por errores humanos, tomar incluso los pasos más pequeños para reducir los errores humanos puede crear enormes ganancias en seguridad.
La mitigación del error humano tiene dos aspectos: reducir las oportunidades y educar a los usuarios. Cuantas menos oportunidades haya de cometer errores, menos se pondrá a prueba el conocimiento de los usuarios, y cuanto más conocimiento tengan los usuarios, menos probable será que cometan un error incluso cuando se encuentren con una oportunidad de hacerlo.
El enfoque que promovemos en usecure te anima a ver el riesgo humano desde una perspectiva diferente. Aunque los usuarios finales sin formación pueden ser el eslabón más débil de la seguridad de tu empresa, las herramientas y la formación adecuadas te permiten convertirlos en tu primera línea de defensa contra cualquier ataque o infracción, protegiendo tu negocio a largo plazo.
Para obtener más información sobre nuestros programas de formación en materia de seguridad, automatizados de forma inteligente y centrados en el usuario, haz clic en el siguiente enlace.
Empieza a transformar a los humanos en tu línea de defensa más fuerte
usecure es la solución de gestión de riesgos humanos que permite a las empresas reducir los incidentes de seguridad relacionados con los usuarios, crear una plantilla ciberresistente y alcanzar los estándares de cumplimiento mediante programas de formación de usuarios automatizados.
Con la confianza de los principales profesionales de TI y proveedores de servicios gestionados (MSP), usecure analiza, reduce y supervisa el riesgo cibernético humano a través de programas de formación de concienciación de seguridad basados en el riesgo, campañas de phishing simuladas, gestión simplificada de políticas y supervisión continua de infracciones en la web oscura, todo ello desde una sola plataforma.