Un reciente análisis realizado por Kaspersky indica que cerca del 40% de los empleados en América Latina no están al tanto de las normas de seguridad digital establecidas por sus compañías. Esta carencia de información eleva el riesgo de las organizaciones frente a ataques cibernéticos, puesto que los trabajadores son frecuentemente objetivo de fraudes que requieren hacer clic en enlaces dañinos o instalar programas que brindan acceso no autorizado a la red empresarial. Los resultados de esto pueden incluir la exposición de datos sensibles, como propiedad intelectual, información financiera y datos de clientes.
Los hallazgos de la investigación de Kaspersky, llevada a cabo junto con la firma consultora Corpa, revelan que el 17% de los latinoamericanos no sabe si su compañía dispone de normas de seguridad. Por otro lado, el 21% de los trabajadores es consciente de la existencia de una política, pero ignora qué dice exactamente. En conjunto, cerca de cuatro de cada 10 empleados no están al tanto de lo que la empresa espera de ellos en términos de preservar la seguridad del entorno laboral.
Los informes indican que el 8% de las entidades no tienen implementadas estrategias de seguridad en el ámbito digital. Aunque esta proporción es pequeña, estas organizaciones corren el riesgo de ser víctimas de ciberataques al pasar por alto un elemento crítico de la protección cibernética. Por otro lado, el 55% de las empresas en América Latina han establecido políticas definidas y sus trabajadores están al tanto de su operativa.
Claudio Martinelli, director general para América Latina en Kaspersky, explica que la falta de información de los trabajadores sobre las estrategias de seguridad adoptadas por la empresa aumenta significativamente el riesgo de ciberataques. “Los delincuentes atacan directamente a las personas, creyendo que un simple clic en un enlace sospechoso o la instalación de un programa, incluso una supuesta actualización, es suficiente para acceder a la red corporativa. La falta de capacitación o de conocimiento de las políticas de seguridad de la empresa por parte de sus colaboradores termina sobrecargando al área de seguridad, que debe reaccionar a muchas más amenazas e incidentes cibernéticos que podrían haberse evitado fácilmente”, asegura.
El peligro no se restringe únicamente a la compañía, dado que el delito cibernético solamente intenta conseguir beneficios, sin importar su origen. Esta sensibilización resulta crucial puesto que el 27% de los latinoamericanos utiliza computadoras personales en su lugar de empleo. En este escenario, un ataque impacta de manera directa a la persona y también pone en riesgo a la organización al momento en que el aparato se conecta a la red corporativa.
La fina separación entre lo laboral y la vida privada se vuelve cada vez más difusa cuando la investigación examina las actividades que llevan a cabo los trabajadores en las plataformas empresariales. Los resultados indican que las actividades en redes sociales personales, las compras por internet y las gestiones bancarias son las más comunes, alcanzando un 49%. En el segundo puesto, se encuentra la utilización de aplicaciones de inteligencia artificial, con un 46%. Un tercio de los participantes en la encuesta afirma que tiene la práctica de acceder a redes Wi-Fi abiertas o públicas.
Como indica Martinelli, “lo primero que solemos pedir al llegar a un restaurante es la contraseña del Wi-Fi. Sin embargo, conectarse a redes públicas representa un riesgo: no sabemos quién puede estar monitoreando la conexión, y nuestros dispositivos quedan expuestos a posibles ataques. Si se trata de un equipo corporativo, el peligro es aún mayor, ya que puede contener información sensible como propiedad intelectual o datos de clientes”.
La investigación revela que el 15% de la población latina se muestra dispuesto a instalar aplicaciones, programas o plataformas sin obtener la autorización necesaria, el 11% ingresa a páginas pornográficas utilizando dispositivos de la empresa y el 14% interactúa con enlaces de ofertas o promociones sin confirmar su validez. “Si bien estas tasas son inferiores a las de otras prácticas, estos tres comportamientos representan un riesgo muy alto para la seguridad personal y corporativa, y son situaciones normalmente contempladas en las políticas de seguridad”, recalca el ejecutivo.
El informe de Respuesta a Incidentes de Kaspersky posiciona al phishing como el cuarto vector de infección más común. El segundo más frecuente es el uso de cuentas corporativas válidas por parte de los delincuentes, lo que indica que estas contraseñas ya han sido robadas, usualmente mediante campañas de phishing.
“Piense en una casa. Queremos que sea segura, pero ningún sistema puede protegerla si las personas dejan las puertas y ventanas abiertas al salir. El nivel de seguridad de cualquier estructura siempre será equivalente a la fortaleza de su punto más débil. Es por eso que es fundamental que las organizaciones inviertan en la educación digital de sus colaboradores, para que se protejan a ellos y la empresa”, afirma Martinelli sobre la importancia de la aplicación y difusión de normas de seguridad digital.
Kaspersky entrega los siguientes consejos para ayudar a las organizaciones a protegerse contra los ataques dirigidos a sus trabajadores:
- Capacite a todos los empleados sobre los conceptos básicos. Hay sitios web, como Kaspersky Automated Security Awareness Platform, que ofrecen la opción de adaptar los módulos de capacitación de acuerdo con las características de cada trabajador. Los asuntos tratados abarcan la salvaguarda de cuentas digitales, la seguridad en el correo electrónico, la protección en el ámbito informático y la LGPD (Ley General de Protección de Datos).
- Elabore políticas y adopte tecnologías que dependan lo menos posible del factor humano. Se puede impedir que los correos electrónicos que contengan archivos y enlaces dañinos lleguen al servidor, lo que disminuye la probabilidad de clics accidentales. No obstante, no hay una protección que sea completamente infalible; la educación continua es fundamental.
- Emplee la autenticación de dos factores (2FA). Una VPN corporativa protege a los datos sensibles de los delincuentes, incluso si hay un acceso no autorizado. No obstante, si una cuenta legítima es vulnerada, la autenticación en dos pasos, sobre todo con un dispositivo de seguridad, puede bloquear el acceso.
- Lleve a cabo simulacros de phishing. Las evaluaciones regulares permiten evaluar el grado de conocimiento de las normas de seguridad por parte de los trabajadores y detectar la necesidad de formación.
- Aplique soluciones de seguridad de calidad y siempre actualizadas. Esto asegura un mayor resguardo contra errores humanos e incidentes prevenibles.
- Asegure la participación de la dirección de la empresa. Cuando los directivos muestran interés por la protección de la empresa, los trabajadores suelen imitar este comportamiento y adoptar más fácilmente las prácticas adecuadas.
