¿Ha servido realmente para algo el Mes de la concienciación sobre ciberseguridad?
Son preguntas en las que merece la pena profundizar ahora que el Mes de la concienciación sobre ciberseguridad cumple su segunda década. En una época en la que los ciberdelincuentes lanzan ataques cada vez más sofisticados sin cesar, los usuarios que cuentan con formación tecnológica siguen siendo la mejor línea de defensa.
No obstante, contar con conocimientos no equivale a saber cómo actuar. Aunque algunos parámetros indican que los usuarios son más conscientes de las buenas prácticas en materia de ciberseguridad, otros revelan que algunos usuarios —de grupos que nos sorprenderían— no se preocupan lo suficiente por seguir estas prácticas.
¿Llegará el Mes de la concienciación sobre ciberseguridad más allá del simple mensaje "cuidado con dónde se hace clic"? ¿Y qué pueden hacer las empresas para mejorar el comportamiento de sus empleados en materia de ciberseguridad? Las respuestas van más allá de la mera concienciación.
Hay pruebas de que la concienciación en materia de ciberseguridad funciona
En octubre de 2023, Cybersecurity Tribe publicó una cita de un director de Seguridad de la información (CISO) anónimo que resume la cuestionable utilidad del Mes de la concienciación sobre ciberseguridad: "Seguimos cometiendo los mismos errores estúpidos que hace 20 años".
Sin embargo, ¿hasta qué punto es cierta esa afirmación? En cuanto a conocimientos, los estadounidenses, al menos, han avanzado algo. En 2023, Pew Research descubrió que el 87 % de los estadounidenses podían identificar la contraseña más segura de una lista de cuatro. Dos tercios sabían por qué existen las cookies. Y casi la mitad podía identificar un ejemplo de autenticación de doble factor a partir de un conjunto de imágenes.
En 2019, Pew Research descubrió que solo el 28 % de los encuestados podían identificar la autenticación de doble factor, aunque aproximadamente el mismo porcentaje que en 2023 —un 63 %—, sabía para qué se utilizan las cookies. Por lo tanto, parece que los pocos Meses de la concienciación sobre ciberseguridad que se han celebrado desde 2020 han dado algunos frutos.
No obstante, quizás lo más relevante es el dato positivo que arroja una estadística clave a nivel global: un menor porcentaje de fugas de datos se debe a "factores humanos" —aquellos en los que, por ejemplo, un usuario hace clic en un enlace malicioso—. En 2022, Verizon elaboró un informe sobre Investigaciones de fugas de datos, en el que se descubrió que el factor humano representaba el 82 % de las fugas de datos en todo el mundo. En 2023, el porcentaje se redujo al 74 %. En el informe de 2024, descendió al 68 %.
La otra cara de la moneda: malas noticias en cuanto a la concienciación sobre ciberseguridad
Todo esto suena prometedor, ¿verdad? Como sugiere el CISO anónimo antes mencionado, a la concienciación sobre ciberseguridad —o quizá sería mejor decir "comportamiento en ciberseguridad"— aún le queda un largo camino que recorrer.
Tomemos el ejemplo de la autenticación multifactor (MFA), un método disuasorio bastante simple, pero que suele ser eficaz contra los ciberataques. En 2022, un informe de un estudio del Cyber Readiness Institute reveló que el 54 % de los MSP no habían implementado dicho método. Esa cifra podría haber disminuido después de llevar varios años celebrando el Mes de la concienciación sobre ciberseguridad .
Por otro lado, están las contraseñas, que siguen siendo un aspecto clave de la ciberseguridad que muchos usuarios no pueden gestionar —o a las que, simplemente, no les dan mucha importancia—. En una lista de seis errores de ciberseguridad que evitar de Google, el primer error es "utilizar la misma contraseña en todas partes".
Pero, ¿qué hacen muchos usuarios? En 2023, Security.org descubrió que aproximadamente uno de cada cinco utiliza las mismas contraseñas en todas sus cuentas, y casi el 30 % utiliza la contraseña maestra de su administrador de contraseñas en otras cuentas (lo que también se trata de una práctica nada recomendada). Esa cifra del 30 % en 2023 supone un aumento con respecto a 2021, en la que el porcentaje era del 19 %. Además, uno de cada cuatro usuarios apunta sus contraseñas en notas (no protegidas) en sus ordenadores o dispositivos móviles. Este dato no cambió entre 2022 y 2023.
La diferencia entre la formación en ciberseguridad y la cultura de ciberseguridad
Una de las finalidades de la formación en concienciación sobre seguridad es, precisamente, erradicar estos malos hábitos. Y sin duda alguna, ayuda a ese propósito. Sin embargo, la formación en sí no es el problema. El problema radica en lo que los usuarios eligen hacer o no con dicha formación.
Por ejemplo, la National Cybersecurity Alliance descubrió que los usuarios que reciben más formación en materia de ciberseguridad suelen mostrar los peores comportamientos en línea —e incluso llegan a sufrir el mayor porcentaje de ciberataques—. El siguiente párrafo revela las conclusiones del estudio de dicha entidad, en el que se analizaron usuarios de Estados Unidos, Reino Unido, Canadá, Alemania, Francia y Nueva Zelanda, y arroja datos abrumadores:
"Es sorprendente que el 43 % de la Generación Z y el 36 % de los millennials hayan informado de haber sido víctimas de ciberdelitos, lo que supone un porcentaje mucho mayor que el de la generación silenciosa (20 %) y el de los baby boomers (15 %), que no tienen acceso a formación profesional en ciberseguridad. Al mismo tiempo, existe el doble de probabilidades de que estos nativos digitales no estén de acuerdo con la idea de que la seguridad merece la pena. Esto se refleja en sus hábitos de ciberseguridad, ya que la mitad de la Generación Z y el 41 % de los millennials admiten que utilizan información personal, como nombres de familiares o mascotas, fechas y lugares; al crear contraseñas".
Muchos usuarios jóvenes no siguen las prácticas recomendadas de ciberseguridad, a pesar de que deberían conocerlas mejor que otros grupos poblacionales. En su estudio, la National Cybersecurity Alliance obtuvo un dato revelador: el 39 % de los encuestados afirmaron que se sentían frustrados por el proceso de mantenerse seguros en línea, y al 37 % le resultaba intimidante todo lo que implica dicho proceso.
Creación de una cultura de la ciberseguridad
No es ningún secreto que a muchos usuarios les cuesta adoptar buenos hábitos de ciberseguridad. Y que métodos como la autenticación multifactor suponen un paso adicional para que los usuarios accedan a información crítica. Sin embargo, los correos electrónicos se asemejan a un campo de minas, y deben tratarse como tal. Incluso los métodos de comunicación que antes eran fiables, como una llamada telefónica o una videollamada, son posibles vectores de deepfakes. Esto es suficiente para que muchos usuarios tiren la toalla y dejen que pase lo que tenga que pasar.
Por supuesto, esa actitud de indiferencia no se puede tolerar, y mucho menos en su empresa. Es crucial que los empleados sepan la importancia de seguir buenas prácticas de ciberseguridad. La formación es útil, y necesaria, pero no debe ser la única medida. Al fin y al cabo, muchos empleados procuran acabar las sesiones formativas cuanto antes, independientemente de la temática.
En definitiva, los empleadores deben crear una cultura de la ciberseguridad que no solo forme a sus trabajadores en concienciación sobre ciberseguridad, sino que también vaya más allá. Las siguientes prácticas básicas pueden ayudar:
Informe a los empleados de las verdaderas consecuencias de sufrir un ciberataque
Las cifras alarmantes y los casos de ciberataques lejanos captan rápidamente la atención de los usuarios. Los propietarios de empresas y los responsables de TI deben concienciar a los empleados de que la ciberseguridad es responsabilidad de todos, e informarles de que un solo ciberataque puede perjudicar tanto a una empresa como para tener que reducir plantilla o incluso declararse en bancarrota.
No se trata de amenazar con despedir a los empleados que sean víctimas de ciberataques. Lo importante es que todos los empleados sean conscientes de que basta con sufrir un solo ciberataque para que toda una empresa cierre sus puertas y, en ocasiones, incluso de forma definitiva. Sus puestos de trabajo están en juego cada día. En estos casos, implementar la autenticación multifactor o crear contraseñas únicas para cada cuenta ya no resultará un fastidio.
Hable abiertamente sobre ciberseguridad todos los días
Nadie quiere ser el típico chivato que informa a la dirección de que hay empleados que no cierran y bloquean sus portátiles antes de dejar sus puestos de trabajo. Este consejo no se refiere a eso. La idea es que la ciberseguridad forme parte de las conversaciones cotidianas, y que tengan siempre cabida en las reuniones de equipo, tanto en las reuniones individuales con los directivos como en las reuniones de toda la empresa.
No hace falta dar charlas o reprender a los empleados para que mantengan buenas medidas de ciberseguridad. Recuérdeles la importancia de la ciberseguridad y que todos forman parte del esfuerzo colectivo por mantener la seguridad en línea. Se trata de un ejercicio de equipo como tantos otros en el lugar de trabajo, y todo el mundo debe participar por el bien del grupo. Presente la ciberseguridad como una práctica positiva, en lugar de como un obstáculo para conectarse a Internet. Acepte cualquier pregunta que le planteen y respóndala. Fomente la curiosidad y la retroalimentación.
Predique con el ejemplo
Obviamente, nadie necesita conocer su contraseña. No obstante, los directivos de las empresas y de los departamentos de TI de las organizaciones pueden seguir poniendo en práctica buenas medidas de ciberseguridad en público. Utilice la autenticación multifactor en las reuniones siempre que sea posible. Envíe avisos sobre los mensajes de correo electrónico sospechosos que reciba (pero no los reenvíe, por supuesto). Proporcione a los usuarios un gestor de contraseñas y enséñeles cómo utilizarlo.
Es fundamental demostrar que la ciberseguridad no es solo responsabilidad del equipo de TI, sino de todos, desde el CEO hasta los becarios. Haga todo lo que esté en su mano para demostrar y debatir públicamente su propio compromiso con la ciberseguridad y para animar a los demás a seguir su ejemplo. Una vez más, la idea no consiste en establecer un estado dictatorial en la empresa, sino en fomentar un sentido de propósito y de trabajo en equipo.
Disponga de la tecnología adecuada
Por mucho que usted y sus empleados se esfuercen, siempre se correrán riesgos. Los ciberatacantes están aumentando su nivel de sofisticación con la ayuda de la inteligencia artificial, y cada vez perpetran más ataques y con mayor frecuencia.
Apueste por la formación en materia de ciberseguridad. No es la panacea para mantener una cultura de ciberseguridad cuando se despliega de forma aislada, pero es un elemento absolutamente necesario para cualquier organización que desee reforzar sus ciberdefensas. Bien utilizada, constituye una sólida base para construir una cultura de ciberseguridad.
La formación en concienciación sobre ciberseguridad no tiene por qué ser difícil de implementar. De hecho, se puede utilizar software para automatizar y planificar la formación. Además, se puede utilizar para recordar a los empleados constantemente la importancia de seguir buenas prácticas de ciberseguridad. La clave es considerar la formación como un elemento esencial de una cultura de ciberseguridad más amplia.
En cuanto a la generación de resultados medibles, al Mes de la concienciación sobre ciberseguridad aún le queda trabajo por hacer. Sin embargo, las tendencias globales carecen de relevancia para su empresa. Lo importante es cómo se comporten sus empleados en línea, y usted puede ejercer en ellos una gran influencia para guiarles hacia la dirección correcta.
