Por Antonio Ramilo, Head of Sales de Retarus

El email se ha convertido en un caballo de Troya que compromete a las empresas. Esta herramienta que utilizamos en nuestro día a día ha evolucionado hasta convertirse en el eje de la comunicación comercial. Un canal fundamental, pero a la vez, el objetivo más frecuente para los ciberdelincuentes que merodean en la red. Como es de esperar, las acciones indebidas que realizan los empleados al recibir estos correos electrónicos se convierten en el punto de entrada perfecto para el fraude.

En promedio, las empresas reciben alrededor de 121 emails diarios, durante los días laborales, según estudios de Radicati Group. Con el avance implacable de la tecnología, han surgido una diversidad de ciberataques, desde el clásico phishing y el más selectivo spear-phishing, hasta el sofisticado spoofing, el destructivo ransomware y las amenazas emergentes como los deepfakes, potenciados por la inteligencia artificial. Además, más del 50% de los incidentes fraudulentos afectan a empresas. Así lo indica INCIBE en su Balance de Ciberseguridad 2022, en el que señala un aumento del 9% en el número de incidentes de ciberseguridad respecto al año anterior.

La ciberseguridad debe ser la protagonista

No existe una protección al cien por cien. Por eso está claro, que la ciberseguridad debe ocupar un lugar prioritario en la agenda de las organizaciones. Por un lado, necesitan un enfoque técnico integral. En el mejor de los casos, las empresas eligen una solución que las proteja de amenazas avanzadas como Business Email Compromise y Ransomware, pero que también ofrezca mecanismos innovadores para la Post Delivery Protection y Email Continuity en el caso de que el malware ya haya entrado en la infraestructura de la empresa. 

En este contexto, en Retarus ofrecemos servicios especializados en seguridad de correo electrónico. Estos servicios representan una capa adicional de protección, brindando soluciones avanzadas para contrarrestar los diversos ciberataques dirigidos a través del correo electrónico.

Los atacantes se dirigen a las personas, no a las máquinas

Por otra parte, la educación y la formación de los empleados desempeñan un papel crucial. Los atacantes tienen como objetivo a las personas, no a las máquinas.  Los vectores de ataque sofisticados «sólo» sirven para llegar a una persona concreta o para ganarse de manera encubierta la confianza necesaria de un empleado mediante contenidos de phishing que parezcan auténticos de forma convincente. Por ese motivo, cuanto más se centre la atención en el ser humano, más deberán trabajar mano a mano la tecnología y los empleados para defenderse contra las ciberamenazas. Palabras clave como «diseño centrado en el ser humano» abogan claramente por soluciones de seguridad fáciles de entender y orientadas al usuario. Al mismo tiempo, se insta a los CISO a que consideren temas como la concienciación sobre la seguridad y la educación de los usuarios de forma aún más intensa en sus estrategias de TI.

Un estudio de The World Economic Forum destaca que el 95% de las brechas de seguridad tienen algún tipo de error humano como factor contribuyente. Dotar a los empleados de los conocimientos y herramientas necesarios para reconocer y contrarrestar estos ataques puede ser la línea de defensa más eficaz para proteger los datos sensibles, salvaguardar la reputación de la marca y garantizar la estabilidad financiera de una empresa. La seguridad activa, entendida como acciones firmes y decisivas, es más necesaria que nunca.

Las empresas pueden, por ejemplo, confiar en plataformas de aprendizaje interactivas y orientadas al usuario con contenidos actualizados, que se imparten mediante métodos probados de la ciencia del comportamiento, por ejemplo, a través del microaprendizaje, la gamificación y el nudging. Las experiencias de aprendizaje personalizadas garantizan que los módulos puedan integrarse fácilmente en la jornada laboral de los empleados. Gracias a las simulaciones inteligentes de phishing, los conocimientos aprendidos en los módulos se ponen a prueba en escenarios reales de ataque, lo cual, se ha demostrado, potencia la memoria de los participantes. Lo ideal es que la formación se adapte a las necesidades específicas de la empresa y abarque multitud de temas relacionados con la seguridad, como el phishing, la ingeniería social, el ransomware y el malware.

Conclusión

Esto cobra especial relevancia sobre todo en un momento en el que, además, el teletrabajo se ha impuesto como modelo de trabajo omnipresente. Las organizaciones son conscientes de que necesitan blindarse, como demuestra el importante aumento de la inversión en ciberseguridad: según Deloitte, el 62% de las empresas españolas afirma haber aumentado su presupuesto en ciberseguridad en 2022.

Este aumento en la asignación de recursos evidencia la prioridad que las empresas dan a la protección de sus sistemas y datos. Sin embargo, la formación de las personas sigue siendo primordial en el caso de los correos electrónicos. La naturaleza siempre cambiante de las amenazas digitales exige una vigilancia, adaptación y formación constantes.