¡Culpar al Phishing no da Resultados!
Adaptación del articulo “Why the Phishing Blame Game Misses the Point” https://www.cyberark.com/resources/blog/why-the-phishing-blame-game-misses-the-point
El phishing es un gran problema que se está agravando a medida que los ciberdelincuentes encuentran nuevas formas de enganchar a los empleados. Con amenazas procedentes de todas las direcciones (correos electrónicos en los ordenadores de la empresa, mensajes de texto y de voz en los dispositivos móviles y en los canales de comunicación personales, sitios maliciosos de suplantación de identidad, códigos QR de marketing falsos y mucho más) es sólo cuestión de tiempo que alguien tropiece y abra o haga clic en algo que no debería. Cuando lo hacen, y ese ataque de phishing conduce a una dañina violación de datos, ¿quién tiene la culpa?
La Contradicción del Phishing «Haga Click en Esto, No en Aquello”
En los aeropuertos, estaciones de tren y otras zonas de gran afluencia del mundo físico, las fuerzas del orden colocan carteles advirtiendo a la gente de que esté atenta a comportamientos sospechosos. Aunque la vigilancia pública es fundamental, no se espera que los ciudadanos identifiquen a ladrones de bancos o terroristas, desafíen a los que se saltan los semáforos en rojo o impidan la entrada de visitantes no autorizados en los edificios.
Sin embargo, en el mundo digital, los usuarios del personal (normalmente ajenos al departamento de seguridad informática) se han convertido en guardianes de primera línea del phishing. Y están inundados de orientaciones contradictorias de «haga clic en esto, no en aquello». Piense en el ejecutivo de recursos humanos cuyo trabajo implica revisar los currículos que llegan a diario a través del correo electrónico, las aplicaciones web y las redes sociales. O en el empleado que recibe regularmente correos electrónicos, supuestamente del departamento de TI, en los que se le indica que haga clic en los enlaces para revisar las políticas de la empresa y descargar las actualizaciones de software necesarias. ¿Es razonable esperar que estas personas evalúen cada archivo adjunto y cada enlace, detectando lo malicioso de lo legítimo con una precisión del 100%, el 100% de las veces? Y cuando un usuario cae en un intento de phishing y se da cuenta demasiado tarde, ¿está facultado para denunciarlo o trata de encubrirlo, avergonzado y temeroso de las posibles consecuencias?
El Primer Paso: La Concientización Sobre el Phishing
No malinterpretemos. La seguridad es un juego de equipo que todos deben jugar, y la educación sobre el phishing es fundamental. De hecho, los líderes en seguridad identifican la formación en concientización sobre seguridad como uno de los tres componentes más eficaces de una estrategia de defensa en profundidad para combatir el ransomware. Un gran número de investigaciones demuestra que la educación regular sobre el phishing puede marcar una diferencia positiva y promover la mentalidad de juego en equipo. Enseñar a los usuarios las ramificaciones en el mundo real de un comportamiento arriesgado, como el reenvío de correos electrónicos personales a cuentas de trabajo, también puede ayudar a disipar el mito de que los equipos de seguridad son como cinturones de seguridad todopoderosos: están ahí para proteger a las personas de cualquier daño, sin importar lo rápido que conduzcan. Pero la educación sobre el phishing no es suficiente por sí sola, y las estrategias de prevención del phishing que se centran en la responsabilidad humana tienen pocas probabilidades de éxito.
El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) publicó recientemente un post (tenga en cuenta que está en inglés) en el que se preguntaba: «¿Qué haríamos de forma diferente si realmente animáramos a los usuarios a hacer clic en los enlaces sin miedo?». Es una pregunta teórica, por supuesto, pero obliga a un importante cambio de perspectiva.
¿Qué nos Haría Falta para Hacer Click sin Miedo?
Los ciberintrusos innovan constantemente y siempre encontrarán formas de introducirse en los entornos. Esta es una de las razones por las que la Confianza Cero ha cobrado tanto impulso. Se basa en la suposición de que cualquier identidad o Endpoint podría verse comprometido. Por ello, la seguridad debe partir de una mentalidad de asunción de brechas, que reconozca que todos los usuarios (ya trabajen en RRHH, marketing, finanzas, desarrollo o incluso en el departamento de TI) pueden ser víctimas de phishing.
En lugar de intentar controlar cada clic, la atención se centra en controlar lo que es realmente controlable. Por ejemplo, aplicando una autenticación fuerte en todas partes, practicando una buena higiene de credenciales y siguiendo sistemáticamente el principio del menor privilegio (tanto para las identidades humanas como para las no humanas) para ayudar a prevenir el robo de credenciales. O implementando listas de permitidos y control de aplicaciones para ayudar a mitigar las descargas maliciosas.
Este enfoque de seguridad no consiste en culpar a nadie, sino en hacer hincapié en la concientización Y en poner en marcha las defensas en capas adecuadas para encontrar y detener rápidamente a los atacantes. Para ello, el NCSC ofrece una guía útil de defensa en profundidad (tenga en cuenta que este está en inglés) dirigida a prevenir la entrega de correos electrónicos de phishing, la ejecución inicial de código y los daños futuros que merece la pena leer.
Basta de Culpar al Phishing
Los humanos estamos biológicamente programados para culpar. Cuando nos ocurren cosas malas, instintivamente buscamos razones más allá de nosotros mismos. Incluso como espectadores, ansiamos ese cierre de «quién lo hizo». Es la razón por la que los principales informes de infracciones desatan oleadas de especulaciones y por la que el error humano es una explicación corporativa común. Sin embargo, aunque el juego de culpar al phishing puede ayudarnos a sentirnos mejor, estamos pasando por alto (o ignorando) el punto más significativo. Es decir, la culpa se refiere a la responsabilidad; la responsabilidad está arraigada en la confianza; y la confianza inherente (en cualquier persona o cosa) debe despojarse por completo de la ecuación de la seguridad moderna.
La seguridad de la identidad, centrada en controles inteligentes de privilegios, sienta las bases de la Confianza Cero al limitar el acceso a quienes lo necesitan y conceder únicamente el privilegio mínimo para la tarea en cuestión.