FACTOR HUMANO: POSIBLES RIESGOS EN LA CIBERSEGURIDAD DE LA EMPRESA

Autor: Raúl Valbuena

Os damos la bienvenida a este proyecto conjunto entre Bidaidea y Sec2Crime sobre Ciberseguridad Industrial que aborda desde una visión integral las vulnerabilidades y amenazas en la industria 4.0 a través de un conjunto de artículos que irán saliendo a la luz en los próximos meses. En cada uno de ellos se realizan una serie de reflexiones y recomendaciones sobre como paliar, prevenir y anticiparse a posibles violaciones en la seguridad a mediante la correcta implantación de un plan de acción adecuado en materia de ciberseguridad

Pincha aquí para ver más artículos sobre Ciberseguridad Industrial

Resumen

Este estudio se focaliza en cómo el empleado puede ser un factor de vulnerabilidad en la seguridad de la información empresarial. Estos datos constituyen uno de los activos más importantes de una compañía (incluyendo la propiedad intelectual, planes estratégicos, cartera de clientes, nóminas…) con un interés ético, legal y corporativo. El propio empleado tiene la responsabilidad de no suponer una brecha, pero a veces bien por dolo o bien por imprudencia lo es. En este caso los ciberdelincuentes pueden utilizar determinados métodos o herramientas como los ataques de SQL (structured query language) injection, phishing, format string bugs…, para acceder a este activo. Así pues, el presente artículo pretende servir como guía del buen quehacer empresarial en materia de seguridad de la información.

Palabras clave: Ciberseguridad, Error humano, Factor humano, Vulnerabilidad informática.

Error y Factor Humano

En los últimos años la ciberseguridad se ha convertido en uno de los principales aspectos corporativos a cuidar. Principalmente para aquellas compañías con completa automatización de sus procesos, en donde los ciberincidentes pueden afectar al servicio esencial prestado (INCIBE, 2020). Esto incluye desde las cadenas de montaje de la industria automovilística a los datos de una consultaría fiscal.

La dinámica general de las empresas en España ha sido la de integrar un mayor nivel de digitalización. A pesar de las ventajas que esto entraña, la incorporación de estos sistemas informáticos también conlleva una mayor exposición y riesgo de sufrir ciberincidentes (INCIBE, 2020). Gran parte de las brechas de seguridad –especialmente las pérdidas de información— son consecuencia de cibercriminales (Viveros, 2022). Estos se aprovechan de los usuarios más desinformados, que no son plenamente conscientes de la repercusión que sus propias acciones pueden tener. De esta manera el factor humano constituye una figura muy importante, más allá de ser considerado exclusivamente fuerza de trabajo es quien en última instancia salvaguarda la información.

En este contexto, el error humano se entiende como “aquellas acciones involuntarias u omisiones que finalmente provocan y/o permiten una violación de la seguridad en la entidad” (Campbell, 2021). Ello abarca un amplio abanico de acciones, desde la utilización de una contraseña de dudosa seguridad hasta la descarga de un archivo o programa infectado con un malware.

Así pues, el error de los trabajadores es un factor contribuyente en el 95% de los ciberincidentes (Viveros, 2022). De hecho, a pesar de las continuas mejoras en la ciberseguridad2 cualquier acción requiere en algún momento la intervención humana, como por ejemplo el propio diseño del plan de contención (Arroyo-Siruela, 2021).

Generalmente muchos de estos problemas pueden evitarse mediante la concienciación y formación cibernética. Paralelamente a las inversiones orientadas a mejorar las infraestructuras IT es crucial otorgar a los trabajadores el rol del cuidado de la seguridad de información (Viveros, 2022).

Por lo tanto, es imprescindible que la empresa incluya y considere a sus empleados como una pieza más en su plan de seguridad. Para ello es importante generar una cultura empresarial que haga comprometerse a cada trabajador con el fin de reducir la incidencia y el impacto de los ciberincidentes (Arroyo-Siruela, 2021).

Vulnerabilidades Informáticas

Cuando se habla de vulnerabilidad informática se hace referencia a “una debilidad o un fallo en los sistemas de información que pone en riesgo su seguridad, dejando una brecha a los ciberataques y comprometiendo tanto la integridad, como la disponibilidad y la confidencialidad de la información de la empresa” (S2 Grupo, 2020). Estas brechas pueden deberse a un fallo de la configuración o a un error en el procedimiento.

La gestión de las vulnerabilidades requiere conocer las características de los activos de la compañía (productos, propiedad intelectual…) de manera que se puedan identificar los puntos débiles para salvaguardar la actividad de la empresa. A continuación, se describen algunas de las vulnerabilidades informáticas más frecuentes –que según Graciel Marker (n.d.)— pueden afectar a la actividad laboral.

  • Buffer overflow o desbordamiento de buffer: se trata de un error de software que se produce cuando un programa es incapaz de hacer frente a la cantidad de datos que se copian en el buffer1. De modo que si dicha cantidad es superior a la capacidad preasignada los bytes sobrantes son almacenados en otras zonas, sobrescribiendo el contenido original donde podría haber instrucciones, lo que podría alterar el flujo del programa. El resultado es que en algunos casos se puede conseguir cierto nivel de control saltándose las limitaciones de seguridad de un programa con privilegios especiales, lo supondría una grave brecha de seguridad.
  • Race condition o condición de carrera: esta condición se cumple cuando una secuencia de eventos se ejecuta en orden arbitrario y sobre un mismo recurso compartido, produciendo un error en el programa al no llegar en el orden previsto por el programador.
  • Format string bugs o error de formato de cadena: se trata de un error en la programación del desarrollador que escribe accidentalmente un código sin una variable. La brecha que origina esta vulnerabilidad puede ser aprovechada para modificar datos que facilite el robo de información e incluso puede aprovecharse para realizar un ataque SQL inyection.
  • Cross Site Scripting (XSS) o secuencia de comandos en sitios cruzados: esta vulnerabilidad es explotada cuando se pueden ejecutar scripts de lenguajes como JavaScript o VBScript. Se encuentran en multitud de aplicaciones que se utilizan para mostrar información en un navegador web –que no se encuentre bien protegido. El uso más extendido de esta técnica es el “phishing”, el cual básicamente suplanta un sitio web de manera que la información utilizada es robada.
  • SQL Inyection o inyección SQL: El SQL es un lenguaje donde los diseñadores crean bases de datos con su propio conjunto de normas. Si el desarrollador ha dejado algún resquicio es posible adjuntar un nuevo código SQL que no forme parte del original con el propósito de alterar el funcionamiento de la aplicación a gusto del atacante.
  • Denial of service (DoS) o denegación del servicio: este ataque va dirigido a un sistema informático o a la propia red, causando la inaccesibilidad a un recurso o servicio. Generalmente provoca una pérdida de la conectividad de la red debido a la intencionada sobrecarga del servidor, de modo que este no puede hacer frente a la ingente cantidad de solicitudes.
  • Window spoofing o ventanas engañosas: esta vulnerabilidad permite al atacante mostrar mensajes o ventanas emergentes en el equipo de la víctima. Por lo general consiste en hacer creer al usuario que es el ganador de un premio o que el equipo está infectado por un virus. Si la persona accede, es posible obtener información relevante almacenada en el equipo –como contraseñas. 

Prevención en Ciberseguridad

En definitiva, el factor humano tiene un crucial impacto en la seguridad de la información en la empresa. El interés por recabar información –por motivos de espionaje, secuestro, venta…– ha conllevado el desarrollo de diferentes herramientas o métodos criminales para hacerse con ella. Como se ha explicado anteriormente, los más comunes se aprovechan del mismo tipo de oportunidad, el error humano.

Para combatirlo, las empresas implementan dentro de sus planes de ciberseguridad protocolos para la concienciación cibernética de sus empleados. Se trataría de dar una formación sobre seguridad e informática básica, así como de las vulnerabilidades y métodos informáticos como el phishing. Fomentar debates sobre actividades laborales cotidianas, emplear carteles recordatorios e incluso tener un responsable que atienda a cuestiones de seguridad. De este modo se consigue establecer una cultura de seguridad en la compañía y, además, se evita realizar grandes inversiones informáticas tales como la autentificación biométrica. Como consecuencia los usuarios y/o empleados servirán como un primer cortafuegos o escudo porque llegará a contemplar las consecuencias de seguridad que pueden derivas de sus acciones.

Además de la concienciación de sus trabajadores, las compañías pueden poner en práctica otro tipo de ítems para evitar ser víctimas. Por ejemplo, para reducir las oportunidades de que se produzca un ciberincidente se pueden controlar los privilegios de acceso del usuario para que solo pueda utilizar la información necesaria para el desempeño de sus funciones. Por otro lado, también puede ser útil el empleo de programas que gestionen contraseñas. De esta manera los empleados no tienen que recordarlas o tenerlas apuntadas en su lugar de trabajo. Incluso puede ser muy interesante el uso de otros sistemas de autentificación como controles de acceso biométrico.

Por último, es muy importante mantener las aplicaciones y programas del sistema actualizados, descargarlos desde sitios oficiales y preferentemente conocidos. Además, es necesario disponer de un firewall que proteja la red privada y un software de seguridad siempre actualizado.

Conclusiones

La principal aportación de este trabajo es concienciar del importante rol que tiene el empleado de una empresa en materia de seguridad de la información. Como se ha comentado en muchas ocasiones los cibercriminales se sirven de las brechas de seguridad producidas por descuidos y errores de estos usuarios. Debido al importante activo que supone la información empresarial se han desarrollado diferentes herramientas y métodos para hacerse con este.

La propia compañía ha de protegerse frente a los ciberataques dirigidos a sus sistemas informáticos, con el objeto de asegurar su información más relevante como la propiedad intelectual, cartera de clientes, nóminas, planes estratégicos… Esto se hace a través del diseño de un plan de ciberseguridad, el cual además de contemplar aspectos informáticos, físicos e incluso ambientales, se cuenta con protocolos centrados en la formación de los propios empleados sobre seguridad e informática básica.

En definitiva, es determinante para la seguridad de la información empresarial que los propios empleados asuman el rol y la responsabilidad que les corresponde en este ámbito. Solo así se podrá disminuir el impacto y evitar la mayoría de ciberincidentes relacionados con este importante activo.

Raúl Valbuena

Criminólogo especializado en Ciberseguridad

Bibliografía

  • Arroyo-Siruela, C. del C. (2021, September 23). El factor humano: elemento clave de la ciberseguridad. Https://Empresas.Blogthinkbig.Com/Factor-Humano-Elemento-Clave-Ciberseguridad/.
  • Campbell, A. (2021, August 23). El papel del error humano en el éxito de las violaciones de la ciberseguridad. Https://Blog.Usecure.Io/Es/the-Role-of-Human-Error-in-Successful-Cyber-Security-Breaches.
  • INCIBE. (2020, February 1). Ciberseguridad en la pyme industrial española. https://www.incibe.es/protege-tu-empresa/blog/ciberseguridad-pyme-industrial-espanola
  • Marker, G. (n.d.). Vulnerabilidades informáticas. Https://Www.Tecnologia-Informatica.Com/Vulnerabilidades-Informaticas/.
  • S2 Grupo. (2020, September 1). Conoce los tipos de vulnerabilidades en seguridad informática. Https://S2grupo.Es/Conoce-Los-Tipos-de-Vulnerabilidades-En-Seguridad-Informatica/.
  • Viveros, M. (2022, March 30). Importancia del factor humano en la ciberseguridad empresarial. Https://Www.Idric.Com.Mx/Blog/Post/Importancia-Del-Factor-Humano-En-La-Ciberseguridad-Empresarial.