Todos y cada uno de nosotros representa el mayor riesgo para la seguridad del sistema informático de nuestra empresa. “Si quiero atacar a alguien, normalmente lo hago a través de los empleados. Es mucho más fácil que engañar a la tecnología”, dice Peter Leppelt, director general y cofundador de Praemandatum. Casi uno de cada dos hackeos se debe a un error humano. Un método muy popular es la suplantación del correo electrónico. Finge ser otra persona. Otro método consiste en colocar memorias USB en los aparcamientos y conectarlas a los ordenadores de la empresa. El envío de archivos PDF comprometidos, por ejemplo, como solicitudes de empleo, que luego se imprimen y hacen que la impresora pueda ser secuestrada, es otra forma de atacar los sistemas informáticos. El pirateo de empleados puede utilizarse para acceder a patentes o ideas de negocio. El hackeo es más rentable que nunca. Los daños se estiman en 600.000 millones de dólares al año (estimación de McAfee). Incluso los precios de las acciones de las empresas pueden verse muy afectados. En el productor de aluminio Norsk Hydro, 40 millones de dólares desaparecieron de la bolsa debido a un ataque de hackers. En la cadena hotelera Mariott, los piratas informáticos robaron los datos de 327 millones de huéspedes, incluidos los números de tarjetas de crédito y pasaportes. Los hackeos espectaculares suelen pasar desapercibidos para los afectados.
Los hackers tienen dos objetivos principales. Quieren desviar la información lo más desapercibida posible o chantajear. Por medio de un malware, el sistema se paraliza y sólo cuando se realiza el pago se puede volver a liberar. Se puede observar que la ingeniería social está aumentando fuertemente. Se anima a los empleados a divulgar sus contraseñas, por ejemplo, a través de correos electrónicos que provienen de proveedores supuestamente reputados y que solicitan las contraseñas. También en las redes sociales se suele revelar más de lo que es bueno. Los piratas informáticos son muy capaces de deducir las contraseñas a partir de la información disponible allí (por ejemplo, cumpleaños, nombres de hijos o mascotas). Además de que si te hackean como empleado, causas un daño a tu empleador, también eres culpable como cómplice.
¿Qué ayuda contra esto?
Muchos empleados ni siquiera son conscientes de los peligros. Eso significa que hay que concienciarlos mediante la educación. Esto puede ocurrir en los cursos de formación o en los boletines periódicos sobre el tema. Los simulacros de suplantación de identidad también son útiles para aumentar la concienciación. La empresa envía correos electrónicos falsos e inofensivos que se parecen a los correos fraudulentos o maliciosos. Si el empleado sigue las indicaciones del correo electrónico, recibe una nota en la que se le indica que podría tratarse de un correo electrónico de suplantación de identidad y se le aclara a qué debe prestar atención. Además, el empleado debe elegir contraseñas seguras. Las contraseñas deben tener al menos 8 caracteres, estar formadas por letras mayúsculas y minúsculas, así como por caracteres especiales, y no deben encontrarse en ningún diccionario ni estar asociadas a usted.