La falta de información facilita el acceso de los delincuentes a la red corporativa. Expertos señalan cuáles son los principales errores y explican cómo mejorar la protección de su organización.
Un nuevo estudio de Kaspersky revela que casi el 40% de los trabajadores latinoamericanos desconocen las políticas de seguridad digital de sus empresas. Esta falta de conocimiento aumenta la vulnerabilidad de las organizaciones ante ciberataques, ya que los empleados son constantemente blanco de estafas que implican hacer clic en enlaces maliciosos o instalar software que permite el acceso no autorizado a la red corporativa. Las consecuencias incluyen la filtración de datos confidenciales, tales como propiedad intelectual, información financiera y datos de clientes.
Los resultados del estudio de Kaspersky, realizado en colaboración con la consultora Corpa, muestran que el 17% de los latinoamericanos desconoce si su empresa cuenta con algún tipo de estándar de seguridad. Mientras tanto, el 21% de los empleados sabe que existe una política, pero no conoce su contenido. En total, casi 4 de cada 10 empleados desconocen qué espera la empresa de ellos para mantener la protección del entorno corporativo.
Los datos también muestran que el 8% de las organizaciones no cuentan con políticas de seguridad digital. Si bien esta tasa es baja, estas empresas terminan exponiéndose a ataques en línea al descuidar un aspecto esencial de la ciberseguridad. Afortunadamente, el 55% de las organizaciones latinoamericanas ya cuentan con políticas claras y sus empleados conocen su funcionamiento.
Como explica Claudio Martinelli, director general para América Latina en Kaspersky, la falta de información de los empleados sobre las prácticas de seguridad adoptadas por la empresa aumenta significativamente el riesgo de ciberataques. “Los delincuentes atacan directamente a las personas, creyendo que un simple clic en un enlace sospechoso o la instalación de un programa, incluso una supuesta actualización, es suficiente para acceder a la red corporativa”, comenta. “La falta de capacitación o de conocimiento de las políticas de seguridad de la empresa por parte de sus colaboradores termina sobrecargando al área de seguridad, que debe reaccionar a muchas más amenazas e incidentes cibernéticos que podrían haberse evitado fácilmente”, añade.
El riesgo no se limita a la empresa, ya que el ciberdelito solo busca obtener ganancias, independientemente de su procedencia. Esta concientización es importante porque más de una cuarta parte (27%) de los latinos usa computadores personales en el trabajo. En esta situación, un ataque afecta directamente al individuo y también expone a la organización cuando el dispositivo se conecta a la red de la empresa.
La delgada línea entre la vida personal y el trabajo se estrecha aún más cuando la encuesta analiza las acciones que realizan los empleados en los equipos corporativos. Según los datos, el acceso a redes sociales personales, las compras en línea y las consultas bancarias lideran las prácticas, con un 49%. En segundo lugar, se encuentra el uso de servicios de inteligencia artificial, con un 46%. Uno de cada tres encuestados declara tener la costumbre de conectarse a redes Wi-Fi públicas o abiertas.
“Lo primero que solemos pedir al llegar a un restaurante es la contraseña del Wi-Fi. Sin embargo, conectarse a redes públicas representa un riesgo: no sabemos quién puede estar monitoreando la conexión, y nuestros dispositivos quedan expuestos a posibles ataques. Si se trata de un equipo corporativo, el peligro es aún mayor, ya que puede contener información sensible como propiedad intelectual o datos de clientes”, destaca Martinelli.
La encuesta también muestra que el 15% de los latinos estaría dispuesto a descargar aplicaciones, software o plataformas sin autorización previa, el 11% accede a sitios web pornográficos utilizando equipos corporativos y el 14 % hace clic en enlaces a ofertas o promociones sin verificar su autenticidad. “Si bien estas tasas son inferiores a las de otras prácticas, estos tres comportamientos representan un riesgo muy alto para la seguridad personal y corporativa, y son situaciones normalmente contempladas en las políticas de seguridad”, recalca el ejecutivo.
Según el informe de Respuesta a Incidentes de Kaspersky, el phishing (mensajes falsificados con enlaces fraudulentos) es el cuarto vector de infección más común. El segundo más común es el uso de cuentas corporativas válidas por parte de los atacantes, lo que significa que estas contraseñas ya han sido robadas, a menudo mediante campañas de phishing.
“Piense en una casa. Queremos que sea segura, pero ningún sistema puede protegerla si las personas dejan las puertas y ventanas abiertas al salir. El nivel de seguridad de cualquier estructura siempre será equivalente a la fortaleza de su punto más débil. Es por eso que es fundamental que las organizaciones inviertan en la educación digital de sus colaboradores, para que se protejan a ellos y la empresa”, destaca Martinelli.
Para ayudar a las empresas a protegerse contra los ataques dirigidos a sus empleados, Kaspersky recomienda:
- Capacite a todos los empleados sobre los conceptos básicos. Existen plataformas en línea, como Kaspersky Automated Security Awareness Platform, que permiten personalizar los módulos de aprendizaje según el perfil de cada empleado. Los temas que se abordan incluyen la protección de cuentas en línea, la seguridad del correo electrónico, la protección informática y la LGPD (Ley General de Protección de Datos).
- Cree políticas y adopte tecnologías que dependan lo menos posible del factor humano. Es posible bloquear correos electrónicos con archivos y enlaces maliciosos directamente en el servidor, lo que reduce el riesgo de clics involuntarios. Sin embargo, no existe una seguridad 100 % garantizada; la capacitación sigue siendo esencial.
- Utilice la autenticación de dos factores (2FA). Una VPN corporativa ayuda a evitar que los delincuentes accedan a datos confidenciales, incluso con un inicio de sesión no autorizado. Sin embargo, si una cuenta válida se ve comprometida, la 2FA, especialmente con un token físico, puede impedir el acceso.
- Realice simulacros de phishing. Las pruebas periódicas ayudan a medir el nivel de concienciación de los empleados e identificar la necesidad de capacitación.
- Utilice soluciones de seguridad de calidad y siempre actualizadas. Esto garantiza una mayor protección contra errores humanos e incidentes prevenibles.
- Garantice la participación de la dirección de la empresa. Cuando los líderes demuestran preocupación por la seguridad corporativa, los empleados tienden a seguir el ejemplo y a adoptar las buenas prácticas con mayor facilidad.
*Los datos forman parte del estudio Lenguaje Digital 2024 realizado por Kaspersky, para analizar el panorama actual de la ciberseguridad entre los usuarios de internet en Latinoamérica y revelar los riesgos que enfrentan las empresas y los usuarios al conectarse y navegar por Internet.
Para más información sobre esta nueva investigación, visite nuestro blog
