En seguridad informática hace años acuñamos el mantra de que “el peor enemigo para la seguridad es el propio usuario”. Este era el culpable de casi todos los males de la empresa, por él entraban las más variopintas amenazas ya convertidas en problemas para la organización, él era el causante de que un virus se propagara por la organización, porque, ya se sabe, “hay usuarios muy ociosos navegando por vete tú a saber dónde y descargándose vete tú a saber qué”. Pero esto puede estar cambiando, puede que se esté inclinando la balanza hacia el otro lado y la mayor cantidad de amenazas y peligros vengan del “mundo exterior”.
Este decremento del riesgo asociado al usuario interno puede deberse al trabajo que están realizando muchas compañías con sus campañas de sensibilización (awareness, si queremos ir al término anglosajón y más usado), ya que las grandes empresas fabricantes de este tipo de software ofrecen suites completas para que se pueda poner a prueba al usuario enviándole un correo de phishing para que, acto seguido y si ha caído en la trampa, se le incluya en acciones formativas y, semanas o meses después, volver a comprobar su capacidad de ser cazado.
La madurez del usuario es otro aspecto que claramente ha hecho mejorar las cifras, y es que ya es difícil que los usuarios acaben creyendo que un príncipe nigeriano les va a dar parte de su fortuna, que constantemente han ganado un iPad o que hay personas del otro sexo deseando conocerlos. Esta madurez ha hecho que los “malos” tengan que esforzarse mucho más en sus tácticas, y fruto de ello cometan errores muy visibles como, por ejemplo, las frases faltas de toda coherencia que encontramos en muchos de estos correos trampa.
Si prestamos atención a los incidentes de seguridad ocurridos en estos últimos meses, casi ninguno ha sido ocasionado por un usuario interno, la mayoría de ellos son aprovechando errores en el código de las aplicaciones, utilizando técnicas como la inyección SQL, el Cross Site Scripting y demás malabarismos que una persona con suficientes conocimientos y la motivación necesaria son capaces de explotar.
Si prestamos atención a los incidentes de seguridad ocurridos en estos últimos meses, casi ninguna ha sido ocasionado por un usuario interno
En un momento de la historia y de la tecnología como es el actual, en el que incluso se han acuñado términos como Xploit as a Service para generar auténticos supermercados de explotación de vulnerabilidades, en el que es posible comprar un ataque especialmente dirigido a la aplicación o web que queramos, pero no solo eso, sino que incluso dentro del paquete comprado se nos incluye un servicio de asistencia 24×7 para cualquier problema que pudiera surgir, el usuario ya no es tan relevante y se generan auténticas granjas de desarrolladores en busca de crear xploits cada vez más efectivos.
Si a todo esto sumamos que la industria del cibercrimen es la número uno en ingresos, superando a la venta de droga, prostitución, etc., caemos en la cuenta de que no únicamente las empresas son los objetivos de estos ciberdelincuentes. Cada vez más se está viendo como se están robando bitcoins a pequeños inversores, se está extorsionando y chantajeando a personas tras haber conseguido acceso a las fotos que guardaban en sus servicios cloud favoritos, etc.
Es por esto que tal vez sea el momento de no solo mirar hacia dentro, sino también reforzar la visión hacia fuera que habíamos planteado inicialmente para nuestra estrategia y, tal vez, decir aquello de “más vale malo conocido….”.