En España, el 62% de ataques cibernéticos a empresas suceden a través de sus empleados, y de manera involuntaria. Así lo indica el más reciente informe sobre Ciber Amenazas Edición 2021 del Centro Criptográfico Nacional (CCN). Además, el phishing es la estrategia de ataque más utilizada: «hasta en un 38% de los incidentes involuntarios provocados por actores internos [en una organización] se han originado a través de este vector de ataque,» indica el reporte.
Por otro lado, cabe señalar que un 14% de ataques a las compañías proceden de «actores internos intencionados» quienes, incluso, buscan deliberadamente a los usuarios más vulnerables de la organización para desarrollar su estrategia de entrada. El reporte del CCN señala un aumento en el nivel de amenaza proveniente del personal interno, en oposición a los hackers que trabajan desde fuera, siendo la ciberseguridad uno los activos más importantes en los últimos años.
Teletrabajo: factor que aumenta el riesgo interno de sufrir ataques cibernéticos
Según el reporte de la CCN, el nivel de riesgo a ataques cibernéticos en las empresas pudo haber aumentado por ocasión del teletrabajo, el cual se caracteriza por una «significativa interdependencia hacia los dispositivos tecnológicos y de información.» En ese sentido, la necesidad de equipos para trabajar puede llevar al uso de equipos poco seguros; escenario que aprovechan los hackers para vulnerar la seguridad de las organizaciones.
Adicionalmente, señala el reporte, la pandemia ha hecho aumentar el estrés psicológico entre empleados de ciertas profesiones (ejemplo: sector salud). Lo anterior, sumado a la situación sociofamiliar de cada individuo, son otros factores que influyen en el descuidado hacia los protocolos de ciberseguridad.
VPN, una estrategia recomendada para mejorar la ciberseguridad de las compañías
Cuando se trata de ciberseguridad, muchos expertos incluyen a las VPN entre sus estrategias de mitigación de ataques. ¿Qué es una VPN? Según la propia CCN, «las redes privadas virtuales −o, por su terminología en inglés, virtual private networks (VPN)− son una serie de tecnologías que proporcionan una conexión segura para el acceso a información y recursos internos de una organización, utilizando como soporte de comunicaciones cualquier red del dominio público, como Internet.»
Las VPN más modernas utilizan protocolos de seguridad combinados con estrategias de cifrado. De forma práctica, cifran y ocultan todo tráfico de internet que pasa a través del dispositivo (esto se conoce como túnel VPN), lo que evita que incluso el proveedor de servicios de internet IPS conozca la actividad del usuario o su ubicación.
Adicionalmente, en ocasión del teletrabajo, las VPN permiten construir una infraestructura de funcionamiento para conexiones remotas. Según la CCN, las configuraciones de seguridad se pueden adaptar a los requisitos de cada empresa. A su vez, al analizar costos, la instalación de VPN puede resultar más económica que la infraestructura de algunos operadores de telecomunicaciones.
Por último, la CCN, en su Guía de Buenas Prácticas de Seguridad 2022, establece sus recomendaciones para la planificación, despliegue y configuración de VPN por parte de las compañías.