Dos tercios de los trabajadores a distancia no recibieron formación en ciberseguridad por parte de sus empleadores en el último año

La ciberseguridad sigue siendo un reto para las empresas de todos los tamaños, especialmente a medida que los trabajadores pasan a trabajar a distancia en todo el mundo.

Según un reciente estudio de Promon, la empresa de seguridad móvil con sede en Oslo que el año pasado reveló fallos en la aplicación del Brexit del Ministerio del Interiordos tercios de los trabajadores remotos en el Reino Unido no han recibido ninguna formación sobre ciberseguridad por parte de sus empleadores en los últimos 12 meses, mientras que el 77% afirma no estar preocupado por su ciberseguridad mientras trabaja a distancia.

La investigación de Promon sobre las actitudes hacia la ciberseguridad llega después de que Ursula von der Leyen, presidenta de la Comisión Europea, advirtiera el 24 de marzo que la ciberdelincuencia en la UE ha aumentado debido al brote de coronavirus. Como la pandemia ha obligado a muchas personas a trabajar desde casa, los atacantes están aprovechando el aumento del tiempo que se pasa en línea para llevar a cabo campañas de phishing relacionadas con el COVID-19, que pueden dar lugar a que la víctima descargue un ransomware (programa malicioso que cifra los archivos hasta que se paga un rescate), o a que los atacantes obtengan acceso al ordenador de la víctima.

Ejemplos de estas campañas son un falso correo electrónico del HMRC que contiene un «nuevo programa de devolución de impuestos» creado por el Gobierno, que, al hacer clic, dirige a una página web falsa que recoge información financiera y fiscal. Otro ejemplo es un falso correo electrónico que dice ser de la Organización Mundial de la Salud y que contiene un archivo adjunto sobre nuevas medidas de seguridad contra el coronavirus. Al abrirlo, se descarga un keylogger que rastrea y registra cada tecla que se pulsa en el teclado del usuario, lo que permite a los atacantes obtener contraseñas y otros datos de acceso sensibles.

La encuesta también reveló que el 61% de los encuestados utilizan dispositivos personales cuando trabajan a distancia, lo que añade un nivel de preocupación adicional, ya que muchos de ellos son probablemente menos seguros que los emitidos por la empresa. Los ciberdelincuentes se están aprovechando de la disminución de los niveles de seguridad en los dispositivos personales conectados a las redes corporativas, y los ataques exitosos hacen sonar la alarma para los empleadores, cuyos datos corporativos sensibles están ahora en riesgo, junto con los datos personales de los individuos, incluyendo la información bancaria y los datos de acceso.

El CTO y cofundador de Promon, Tom Lysemose Hansen, comenta: «Es preocupante comprobar que un número tan elevado de trabajadores no tiene la formación necesaria para detectar una posible ciberamenaza, como un correo electrónico de phishing o una página web falsa, ya que estas son las principales formas en que los ciberdelincuentes están ejecutando sus ataques. Las organizaciones deben asegurarse de que el personal que trabaja a distancia lo hace en entornos seguros, ya sea en dispositivos personales o corporativos, y es fundamental que proporcionen la formación y las herramientas necesarias para garantizar la protección de los datos corporativos.»

Con la mayoría de las personas que trabajan a distancia, estas preocupantes estadísticas muestran el enorme «fallo en el plan» de muchas organizaciones que no están preparadas para el factor humano de la ciberseguridad, es decir, la noción de que, independientemente de las medidas de seguridad establecidas, basta con que una persona abra un enlace en un correo electrónico malicioso para que se produzcan graves daños.

Según la encuesta, el 61% de los trabajadores a distancia utilizan dispositivos personales mientras trabajan desde casa, y los ciberdelincuentes se aprovechan de la disminución de los niveles de seguridad de estos dispositivos. Algunos ejemplos recientes de campañas delictivas incluyen un correo electrónico falso que dice ser del HMRC y que dirige a una página web falsa que puede robar información financiera, y un correo electrónico falso enviado por la Organización Mundial de la Salud, que cuando se abre puede dar lugar a que los hackers rastreen el uso del teclado de las víctimas.

Comentando las cifras, Javvad Malik, defensor de la seguridad en KnowBe4, declaró: «Se trata de una estadística realmente preocupante. El hecho de que la mayoría de los empleados no hayan recibido ningún tipo de formación sobre seguridad en el último año significa que son especialmente propensos al phishing.

La concienciación en materia de seguridad no es una actividad que se realice una o dos veces al año, sino que debe ser un programa continuo en el que se recuerde continuamente a los empleados las amenazas que existen, cómo identificarlas y denunciarlas.»

Cada ataque exitoso hace sonar las alarmas de los empleadores, cuyos datos corporativos sensibles están ahora en riesgo, junto con los datos personales de los individuos, incluyendo la información bancaria y los datos de acceso. Así pues, con el aumento de los ataques, y dado que la educación en materia de seguridad parece casi inexistente, no es de extrañar que la ciberseguridad sea una batalla tan difícil.