Por: Leonardo Venegas. Consultor de ciberseguridad en everis Colombia
Damos la bienvenida a Julio recordando aquellas historias que nos evocan situaciones que frecuentemente solemos dar por hecho, como algunos controles de seguridad que creemos seguros sólo por haber invertido millones en diferentes tecnologías que llevan implícitos. Pero nada más lejos de la realidad.
Hablamos de las contraseñas y la importancia de vigilar este factor de autenticación dentro de las organizaciones. Se ha venido divulgando poco a poco los detalles de la investigación acerca del ataque que sufrió la empresa SolarWinds. A este respecto, lo que se ha descubierto es que el mayor incidente de 2020 fue generado muy posiblemente por el uso de una contraseña poco robusta que no cumplía con los controles establecidos. Esta contraseña era “solarwinds123” y el usuario que la empleó era un profesional en periodo de pruebas.
Dentro de las actividades que se realizan en una organización en pro de la seguridad, deben estar las charlas y actividades de concienciación a los empleados, pilar fundamental de las organizaciones, ya que son ellos quienes generan las contraseñas que se usan posteriormente en los sistemas de las compañías.
Las contraseñas son uno de los factores que más buscan los ciberatacantes para acceder a una organización, generando una serie de actividades maliciosas que buscan exponer estas credenciales. Entre esta serie de actividades maliciosas encontramos el phishing, método que ha aumentado más de un 30% a lo largo del año tras las políticas de teletrabajo que ha traído consigo la pandemia.
La psicología usada por los ciberdelincuentes para llevar a cabo los ataques corporativos sigue basándose en los temas de actual relevancia. Un ejemplo claro de ello es el uso de pretextos como el de la vacunación contra el COVID-19 para realizar envíos de correos fraudulentos (phishing) a organizaciones y esperar que algún incauto confíe en su contenido, ya sea para infectarlo de malware o simplemente lograr sus credenciales. Pero no todo es el ámbito empresarial. Estas debilidades también son aprovechadas para atacar al estudiante que se está adaptando a sistemas virtuales y a niños para sacar información de tarjetas de crédito, incluso el uso de chantajes donde solo con el pago con criptomonedas los delincuentes dan una falsa sensación de tranquilidad a los jóvenes. Aquí nace la gran pregunta: ¿Las acciones de formación y concienciación en las compañías sobre seguridad lo hemos trasladado a nuestros hogares?