El nivel de riesgo al que las personas y usuarios de Internet estamos expuestos va creciendo a medida que los ciberdelincuentes se profesionalizan y utilizan tácticas cada vez menos detectables. Por este motivo se lleva celebrando desde el año 2003 el Día de la Internet Segura, una jornada que tiene como objetivo promover un uso responsable de las Tecnologías de la Información y concienciar sobre los riesgos que pueden conllevar, especialmente para niños y adolescentes.

Sin ir más lejos, desde que se produjo la aprobación de las vacunas por parte de la Agencia Europea de Medicamentos (EMA), todo lo relacionado con ellas se ha convertido en uno de los temas de mayor actualidad y, por tanto, un señuelo de los ciberdelincuentes para intentar llevar a cabo sus ataques maliciosos.

En Estados Unidos, la Financial Crimes Enforcement Network (FinCEN) ha alertado de los ataques de ransomware a instalaciones médicas relacionadas con las vacunas y en Reino Unido han detectado fraudes a través de mensajes de texto haciéndose pasar por el sistema de salud británico para intentar vender vacunas falsas.

Todo esto evidencia que, por el simple hecho de utilizar la tecnología en nuestra vida diaria, podemos estar expuestos al riesgo si no sabemos cómo protegernos. Además, el auge del teletrabajo supone que las organizaciones no están exentas de ello y hoy en día es crucial llevar a cabo medidas de prevención para no comprometer la seguridad y los datos de la compañía. Tal y como se ha comprobado, los empleados son la primera barrera ante un ataque informático, pues a través de ellos se pueden evitar la mayoría de incidencias.

Muchas veces, la tecnología se utiliza sin una adecuada formación y concienciación ante las amenazas pero, si tenemos en cuenta que los empleados pueden ser responsables del 60% de los ataques que sufren las empresas, según el Informe 2020 Insider Threat Report de Bitglass, está claro que la inversión en costosos software antivirus, firewall o programas antifraude puede que no sea la única solución y que el foco se tiene que poner en la persona primero.

Los ciberdelincuentes aprovechan estos fallos humanos para perpetrar sus ataques y estos incidentes impactan enormemente a las empresas y en las instituciones. Este impacto se puede ver reflejado en la cuenta de resultados, pues instituciones como Gartner cifran en más de 70.000 millones de euros anuales las pérdidas que tienen que afrontar las empresas en todo el mundo y concretamente en nuestro país, las pérdidas a las que se puede enfrentar una organización española podrían alcanzar los 88.000 millones de euros hasta el año 2023, según Accenture.

Sin embargo, las consecuencias van más allá de la continuidad del negocio y las operaciones, ya que afectan a la reputación e imagen de la empresa, así como a la confianza de los consumidores en los canales digitales.

Una de las mayores encuestas a directivos de empresas de todo el mundo es el Digital Trust Survey de PwC. En ella, más de la mitad de los participantes han afirmado que este año incrementarán su presupuesto en ciberseguridad. Pero, ¿qué parte de estos presupuestos estarán enfocados a formación de los empleados y sensibilización de riesgos?

La realidad es que, sin la colaboración de los usuarios que utilizan la tecnología en su vida cotidiana, es imposible que las áreas de ciberseguridad de empresas e instituciones consigan un nivel de riesgo cero, aún contando con todos los medios posibles y con los mejores profesionales.

Por tanto, solo existe una manera de mitigar este riesgo: formar y concienciar a los empleados y usuarios en buenos hábitos digitales y comportamientos ciberseguros.

En este sentido, es clave que las empresas y administraciones responsables se esfuercen para hacer entender a todo el mundo los riesgos y posibles consecuencias que puede tener abrir un archivo adjunto sin pararse a pensar quién lo envía o descargar una aplicación de origen dudoso, entre otras muchas amenazas.

En el caso de las pymes, esta necesidad es mucho más acuciante, pues suelen contar con menos recursos para invertir en prevención ante ciberataques y esto es aprovechado por los delincuentes informáticos. De hecho, 7 de cada 10 ataques van dirigidos a este tipo de empresas, según las incidencias que recibe el Instituto Nacional de Ciberseguridad (INCIBE).

Por este motivo, invertir en concienciación es el nuevo enfoque que tienen que tomar tanto empresas privadas como organismos públicos y poner al usuario en el centro, como primera barrera ante este tipo de incidencias. De esta manera comprobarán que pocas inversiones tendrán un retorno tan grande para sus organizaciones como esta.

*** Alfredo Zurdo es Head of Digital Change de Entelgy Digital