ESET Venezuela organizó el segundo desayuno tecnológico con el objetivo de abordar varios temas cruciales en el ámbito de la ciberseguridad.
Michele Flammia, CEO de Eset Venezuela/Logintel, fue el ponente central, quien dictó la charla titulada «Cinco mitos sobre ciberseguridad», enfocada en cómo estas creencias erróneas exponen a las personas y empresas a riesgos innecesarios.
El contexto regional de las amenazas
El ponente comenzó su presentación con el contexto de la ciberseguridad en la Región, basándose en los datos del Z Security Report, generado anualmente a partir de encuestas en diversos eventos de la industria.
Los datos del reporte indicaron que una de cada cuatro empresas en la región fue atacada durante el último año, lo que representa un 25% de las organizaciones. Además, se destacó que algunas de estas empresas sufrieron ataques recurrentes.
«Las amenazas no solo se dirigen a las compañías, sino también a los usuarios individuales a través de actividades como el phishing, la clonación de tarjetas de crédito y mensajes de SMS maliciosos. La clave para enfrentar esta realidad es no estar desprevenido y mantener una vigilancia constante», advirtió el experto.
Desmantelando los cinco mitos de la ciberseguridad
Michele Flammia procedió a desmitificar las creencias internalizadas por las personas que las hacen sentir falsamente protegidas.
Primer Mito: No soy un objetivo, porque no tengo nada de valor
Muchas personas, incluyendo particulares y empleados de empresas (como contadores o abogados), creen erróneamente que no tienen información de interés para los ciberdelincuentes. esta percepción es peligrosa porque conduce a la falta de previsión y a la exposición.
La realidad es que la información personal, los accesos a correos electrónicos, a servicios pagados, a cuentas bancarias y hasta fotografías familiares, son considerados valiosos. Para las empresas, la data de clientes o la información sensible de litigios tiene un valor incalculable. Los ciberataques no son solo dirigidos, sino también aleatorios. «Un trabajo de grado universitario o la información personal de un individuo, si es cifrada o comprometida, siempre causará daño», dijo Flammia.
La recomendación en este caso es usar contraseñas fuertes, activar el multifactor de autenticación y utilizar algún tipo de antivirus o antimalware.
Segundo Mito: Tengo antivirus, estoy protegido
la posesión de un antivirus es considerada una primera línea de defensa básica, pero no ofrece protección absoluta. el ponente lo comparó con tener una puerta de seguridad de alta tecnología en casa y dejarla abierta o con la llave puesta.
La protección tecnológica es insuficiente frente a los ataques de ingeniería social, donde los ciberdelincuentes manipulan a las víctimas para que entreguen sus credenciales por teléfono, por ejemplo, sin necesidad de usar malware.
Además, destaca el CEO, los ataques a la cadena de suministro representan un riesgo significativo. «Una empresa puede estar blindada, pero un proveedor de confianza que se conecta a su sistema puede ser víctima de un ataque, lo que indirectamente afecta a la empresa principal debido a los menores niveles de control que se aplican a las conexiones de confianza», dijo.
Cim Software y la vulnerabilidad humana
Se presentó el caso de Cim Software en Brasil, donde un ataque no fue de naturaleza tecnológica, sino de ingeniería social, afectando a veintiséis bancos y causando una pérdida de aproximadamente US$75 millones. «Un empleado de Cim Software vendió sus credenciales de acceso por una suma mínima. Con credenciales válidas, los delincuentes pudieron ingresar al sistema, instalar software legítimo y realizar miles de transferencias bancarias a cuentas de terceros, luego pasadas a criptomonedas», destacó.
Destaca Flammia que los sistemas de seguridad no detectaron la actividad porque las credenciales eran legítimas y no se usó ningún código malicioso. La conclusión es clara: la seguridad tecnológica es insuficiente, se necesita la seguridad por capas y la madurez organizacional, lo que implica procesos sólidos de validación, supervisión para personal con acceso privilegiado y la implementación de soluciones de seguridad más allá de las herramientas tradicionales. «La conciencia y capacitación del personal son fundamentales», aseveró.
Tercer Mito: Mito mi contraseña segura, sirve para todo
«El problema no radica en crear una contraseña fuerte, sino en utilizar la misma contraseña en múltiples sitios», dijo Flammia, explicando que una contraseña robusta, si se usa en un servicio menos seguro (como una herramienta gratuita de conversión de archivos), puede filtrarse. «Si el atacante obtiene esta contraseña, tiene acceso a todos los demás servicios donde se utiliza la misma clave, incluyendo el correo electrónico, la banca y otra información sensible», destaca.
La recomendación: usar contraseñas diferentes para cada servicio y aplicar el doble o múltiple factor de autenticación para añadir una capa de protección adicional en caso de filtración de la contraseña inicial.
Cuarto Mito: Sólo debo cuidar mi computadora
La creencia de que solo las computadoras con Windows necesitan protección, está desactualizada. Hoy en día, señala, el teléfono celular se ha convertido en la principal herramienta informática para muchas personas.
Es crucial proteger el móvil con una contraseña de acceso, utilizar multifactor de autenticación y descargar aplicaciones solo de sitios oficiales. Además, se debe prestar atención a los permisos que se otorgan a las aplicaciones. Si una aplicación sencilla pide acceso a la cámara o a los documentos, es probable que esté buscando algo más que su función principal, especialmente si es gratuita.
Quinto Mito: La ciberseguridad es tarea del departamento de TI
Esta es una de las creencias más peligrosas. El ponente subrayó que, si bien el departamento de tecnología es responsable de las herramientas, la seguridad es una cultura que debe ser adoptada por toda la empresa.
El personal no técnico puede ser vulnerado a través de sus credenciales, extorsionado o sobornado, como se vio en el caso de Cim Software, es por ello que la seguridad debe involucrar formación y prácticas para el personal, incluyendo talleres y ataques simulados de phishing. «Se debe educar a los empleados para que revisen los enlaces, duden de los mensajes sospechosos y consulten antes de hacer clic en cualquier cosa, ya que la cultura de seguridad es responsabilidad de todos en la organización», finalizó.
Autor: CDOL.
