Un reciente estudio de Kaspersky, en colaboración con la consultora Corpa, ha puesto de manifiesto una preocupante brecha en la seguridad digital de las empresas latinoamericanas: casi el 40% de sus empleados desconocen las políticas de ciberseguridad de sus organizaciones. Esta falta de información eleva significativamente la vulnerabilidad de las redes corporativas ante ciberataques, según advierten los expertos.
El informe detalla que el 17% de los trabajadores en la región no sabe si su empresa tiene algún estándar de seguridad, mientras que un 21% está al tanto de la existencia de una política, pero desconoce su contenido. En resumen, casi cuatro de cada diez empleados no tienen claridad sobre las expectativas de la empresa en materia de protección de su entorno digital.
Sorprendentemente, el 8% de las organizaciones encuestadas admiten no contar con ninguna política de seguridad digital. Aunque esta cifra es minoritaria, subraya un punto ciego crucial que expone a estas empresas a riesgos innecesarios. En contraste, el 55% de las organizaciones latinoamericanas ya han implementado políticas claras y sus empleados están familiarizados con ellas.
El factor humano como eslabón débil
Claudio Martinelli, director general para América Latina en Kaspersky, enfatiza que esta falta de conocimiento por parte de los empleados es un factor de riesgo considerable. «Los delincuentes atacan directamente a las personas, creyendo que un simple clic en un enlace sospechoso o la instalación de un programa, incluso una supuesta actualización, es suficiente para acceder a la red corporativa», explica Martinelli. Añade que la insuficiente capacitación o el desconocimiento de las políticas sobrecarga a los equipos de seguridad, que deben manejar un mayor volumen de amenazas e incidentes prevenibles.
El riesgo se extiende más allá del ámbito corporativo. El estudio destaca que más de una cuarta parte (27%) de los latinos utiliza computadoras personales para trabajar. En estos escenarios, un ataque no solo afecta al individuo, sino que también puede comprometer a la organización cuando el dispositivo se conecta a la red empresarial.
La línea entre la vida personal y laboral se difumina aún más con las prácticas habituales de los empleados en los equipos corporativos. El acceso a redes sociales personales, compras en línea y consultas bancarias son las actividades más comunes, con un 49% de incidencia. El uso de servicios de inteligencia artificial ocupa el segundo lugar, con un 46%. Además, uno de cada tres encuestados confiesa conectarse a redes Wi-Fi públicas o abiertas.
«Lo primero que solemos pedir al llegar a un restaurante es la contraseña del Wi-Fi. Sin embargo, conectarse a redes públicas representa un riesgo: no sabemos quién puede estar monitoreando la conexión, y nuestros dispositivos quedan expuestos a posibles ataques», advierte Martinelli. El peligro se amplifica si se trata de un equipo corporativo, que puede contener información sensible como propiedad intelectual o datos de clientes.
Comportamientos de alto riesgo y recomendaciones
La encuesta también reveló otros comportamientos de alto riesgo, aunque con menor frecuencia: un 15% de los latinos está dispuesto a descargar aplicaciones o software sin autorización, un 11% accede a sitios web pornográficos utilizando equipos corporativos y un 14% hace clic en enlaces de ofertas o promociones sin verificar su autenticidad. Si bien estas cifras son menores, Martinelli subraya que representan «un riesgo muy alto para la seguridad personal y corporativa».
El informe de Respuesta a Incidentes de Kaspersky señala que el phishing (mensajes falsificados con enlaces fraudulentos) es el cuarto vector de infección más común. Sorprendentemente, el segundo vector más frecuente es el uso de cuentas corporativas válidas por parte de los atacantes, lo que implica que las contraseñas ya han sido comprometidas, a menudo a través de campañas de phishing.
Martinelli concluye con una analogía clara: «Piense en una casa. Queremos que sea segura, pero ningún sistema puede protegerla si las personas dejan las puertas y ventanas abiertas al salir. El nivel de seguridad de cualquier estructura siempre será equivalente a la fortaleza de su punto más débil. Es por eso que es fundamental que las organizaciones inviertan en la educación digital de sus colaboradores, para que se protejan a ellos y a la empresa”.
Para fortalecer la protección contra ataques dirigidos a empleados, Kaspersky recomienda a las empresas:
Capacitación constante: Educar a todos los empleados sobre conceptos básicos de ciberseguridad, utilizando plataformas personalizables que aborden la protección de cuentas, seguridad de correo electrónico, protección informática y cumplimiento de normativas como la LGPD.
Tecnologías preventivas: Implementar soluciones que dependan mínimamente del factor humano, como el bloqueo de correos electrónicos maliciosos en el servidor. Aunque la seguridad total no existe, la capacitación sigue siendo fundamental.
Autenticación de dos factores (2FA): Utilizar 2FA, especialmente con tokens físicos, para proteger cuentas comprometidas, y emplear VPN corporativas para salvaguardar datos sensibles.
Simulacros de phishing: Realizar pruebas periódicas para evaluar la conciencia de los empleados e identificar necesidades de capacitación adicionales.
Soluciones de seguridad actualizadas: Implementar y mantener soluciones de seguridad de calidad para una mayor protección contra errores humanos e incidentes.
Participación de la dirección: Fomentar el compromiso de los líderes empresariales con la seguridad corporativa, ya que su ejemplo influye positivamente en la adopción de buenas prácticas por parte de los empleados.
Este análisis forma parte del estudio Lenguaje Digital 2024 de Kaspersky, cuyo objetivo es examinar el panorama de la ciberseguridad entre los usuarios de internet en Latinoamérica y los riesgos que enfrentan empresas y usuarios al conectarse a la red.
Fuente: Kaspersky
