Amenaza vs vulnerabilidad: cómo diferenciarlos
Definición de vulnerabilidad y amenaza
Según la R.A.E, el término vulnerable (del latín: vulnerabĭlis) significa: «adj. Que puede ser herido o recibir lesión, física o moralmente.» Por el contrario, el término amenaza, se define como: «Dar a entender con actos o palabras que se quiere hacer algún mal a alguien.» Como podemos apreciar, la propia definición de cada palabra ya establece una diferenciación clara.
Una cuestión es tener la posibilidad de sufrir un ataque o amenaza por causa de las deficiencias propias no subsanadas y visibles exteriormente (vulnerabilidad) y otra, sufrir una amenaza o ataque independientemente de si somos o no vulnerables. En la amenaza existe intencionalidad de realizar una acción por parte de un tercero mediante determinadas acciones, mientras que en la vulnerabilidad no se puede aplicar ese planteamiento, ya que se considera algo intrínseco e inherente, en mayor o menor medida, a la capacidad del sujeto de resolver las deficiencias o carencias que pueda tener.
Diferencias entre ambos conceptos
Trasladado al campo de los sistemas informáticos, podríamos considerar un sistema vulnerable como aquel susceptible de recibir un determinado grado de daño, generalmente por causas propias (falta de actualizaciones, baja protección contra virus, etc.).
Es cierto que en el ámbito informático, vulnerabilidad y amenaza suelen ir de la mano, pero el auge de la ingeniería social por parte de los ciberdelincuentes hace que no siempre sea necesario ser vulnerable a nivel de sistema para estar expuestos a amenazas y, por lo tanto, sufrir ataques.
En el ámbito empresarial, en muchas ocasiones, es el propio usuario quien crea la vulnerabilidad o propicia la amenaza de manera involuntaria. Los ciberdelincuentes saben esto, considerando a los usuarios los eslabones más débiles de la cadena, y por tanto, los más susceptibles de estar expuestos a amenazas y recibir ataques.
Podríamos entonces decir que es el propio usuario quien es vulnerable al engaño de la ingeniería social Pero incluir a todo el mundo en la característica de vulnerable no es un planteamiento correcto, ya que no existen personas ‘invulnerables’ a engaños, pero si existen equipos bien formados y concienciados que pueden evitarlos.
También debemos tener en cuenta que una amenaza puede convertirse en una vulnerabilidad, sino se aplican las medidas de seguridad oportunas mediante parches o actualizaciones de software y herramientas de protección adecuadas (antivirus, antimalware, etc.)
Por este motivo, para evitar sufrir un ciberataque, desde INCIBE frecuentemente insistimos en la concienciación y en los planes de ciberseguridad empresariales como medidas para paliar este tipo de eventos.
Ejemplo de vulnerabilidad y amenaza
Nada mejor que un ejemplo para comprender el alcance de cada concepto.
Actualmente, cualquier página web está expuesta a amenazas en la red. Imaginémonos un sitio web de un banco o una tienda online. Ambos gestionan información confidencial (nombres, contraseñas, datos de tarjetas de crédito, cuentas bancarias, etc.). Si los sistemas de dichos sitios no se encuentran actualizados y no implementan medidas de protección adecuadas, podríamos hablar de que esos sitios son vulnerables a determinadas amenazas, y por tanto, susceptibles de recibir ataques.
En cambio, si los sitios web implementan las medidas oportunas y se encuentran actualizados, podrían no ser vulnerables a esas amenazas, pero no estarían exentos del riesgo de sufrir un ataque, causado, por ejemplo, por un ciberatacante que utilice la ingeniera social contra un usuario de la empresa para conseguir información privilegiada.
En otras palabras, la amenaza, siempre está ahí.
En ocasiones, trazar la línea que separa una amenaza de una vulnerabilidad es muy compleja, por ejemplo, si hablamos de un dispositivo obsoleto de comunicaciones en una red corporativa, podríamos decir que supone una amenaza para la empresa, pero… ¿supone también una vulnerabilidad? Si consideramos que el dispositivo puede provocar daños a la empresa (perdida de información, bajo rendimiento, etc.) si podría ser una amenaza. Si por el contrario consideramos que puede suponer un riesgo por favorecer los ataques, entonces, sería más bien una vulnerabilidad. En ambos casos, el denominador común es un riesgo o daño para la empresa, uno de forma directa y otro de forma indirecta.
Cómo combatir las ciberamenazas
Aunque no existe un método infalible, podemos estar prevenidos ante posibles amenazas en la empresa si concienciamos al equipo, instruyéndoles en el uso seguro de las tecnologías a su alcance mediante campañas de formación y prevención, haciéndoles saber que cualquier comportamiento extraño que puedan detectar en su día a día, deben comunicarlo lo antes posible al personal encargado de la ciberseguridad por los canales internos que la empresa pone a su disposición.
Además, establecer un canal de información, haciendo partícipe al empleado de las posibles amenazas mediante circulares informativas (prevención), correos electrónicos o cualquier otro medio a su alcance, logrará mejorar la sensibilidad ante estos temas y poner en guardia al personal ante situaciones de riesgo no previstas.
Por el lado, referente a los equipos de TI de la empresa, su misión, entre otras, será actualizar y mantener actualizados los sistemas y si estos hubiesen acabado su vida útil (fin de actualizaciones), informar del posible riesgo que supone para la empresa y sus trabajadores continuar en esas condiciones.
No hay una ‘receta mágica’ para evitar una amenaza, pero si podemos minimizarlas si aplicamos la prevención como norma general.
¡Protege tu empresa con políticas de seguridad y buenas prácticas, actualiza tus sistemas, y conciencia a tus empleados!
Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.
