Historia real: el 30 de noviembre recordamos la importancia de la seguridad de la información

Fecha de publicación
30/11/2022
Autor
INCIBE (INCIBE)
Imagen de Mano saliendo de pantalla

Corría el año 1988, la gente joven pasaba las horas jugando al Pac-Man, las plataformas musicales y de entretenimiento de la época eran los casetes y los VHS y, aunque ya se habían inventado el ordenador de mesa y algo parecido a un teléfono móvil, estos todavía no eran de uso doméstico. Y aun así, mucho antes de que la tecnología pasase a formar parte de nuestro día a día, ya existía la figura del ciberdelincuente.

Fue el 2 de noviembre de 1988 cuando se dio el primer caso de malware de propagación en red de la historia, el ‘’Gusano de Morris’’. El ataque afectó a aproximadamente 6.000 servidores, el 10% de las máquinas conectadas a la Red, incluyendo el centro de investigación de la NASA.

Días después, la Association for Computing Machinery (ACM) se reunió y decidió que, desde entonces, ese día, el 30 de noviembre, serviría para recordar la importancia de proteger la información en el plano digital ante una posible acción corrupta.

Volvemos al 2022, Laura trabaja en una pequeña empresa de organización de eventos, lleva en el mismo equipo muchos años y está bastante cómoda en su puesto, aunque se ha enterado de que hay una oportunidad en otro departamento que le interesa bastante, así que le gustaría participar en el proceso de selección.

En su día a día, le gusta estar a la última en cuanto a dispositivos electrónicos se refiere: dos teléfonos móviles, portátil, TV inteligente, smartwatch, etc. Siempre compartiendo su vida en las redes sociales. Tanto en el trabajo como en lo personal está constantemente conectada, pero, en ocasiones, no es consciente de los peligros que esto conlleva.

- “¿Otro correo del Departamento de Informática sobre buenas prácticas en ciberseguridad? ¡Qué exigentes! Ahora dicen que no se puede enviar documentos de la empresa al correo personal. Tenía en mente echar unas horas extra a la presentación del nuevo producto desde casa, ahora no sé cómo voy a hacerlo”.

- “¡Ya ves! A mí el otro día me dijeron que tenía que destruir unos documentos con datos de clientes que me había imprimido, pero, ¿qué más da? Es que yo a veces desde el ordenador no leo bien”- le comenta su compañera María.

- “Y, además, no sé si habéis visto que ya no podemos entrar en ninguna red social desde el ordenador corporativo”- se une Juan Carlos a la conversación.

Parece que en el departamento hay una sensación de descontento generalizada con las medidas de seguridad en la empresa, y justo mientras los empleados comentan estas nuevas medidas entra un correo del equipo de ciberseguridad: <<Hoy es el Día Internacional de la Seguridad de la Información y la Cultura de Ciberseguridad. 30 de noviembre, marca esta fecha en tu calendario>>.

El correo contenía una serie de recomendaciones y buenas prácticas a realizar por los empleados. Además, hablaba de una nueva iniciativa que el Departamento de Informática había decidido lanzar para concienciar al personal. Durante el mes de noviembre, mediante pequeñas pruebas y con el apoyo de cursos, se pretendía formar a la plantilla de una forma diferente, recompensando, además, a los empleados que mejor empleasen lo aprendido y con penalizaciones para los menos aplicados, pero Laura marcó el correo como ‘leído’ sin ni siquiera leer la información.

Pocos días después llega la primera prueba, un ejercicio de phishing (totalmente inofensivo) para comprobar si los empleados caen en la trampa o si se fijan en los detalles y reportan el correo como buenos alumnos. Laura, como podíamos esperar, es de las que cae. Aun viendo la posterior advertencia sigue sin darle importancia y se lo toma más como un juego.

Cuando llega el último día de la campaña, Laura cuenta con un número negativo de puntos. Las penalizaciones la obligan a tener que hacer un curso sobre ciberseguridad y pasar los exámenes con éxito. Además, ya no podrá participar en el proceso de selección en el que estaba interesada, ya que incluía como requisito haber superado estas pruebas.

Laura decide compartir en sus redes sociales una publicación lamentándose de lo ocurrido, buscando el apoyo de sus seguidores, sin darse cuenta de que en la foto que había adjuntado desde la oficina aparecía parte de un documento impreso con datos del próximo evento en el que trabajaba y en el que podía leerse información de alguno de sus proveedores. A pesar de tener la cuenta privada, entre sus seguidores había compañeros de la empresa que no tardaron en percatarse del incidente y pusieron a Laura en alerta.

Afortunadamente, los datos publicados no eran datos confidenciales de los proveedores, pero aun así el incidente transcendió en el sector y supuso un duro impacto reputacional, viéndose manchada la última campaña en la que tanto habían trabajado, debido a los comentarios negativos, y notándose un descenso de las reservas.

Esta situación podría haberse evitado si Laura se hubiese tomado en serio la formación reconociendo la importancia del activo más importante de la organización: la información.

En ocasiones consideramos que nuestra empresa está protegida porque disponemos de la infraestructura necesaria, pero no tenemos que olvidarnos de una de las partes más implicadas en la seguridad: los empleados. Las malas prácticas de las personas que trabajan en nuestra empresa pueden poner en riesgo la seguridad de la misma. Por esta razón, desde INCIBE ponemos a tu disposición un kit de concienciación para empleados, con el fin de formarlos en materia de ciberseguridad desde la base.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto para empresas que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).

Ir arriba