Mitos comunes sobre la concienciación en ciberseguridad

Llevar: Enseñe indicadores claros de phishing y estafas, pero consejos poco realistas como "no haga clic en los enlaces" son improductivos y hasta perjudiciales.

La concientización sobre el "uso seguro" es poderosa y ayuda a los empleados a usar mejor la tecnología y al mismo tiempo abordar problemas comunes, pero años de pedirle a las personas que cambien comportamientos fundamentales como "no hacer clic en los enlaces" no parecen estar funcionando. El Informe de investigación de violaciones de datos de 2023 de Verizon cita que el 74 % de todas las violaciones incluyen el elemento humano (no solo el correo electrónico) y el Estudio de perspectivas de riesgo de información de 2022 del Instituto Cyentia clasifica el phishing como una de las tres principales técnicas de acceso inicial en 18 de los 20 sectores (ocupa el cuarto lugar en Información y otros servicios).

Los accidentes ocurren, e incluso un empleado bien intencionado y capacitado hará clic en un enlace malicioso con el paso del tiempo. Esta es una de las razones por las que los programas de seguridad siguen invirtiendo en la seguridad del correo electrónico y de los dispositivos después de años de convencer a los usuarios de que utilicen el correo electrónico de forma diferente. Más preocupante es el tiempo que se dedica a este tema en valiosas formaciones sobre concienciación en seguridad, haciendo aún más daño al perder la atención de la audiencia por falta de practicidad.

Las empresas deben ser más resilientes que un empleado que hace clic en un enlace. Los empleados pueden ayudar, especialmente para informar la verdad sobre el terreno ("si ves algo, di algo"), pero mitigar este riesgo es responsabilidad de los equipos de seguridad.

Llevar: El uso de Wi-Fi público es seguro incluso en contextos comerciales.

Persiste la creencia de que las redes Wi-Fi públicas son menos confiables o más peligrosas que las redes domésticas o de oficina. Sin embargo, no hay informes sobre la explotación masiva de las redes Wi-Fi públicas, incluido el período comprendido entre 2020 y 2022, con el aumento del trabajo remoto. La Comisión Federal de Comercio (FTC) advirtió contra el uso de Wi-Fi público en 2011, pero en 2023 actualizó su guía para reflejar los avances técnicos que hacen que su uso sea seguro .

En comparación, tenemos el robo de computadoras portátiles y dispositivos, como un delito de oportunidad en un espacio público, un riesgo más probable que se mitiga con inversiones en cifrado de almacenamiento, administración de dispositivos móviles (MDM) y políticas de bloqueo. Un ejemplo de subpoblación es la lista archivada de violaciones denunciadas de información sanitaria protegida no segura que afectan a 500 o más personas de la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos, que muestra más de 4.600 incidentes de robo o pérdida de una computadora portátil u otro dispositivo electrónico portátil desde 2009 que afectaron a más de 345 millones de personas.

Mientras tanto el tráfico de la red local continúa su tendencia de seguridad:

• El Informe de Transparencia "Cifrado HTTP en la web" de Google muestra que más del 90 % del tráfico está cifrado en Google y que sistemas operativos como Windows y Mac lo adoptan ampliamente.
• Las estadísticas de Let's Encrypt sobre el porcentaje de páginas web cargadas por Firefox usando HTTPS de Firefox Telemetry de Mozilla muestran que aproximadamente el 80 % del tráfico de los usuarios globales está cifrado y aproximadamente el 90 % del tráfico de los usuarios de EE. UU. y Japón está cifrado.
• El Informe de transparencia "Cifrado de correo electrónico en tránsito" de Google muestra que más del 90 % de los correos electrónicos enviados y recibidos por Google (Gmail) están cifrados.
• La funcionalidad de seguridad de DNS aún presenta desafíos de adopción que se mitigan en cierta medida por el fuerte soporte de cifrado para el tráfico de aplicaciones y la ubicuidad de VPN y equivalentes para el tráfico administrado por empresas. La adopción de DNSSEC es baja (aproximadamente el 5 % de los dominios .com protegidos según el Cuadro de Indicadores DNSSEC de Verisign ), pero despegó en 2020 y ha mantenido un crecimiento. De manera similar, los sistemas operativos y navegadores admiten DNS sobre HTTPS (DoH).

A menos que el dispositivo tenga servicios conectados a la red, lo que debería ser una excepción extrema para los dispositivos de los usuarios, el Wi-Fi público presenta poco o ningún riesgo único en comparación con cualquier otra red Wi-Fi. Para quienes adoptan un enfoque de confianza cero, el Wi-Fi público es un excelente ejemplo de nunca confiar en la red, es decir, tanto en las redes públicas como en las privadas.

Llevar: Este ataque se ha probado en varios modelos de teléfonos, pero no hay datos confirmados que sugieran su uso, y la mitigación por parte del usuario es de bajo costo, por lo que generalmente es seguro usar un cargador USB libre en caso de necesidad.

Si bien hay ocasiones en las que es posible que desees evitar las estaciones de carga USB, como dejar tu teléfono desatendido y que te lo roben o en una conferencia de seguridad donde es más probable que haya "demostraciones" de estos ataques, no hay datos confirmados que respalden la amplificación que recibe el "juice jacking".

• La Comisión Federal de Comunicaciones (FCC) informa que no tiene conocimiento de ningún caso confirmado de este ataque .
• Snopes verificó las advertencias sobre "juice jacking" de la oficina del fiscal de distrito del condado de Los Ángeles en 2019 y de la FCC y la Oficina Federal de Investigaciones (FBI) en 2023 y no encontró evidencia de un uso generalizado. KrebsOnSecurity hizo referencia a esto al informar sobre las advertencias de 2023 de la FCC y el FBI.

Para quienes se preocupan por este riesgo, la mitigación tiene un bajo costo tanto para el empleador como para el empleado:

1. Utilice adaptadores de carga de enchufes eléctricos a USB y pequeños paquetes de baterías móviles que se han convertido en equipaje de mano estándar, especialmente para viajeros de negocios.
   
2. Seleccione "sólo cargar" si el teléfono le pregunta si desea "compartir datos" o "confiar en esta computadora" o algo similar al conectarlo al USB.
   
3. Si se evalúa que el riesgo de un usuario es significativamente mayor, considere invertir en cargadores y cables especiales que bloqueen o no transporten datos.

El mayor riesgo de las estaciones de carga USB gratuitas es que el dispositivo quede desatendido y alguien se lo lleve. Nuevamente, la inversión de las empresas en la gestión de dispositivos y en el cumplimiento de normas de higiene suelen ser mitigaciones razonables.