Las cuatro principales maneras de asegurar nuestro mundo

El Mes de Concientización sobre Ciberseguridad es una iniciativa internacional que se centra en formas simples de protegernos a nosotros mismos, a nuestras familias y a nuestros negocios de amenazas en línea. El tema de 2025, “Asegura Nuestro Mundo”, destaca la omnipresencia de las tecnologías digitales que permiten conexiones a nivel global y cómo medidas sencillas, pero efectivas, pueden tener un impacto duradero.

En un mundo donde las vidas digitales están cada vez más interconectadas, cada vector de ataque asegurado aumenta la seguridad de otras personas conectadas. Y considerando lo conectados que estamos todos a nuestros dispositivos, redes e internet en general, esto puede involucrar a muchas personas.

Prácticas clave de ciberseguridad para implementar

  1. Proteja sus credenciales: ¡no utilice contraseñas!

A medida que los actores de amenazas se vuelven más expertos en atacar nuestras credenciales de acceso, la industria se está alejando gradualmente de las contraseñas por completo y avanzando hacia un futuro sin contraseñas. Esto significa cambiar de forma generalizada a otras formas de autenticación, que pueden aprovechar datos biométricos, PIN, patrones y passkeys en lugar de contraseñas. Con un número cada vez mayor de plataformas que admiten passkeys y autenticación sin contraseña, dejar de usar contraseñas es cada vez más fácil y sin inconvenientes.

Si las opciones sin contraseña no son viables, utilice contraseñas seguras con un administrador de contraseñas. Desafortunadamente, menos del 40% de los usuarios en línea utiliza una contraseña distinta para cada cuenta, según el informe Oh Behave! 2023 de la Alianza Nacional de Ciberseguridad (National Cybersecurity Alliance). Las contraseñas reutilizadas le dan a los ciberdelincuentes acceso adicional a otras áreas de la vida digital de una persona, habiendo hecho solo el trabajo de robar (o comprar, o descifrar) una sola credencial. Aparte de tener un inicio de sesión diferente para cada sitio, la recomendación actual (según CISA) sugiere que una contraseña fuerte debe contener:

  • Al menos 16 caracteres.
  • Un uso aleatorio, con una combinación de letras, símbolos y números.
  • Potencialmente una “frase de contraseña” de 4-7 palabras, aunque se recomienda la aleatorización.

En ambos casos —contraseñas o passkeys sin contraseña— se necesita un gestor de contraseñas (aquí está el por qué). Con la persona promedio teniendo que llevar un registro de aproximadamente 100 credenciales distintas, no es de extrañar que casi un tercio de internet use un gestor de contraseñas para organizarlas (y “recordarlas”) todas.

  • Reconoce y reporta phishing

Según el Thales 2024 Data Threat Report, el phishing es el segundo ataque de más rápido crecimiento. Las tácticas de phishing se están volviendo más astutas, gracias a la IA, por lo que es más importante que nunca que los empleados sean capaces de reconocer sus señales distintivas. Ahora, las campañas basadas en IA pueden generar correos electrónicos perfectos en cualquier idioma, generalmente:

  • Creando un sentido de urgencia (generando pánico y bloqueando tu capacidad de pensamiento crítico).
  • Fomentando alguna acción no solicitada (como “cambia tu contraseña ahora” o “descarga ahora”).
  • Pidiendo alguna forma de información personal (datos financieros, como en estafas de BEC – Business Email Compromise -).

Sin embargo, la forma más efectiva de capacitar a las personas para que identifiquen y reporten correos electrónicos de phishing es fortalecer el “cortafuegos humano”. Las empresas deberían invertir en programas de capacitación en concientización sobre seguridad no solo para sus empleados, sino también para sus familias, para establecer una cultura positiva donde todos estén invitados a reportar errores, como hacer clic en un enlace malicioso.

  • Activa la Autenticación Multifactor (MFA)

La Autenticación Multifactor (MFA) es una capa de seguridad requerida por muchos proveedores de servicios en la nube y por numerosas organizaciones en la vida cotidiana. CISA, ENISA y otras agencias de seguridad globales aconsejan que todos la adopten, ya que proporciona capas adicionales de defensa además de solo contraseñas (un código de verificación por mensaje de texto, o una huella dactilar, por ejemplo). Existen varias opciones de MFA disponibles:

  • MFA resistente al phishing, conocida por CISA como el “estándar de oro”, que abarca la autenticación FIDO/WebAuthn y métodos basados en Infraestructura de Clave Pública (PKI).
  • Métodos de MFA basados en aplicaciones que aumentan la seguridad enviando una notificación emergente o “push” al teléfono del usuario, generando una contraseña de un solo uso (OTP), o utilizando un OTP basado en token.
  • MFA por SMS o voz que simplemente depende de enviar al usuario una llamada telefónica de verificación o un mensaje de texto.

A pesar de la importancia y la variedad de métodos de MFA, el informe DTR 2024 de Thales muestra que solo el 46% de las organizaciones utilizan autenticación multifactor para más del 40% de sus empleados. Es esencial notar que, aunque el MFA resistente al phishing es más efectivo contra ataques de ingeniería social habilitados por IA, cualquier forma de MFA es mucho mejor que no tener ninguno en absoluto. Además, hay un gran valor comercial en adoptar MFA. El Índice de Confianza Digital Thales 2024 indica que el 81% de los clientes espera que las marcas ofrezcan MFA, lo que sirve como un medio para una mayor lealtad y confianza.

  • Actualiza el Software: una defensa crítica, pero procede con precaución

Es crucial que todos los empleados sepan aceptar y aplicar actualizaciones de software cada vez que aparezcan los recordatorios, porque así es como se corrigen las vulnerabilidades. Un informe de Ponemon señaló que el 60% de las brechas se originaron en vulnerabilidades no corregidas, haciendo que esta práctica simple sea aún más vital.

Los criminales han adoptado rápidamente la IA para identificar y explotar incluso vulnerabilidades de día cero. Curiosamente, estas brechas no corregidas facilitan la propagación de ataques de ransomware disruptivos. Sin embargo, las empresas, especialmente en entornos de infraestructura crítica, deben parchear sus sistemas con cautela y no por miedo. Aunque las actualizaciones de seguridad oportunas son cruciales, también es igualmente importante probar esas actualizaciones en un entorno controlado antes de implementarlas para minimizar la posibilidad de romper sistemas críticos.

Un poco puede ser de gran ayuda

El objetivo general del Mes de Concientización sobre Ciberseguridad es mejorar la postura de seguridad de las identidades, aplicaciones, datos y software, ya sean datos personales o corporativos. Como lo ilustran los métodos destacados anteriormente, una buena medida defensiva no tiene por qué ser difícil de usar o implementar. De hecho, mantenerla simple y utilizar herramientas y procedimientos prácticos y fáciles de usar logrará una adopción más amplia.

Además, si tiene una empresa, complemente las mejores prácticas anteriores con soluciones que ofrezcan una protección sólida de aplicaciones y datos para reducir el potencial de una violación de datos. Estas soluciones protegen las aplicaciones y las API, descubren y clasifican datos confidenciales, brindan inteligencia de riesgos y complementan los esfuerzos de concientización de seguridad de los empleados. Combinadas con los métodos amigables para el usuario mencionados anteriormente, las soluciones de Imperva permiten que los empleados sean la primera línea de defensa y las herramientas de ciberseguridad listas para la empresa sean la última línea de defensa. 

¡Ahora eso es defensa en profundidad para asegurar nuestro mundo!