La seguridad de la información (también conocida como InfoSec, information security) se trata del conjunto de herramientas y procedimientos con los que proteger la información confidencial ante utilizaciones indebidas, accesos sin autorización u otros supuestos como destrucciones o interrupciones.
El concepto de seguridad de la información engloba la seguridad física y del entorno, la ciberseguridad y el control de acceso.
Amenazas a la seguridad de la información
En este artículo vamos a analizar cuáles son las principales amenazas a la seguridad de la información, partiendo de la base de que estas pueden tener orígenes de diferente naturaleza, como errores humanos, ataques deliberados y/o malintencionados o catástrofes naturales.
En caso de que las amenazas lleguen a materializarse puede haber diversas consecuencias como: eliminación, robo o modificación de información; interrupción de un servicio y daños físicos o robo tanto del equipamiento como de los medios de almacenamiento de la información.
Estas son algunas de las principales amenazas y sus rasgos más característicos:
Acceso a información confidencial impresa
Al margen de otro tipo de amenazas sofisticadas que analizaremos posteriormente, algunas de las más evidentes tienen que ver con el ámbito físico.
Por ello, acceder a información confidencial impresa que no está correctamente resguardada o protegida supone una amenaza si ésta queda a disposición de personal no autorizado.
Así pues, un primer paso para proteger información delicada es mucho más evidente que, por ejemplo, disponer de contraseñas seguras: hay que tener cuidado con la documentación que puede quedarse olvidada en la fotocopiadora o en nuestro lugar de trabajo.
Daños físicos al equipamiento
El daño físico a los equipos puede estar ocasionado por diferentes razones, existiendo dos grandes categorías: las de naturaleza voluntaria y las de origen involuntario.
Entre las voluntarias, estarían las acciones desarrolladas con intencionalidad, como su propio nombre indica. Mientras que, en las involuntarias, hay dos tipos: negligencias de los usuarios (golpes, caída de bebida o comida, etcétera) o, en supuestos extremos, catástrofes naturales como fallos eléctricos, incendios o inundaciones.
Robo de identidad
Este tipo de amenaza se da cuando alguien, mediante medios informáticos, obtiene información personal ajena sin consentimiento para cometer hechos fraudulentos.
La prevención ante una posible sustracción de datos como nombre completo, número de identidad, número de afiliación a la seguridad social o información bancaria, pasa por cerciorarse de la seguridad del sitio en el que se nos esté solicitando.
Trashing
Buscar información dentro de la papelera de reciclaje puede ser una potencial amenaza para aquellos usuarios que no destruyen la información una vez enviada a la susodicha papelera.
Ingeniería social
La ingeniería social engloba el conjunto de técnicas utilizadas por los ciberdelincuentes para manipular a los datos y que manden información confidencial, claves privadas o incluso envíen dinero apelando a sesgos cognitivos, despistes o emociones para conseguir fraudulentamente estos datos.
Generalmente la ingeniería social está basada en tácticas distintas como suplantación de la identidad, intimidación y amenazas, adulación o crear sensación de escasez para que se tomen decisiones equivocadas motivadas por una falsa urgencia.
Phishing
Por phishing se entiende una estafa con la que se suplanta la identidad de una persona u organización a la que la víctima conoce con el objetivo de conseguir datos de tipo confidencial como contraseñas, números de tarjetas de crédito, direcciones o cuentas bancarias.
Un consejo para poder prevenirlo es comprobar la dirección de correo electrónico desde la que recibimos la notificación, cerciorarse de si los enlaces salientes son seguros o no, así como desconfiar de aquellos mensajes que nos requieran información personal o ingresos de dinero.
Virus
Destinados a generar problemas en los equipos en los que se ejecutan, estos programas buscan interferir en el normal funcionamiento de los mencionados equipos. La forma de poder prevenirlos es contar con el antivirus habilitado e, igualmente, actualizado.
Ataques de contraseña
Disponer de contraseñas robustas ayuda a poder minimizar los riesgos de sufrir este ataque.
Este tipo de ataques se pueden realizar de dos maneras: por fuerza bruta (usando una herramienta para intentar cada combinación de letras y números, confiando en adivinar la clave) o por diccionario (utilizando una lista de palabras esperando que la contraseña sea una palabra de uso común o una vista en sitios anteriores).
Recientemente se ha conmemorado el Día mundial de la contraseña para incidir en la importancia de utilizarlas correctamente.
Deepfakes
Aunque estamos hablando de una amenaza de otra naturaleza, los deepfakes también se han convertido en un riesgo.
Estamos ante una técnica avanzada de Inteligencia Artificial, con diferentes tipologías como el deepvoice o el deepface, que recrea movimientos físicos, rasgos faciales o voz con un resultado hiperrealista con el que se busca engañar a la audiencia con resultados en muchas ocasiones indistinguibles.
