La acción en accionistas e inversores

El usuario: del eslabón débil de la cadena a primera línea de defensa de ciberseguridad

Photo Maria-Dominguez

María Domínguez Álvarez Seguir

Tiempo de lectura: 5 min

Durante mucho tiempo, la ciberseguridad ha centrado la atención en la debilidad del usuario. Hoy, ante ataques cada vez más sofisticados, la verdadera oportunidad está en convertir esa vulnerabilidad percibida en una fortaleza estratégica.

En el ámbito de la ciberseguridad, se ha repetido casi como un mantra que “el usuario es el eslabón más débil de la cadena”y entono el mea culpa, porque yo soy la primera que lo repito continuamente.

Correos fraudulentos (phishing), llamadas donde se dan demasiados datos a desconocidos, contraseñas débiles o clics que nos pillan “despistados” en mensajes de texto (smishing), han sido tradicionalmente la puerta de entrada de la mayoría de los incidentes de seguridad personales y corporativos.

Además, con el auge de la IA generativa, también nos tenemos que enfrentar al fraude mediante audio, vídeo o imágenes falsas (deepfake) y esto no ha hecho más que empezar.

Algo evidente es que debemos cambiar esta visión de debilidad del usuario. En un contexto donde los ataques son cada vez más sofisticados y automatizados, el usuario puede y debe convertirse en la primera línea de defensa.

De “error humano” a “comportamiento humano”

Hablar del usuario como “el eslabón débil” implica asumir que el fallo es inevitable. Esta forma de verlo es limitada y, en muchos casos, nos hace pensar que poco se puede hacer por solventarlo.

Hoy sabemos que:

  • La mayoría de los usuarios no actúan con mala intención, sino que comenten errores por falta de concienciación y conocimiento.
  • Los ataques están cuidadosamente diseñados utilizando comportamientos humanos habituales. Confiar en una marca de la que son usuarios, pedirles realizar algo importante con urgencia, o introducir en la iteración el miedo a perder dinero o un servicio.

Por lo tanto, deberíamos empezar a enforcarnos en que eliminar el error humano puede ser complicado y pasar a la acción: gestionar el comportamiento humano para que sea una pieza más en el ecosistema de la ciberseguridad.

Dos ámbitos muy diferentes: la vida personal y el entorno corporativo

En el ámbito personal y privado, los usuarios son un objetivo prioritario de los ciberdelincuentes, ya que suelen contar con menos protección y hábitos de seguridad muy despreocupados. En este contexto, es fundamental que las personas adopten prácticas básicas como el uso de contraseñas únicas y robustas (y no tenerlas apuntadas en papeles, como, por ejemplo, el pin de las tarjetas dentro de la cartera), la activación de la autenticación multifactor, la actualización regular de dispositivos y aplicaciones, y una actitud crítica ante mensajes, enlaces o llamadas inesperadas.

El fraude digital, el robo de identidad y el secuestro de cuentas personales pueden tener consecuencias económicas y emocionales graves, por lo que la concienciación en ciberseguridad debe formar parte de la vida digital cotidiana, del mismo modo que lo es proteger la información personal o la privacidad en redes sociales.

En este ámbito es clave entender que cuando hay mucha presión o proactividad por parte de lo que el usuario puede considerar un contacto legítimo, deberíamos desconfiar. Esa llamada de tu compañía de gas, ese mail de tu reserva de hotel, etc. donde te piden que interactúes, metas datos, apruebes procesos, ¡cuidado! Siempre tranquilidad y verificar con la compañía correspondiente, que esto que piden es correcto, acudiendo a canales y fuentes oficiales.

En el ámbito corporativo las organizaciones han invertido de forma masiva en redes más seguras (firewalls, EDR, SIEM, sistemas de detección y protección avanzada, etc.). Aun así, los informes anuales de incidentes siguen mostrando un patrón constante:
el factor humano está presente en un altísimo porcentaje de los ataques exitosos.

Correos fraudulentos, suplantación de identidad, ingeniería social o errores de configuración derivados del desconocimiento siguen siendo vectores habituales. Esto demuestra una realidad incómoda:

La tecnología por sí sola no puede proteger a una organización si las personas no forman parte activa de la estrategia de ciberseguridad.

Un usuario que identifica un correo sospechoso, duda ante una petición inusual, o reporta un comportamiento extraño en su equipo, está actuando como un mecanismo de detección temprana, muchas veces más rápido que los sistemas automáticos. El empleado debe ser un sensor, formado y concienciado que detecta señales que la tecnología puede pasar por alto.

Este enfoque es especialmente relevante frente a:

  • Ataques de phishing dirigidos (spear phishing).
  • Compromiso de cuentas internas.
  • Fraude por suplantación de directivos (BEC).
  • Ataques que usan canales legítimos.

La responsabilidad de este tipo de concienciación recae en los equipos corporativos que gestionan la ciberseguridad de las empresas y uno de los errores más comunes es reducir la concienciación a un curso obligatorio una vez al año. Este enfoque no genera cambios reales de comportamiento.

La concienciación efectiva debe ser:

  • Continua, no puntual.
  • Contextual, adaptada al rol del usuario.
  • Práctica, basada en ejemplos reales.
  • Medible, con indicadores claros.

Las simulaciones de phishing, los recordatorios breves y la retroalimentación positiva funcionan mucho mejor que los enfoques puramente teóricos.

El papel de la comunicación

Si la ciberseguridad se percibe como un asunto que no es exclusivo de los sistemas y aplicaciones (corporativos o personales) y se empieza a comunicar la importancia de estar alerta, informado y concienciado, el usuario empezará a sentirse responsable.

Se sabe que las buenas prácticas en materia de comunicación son esenciales. Mensajes claros en medios de comunicación o recibidos directamente por parte de las empresas con las que nos relacionamos (bancos, empresas de telefonía, gas, luz…) sobre la importancia de la seguridad, utilizando un lenguaje no técnico, recreando ejemplos de cómo nos pueden defraudar y reconociendo al usuario como parte activa de su protección, funcionan muy bien.

¿Seguimos siendo entonces el eslabón débil?

La evolución de la ciberseguridad apunta hacia un modelo people-centric security, donde tecnología, procesos y personas trabajan de forma integrada.

El usuario tiene tanta importancia en el ecosistema de la ciberseguridad que debería empezar a verse como la primera línea de defensa. Con la formación adecuada, una cultura sólida y conciencia en la vida personal y el respaldo de la organización en los entornos corporativos, las personas se convierten en usuarios empoderados en ciberseguridad y en uno de los activos más valiosos frente a las amenazas digitales.

En un entorno donde los ataques evolucionan constantemente, invertir en que los usuarios sean conscientes y capaces de detectar un ataque es invertir en seguridad real.

Compártelo en tus redes sociales

#

La palabra de la semana

MWC

Lo más leído en la última semana :: TOP 5

Mujeres importantes que cambiaron la Historia
  1. Mujeres importantes que cambiaron la Historia 
    Fotografía de Telefónica
  2. Historia de Internet: ¿cómo nació y cuál ha sido su evolución?  
    Fotografía de Telefónica
  3. Tecnología y medio ambiente: una lucha entre daños y beneficios
    Fotografía de Yanina Chalup
  4. Inmigrante y nativo digital: dos generaciones en la misma era
    Fotografía de Sonia de la Cruz
  5. EURO-3C: hacia la soberanía digital europea
    Fotografía de Javier García Rodrigo
    Fotografía de Arturo José Torrealba Ferrer

Contenidos relacionados

Medios de comunicación

Contacta con nuestro departamento de comunicación o solicita material adicional.