Existen mitos sobre la seguridad en internet que complican, innecesariamente, los esfuerzos de ciberseguridad. Y, además, facilitan la labor de los ciberatacantes.
El riesgo de los mitos o creencias populares, en este caso, es que ha simple vista pueden parecer o ser ciertos. Entonces, ¿si son ciertos por qué desmentirlos? Por que respaldan información, creencias o prácticas con una connotación negativa.
Y ese es el objetivo de este artículo: descubrir qué hay detrás de los principales mitos sobre la ciberseguridad. ¿Empezamos?
1 | Escasez de talento: uno de los principales mitos de la seguridad en internet
Uno de los mitos sobre la seguridad en internet más persistentes es la supuesta escasez crítica de profesionales en ciberseguridad.
Aunque el campo de la ciberseguridad está creciendo rápidamente, la percepción de una escasez dramática de talento puede estar inflada. Según el informe de la fuerza laboral de ISC2 de 2023, la cantidad de profesionales en el campo ha alcanzado los 5.5 millones a nivel mundial, un incremento del 8.7% respecto al año anterior, lo que representa 440,000 nuevos puestos de trabajo.
Sin embargo, se estima que aún se requieren 4 millones de profesionales adicionales para gestionar adecuadamente los activos digitales.
Esto devela que el verdadero desafío no reside en la cantidad, sino en la especialización de las habilidades. Es que aunque hay profesionales disponibles, muchos carecen de la capacitación en tecnologías emergentes que las empresas más necesitan.
El mismo estudio revela que el 92% de los profesionales informa deficiencias en habilidades específicas dentro de sus organizaciones.
Las áreas de más demanda de habilidades insatisfechas incluyen:
- Seguridad informática en la nube con un 35% de demanda
- Inteligencia artificial con un 32%
- Implementación de estrategias de confianza cero con un 29%.
La situación se complica aún más con los recortes presupuestarios y en capacitación, reportados por el 47% y el 35% de los encuestados, respectivamente. Estos recortes no solo reducen la oportunidad de los profesionales existentes de mejorar sus habilidades, sino que también afectan la productividad y la moral del equipo, aumentando la carga de trabajo y los riesgos asociados a la seguridad.
2 | Los roles en ciberseguridad están bien remunerados
Otro mito sobre la ciberseguridad recae en los sueldos de sus especialistas. Hemos leído hasta el cansancio sobre los buenísimos salarios que se ofrecen en el sector y que, aun así, parece no haber profesionales disponibles. ¿Qué sucede? Expectativas poco claras, eso sucede.
Entonces, ¿la ciberseguridad es mal paga? No. En países como Estados Unidos, Suiza o España, los sueldos en roles altos de ciberseguridad son bastante generosos. Pero, estas cifras pueden crear expectativas poco realistas cuando se comparan con los sueldos en otras regiones.
Si consideras el campo de la seguridad cibernética en América Latina, por ejemplo, los sueldos varían significativamente. Las empresas raramente ofrecen los mismos salarios que en EE.UU. debido a diferencias en la economía local, la valoración del sector y la capacidad de pago de las empresas locales.
Vayamos a las cifras: En Estados Unidos, por ejemplo, un Chief Information Security Officer (CISO) puede tener un salario promedio de alrededor de $175,655 al año. Al comparar esto con España, los CISOs pueden ganar hasta aproximadamente 80,000 euros anuales, lo cual, aunque competitivo dentro de su economía local, es considerablemente menor que en los EE.UU.
En México, la disparidad se amplía aún más, donde un CISO puede ganar en promedio MXN$74,000 mensuales
¿Por qué tanta diferencia? Esta variabilidad se debe a varios factores. No es tan simple como convertir un sueldo de dólares a moneda local. Existen diferencias en costos de vida, impuestos, y demanda de habilidades específicas. Además, la madurez del sector de ciberseguridad en diferentes países también influye en lo que las empresas están dispuestas a pagar.
¿Quieres saber más? Cuánto ganan los especialistas en ciberseguridad.
3 | Los hackers siempre están un paso por delante: El mito de ciberseguridad más extendido
¿Cuántas veces hemos escuchado, o replicado, este mito de la seguridad en internet?
En la práctica, los hackers son más rápidos en implementar o encontrar un factor de ataque que los especialistas en ciberseguridad. No lo vamos a negar. Pero, ¿por qué?
Aquí está el asunto. El hacker solo tiene que encontrar una vulnerabilidad y explotarla. Lo cual es mucho más rápido que implementar toda una estructura y estrategia de ciberseguridad que pueda responder a esa nueva amenaza.
Quizás, la discusión tenga que desarrollarse en torno a cómo desarrollar adaptación y flexibilidad de estos equipos.
4 | ¿Has replicado este mito de seguridad en internet?: Los ciberataques solo están dirigidos a grandes empresas
Sí. Y no.
La realidad es que las pequeñas y medianas empresas (PYMEs) también son blancos frecuentes. Las estadísticas muestran un aumento alarmante en los ataques dirigidos a PYMEs en Latinoamérica.
Según un informe de Kaspersky, los ataques a PYMEs en Chile y Colombia aumentaron en un 371% y 307% respectivamente. Adicionalmente, las pérdidas económicas resultantes de estos ataques pueden ser significativas, llegando a alcanzar hasta $155,000 dólares por incidente.
La elección de los ciberdelincuentes de atacar PYMEs en lugar de grandes corporaciones puede compararse con la decisión de atacar una aldea menos protegida en lugar de un fuerte bien defendido.
Para un pirata informático, el objetivo es maximizar el retorno de la inversión; por lo tanto, a menudo optan por objetivos que ofrecen menos resistencia, lo cual implica un esfuerzo menor y un riesgo reducido. Esto no significa que las grandes empresas no sean atacadas, pero esos ataques generalmente requieren más preparación y recursos, lo que puede desalentar a algunos atacantes.
Sin contar, que este mito sobre la ciberseguridad es esencial para mantener a las empresas desinteresadas sobre la ciberseguridad.
5 | El teletrabajo aumentó los ciberataques
Según un informe de marzo de 2022 por Alliance Virtual Offices, el trabajo remoto ha generado un aumento del 238% en ciberataques. ¿Cómo desmontar este mito de la seguridad en internet con un dato que, de hecho, lo sustenta?
Es que el problema es la connotación que sugiere este mito: que el teletrabajo es inseguro intrínsecamente. Lo que sucedió es que los ciberdelincuentes se han adaptado mucho más rápido a estos métodos que las infraestructuras de las empresas.
Ahondemos un poco más. Este cambio en la modalidad de trabajo ha expandido la superficie de ataque disponible para los piratas informáticos, haciendo que más activos digitales estén potencialmente expuestos a amenazas cibernéticas. La transición hacia el teletrabajo no ha reducido la seguridad per se, sino que ha requerido un cambio en cómo las organizaciones abordan la seguridad informática. Las empresas ahora enfrentan el desafío de implementar medidas de seguridad adecuadas que cubran tanto los activos físicos como los digitales en un entorno más disperso.
Esto incluye asegurar una infraestructura ciberseguridad y de red robusta, aplicar actualizaciones de software regulares, y fomentar prácticas de seguridad en internet entre los empleados, como el uso de contraseñas fuertes y la educación continua sobre los riesgos de seguridad.
6 | Mi ciberseguridad está cubierta solo con un antivirus y firewall
Un antivirus y un firewall son esenciales, pero por sí solos no son suficiente para proteger contra la gama completa de riesgos de seguridad cibernética. ¿Qué hay de los ataques de ingeniería inversa, phishing y demás?
Una estrategia de defensa efectiva requiere un conjunto diversificado de herramientas y prácticas que trabajen en conjunto para proporcionar una seguridad robusta y adaptativa. Ignorar este hecho puede dejar puertas abiertas a los atacantes, poniendo en riesgo los activos críticos de la empresa.
7 | La ciberseguridad es responsabilidad del departamento de TI: El mito sobre seguridad en internet más riesgoso
Un mito sobre la ciberseguridad es que la responsabilidad de proteger los sistemas de información recae exclusivamente en el departamento de TI. Sin embargo, la realidad es que la seguridad es una responsabilidad compartida que involucra a todos en la organización.
El departamento de TI juega un papel crucial en implementar y mantener las medidas de seguridad técnicas, pero los errores humanos pueden ocurrir en cualquier nivel de la empresa.
Por eso insistimos en que la formación en seguridad es fundamental para cada empleado, desde el personal de recepción hasta la alta dirección. Estudios indican que una proporción significativa de brechas de seguridad son resultado de acciones inadvertidas de los empleados. Según Mario Castellá, Director de Qualitalent, casi el 73% de las empresas aún no han implementado programas efectivos de concienciación sobre ciberseguridad.
Además, los fabricantes de software y hardware también tienen una cuota de responsabilidad, especialmente en la entrega de productos que los usuarios finales pueden confiar. A menudo, los sistemas son lanzados con vulnerabilidades que deben ser corregidas con actualizaciones de software continuas.
8 | No soy una persona importante, mis datos no son valiosos
Otro de los mitos de la seguridad en internet más extendidos es que «no pasa nada si me roban los datos, no tienen ningún valor, soy una persona común«. Y ciertamente, ningún vecino pagaría nada por nuestros datos. Pero no se trata de cuánto valen tus datos para la persona promedio, sino de cuánto podrían valer para alguien con intenciones maliciosas.
Para el ciudadano común, información como la dirección o el número de teléfono puede parecer trivial y sin valor comercial directo. Pero, ¿qué sucede cuando un ciberdelincuente entra en juego? La situación cambia drásticamente. Para alguien interesado en cometer fraude o robo de identidad, estos fragmentos de información son piezas de un rompecabezas que, una vez completado, puede ser extremadamente valioso.
Por ejemplo, un estafador que posea tu número de teléfono y dirección podría usar estos datos para realizar ataques de ingeniería social, como el vishing (phishing vocal), para obtener acceso a información aún más sensible.
Entonces, sí. Tus datos valen. Y bastante. Según Kaspersky, los precios en la Dark Web para información personal varían:
- Carnés de conducir escaneados: desde cinco hasta 25 euros.
- Pasaportes escaneados: desde seis hasta 15 euros.
- Selfies con documentos: desde 40 hasta 60 euros.
- Información de tarjetas de crédito: desde seis hasta diez euros.
9 | Es suficiente una capacitación anual en ciberseguridad
La ciberseguridad es un campo que evoluciona rápidamente, con nuevos tipos de código malicioso, técnicas de piratas informáticos, y tecnologías emergentes que cambian constantemente el panorama de amenazas.
La idea de que una capacitación anual pueda ser suficiente para proteger contra estas amenazas subestima la velocidad a la que los actores maliciosos adaptan y evolucionan sus métodos.
Por ejemplo, ¿recuerdas el lanzamiento de ChatGPT en noviembre del 2022? Según un reporte de Check Point, para los primeros días de enero del 2023 se detectó a ciberdelincuentes utilizando esta tecnología para crear malware que podría copiar y exfiltrar datos sensibles sin necesidad de habilidades avanzadas en codificación. ¡En cuestión de días!
Este mito de la seguridad en internet que fomenta las capacitaciones tan esporádicas puede dejar desactualizado a tu equipo gravemente.
10 | Solo los sitios web de mala reputación son peligrosos
La realidad es que incluso las páginas web consideradas seguras y de buena reputación pueden ser comprometidas y utilizadas como vehículos para distribuir malware. Los ciberdelincuentes a menudo explotan vulnerabilidades en sitios web bien establecidos para inyectar malware sin que los administradores del sitio o los usuarios se den cuenta.
Esto se puede hacer a través de anuncios maliciosos, conocidos como «malvertising», o mediante ataques directos a las vulnerabilidades del sitio web, como el ataque de inyección SQL.
Es lo que le sucedió a Flaticon, un servicio utilizado por profesionales gráficos que ofrece recursos como fotografías y vectores. Flaticon, junto con Freepik, fue víctima de un ataque de inyección SQL que resultó en el robo de direcciones de correo electrónico de 8.3 millones de usuarios y contraseñas hasheadas de 3.77 millones de usuarios.
11 | Los hackers siempre son externos a la empresa
Otro de los mitos sobre la ciberseguridad más extendidos es que todos los ataques provienen de actores externos a la empresa. Sin embargo, la realidad es que muchos incidentes de seguridad implican a actores interno.
Según un estudio de Bit Life Media, el 9.4% de los empleados extraen información confidencial sin permiso de su empresa cada seis meses. Además, se encontró que el 1% de los empleados responsables de las mayores filtraciones de datos fueron responsables del 7.7% de todos los incidentes reportados.
El descontento de los empleados, especialmente aquellos en proceso de salida o despido, aumenta considerablemente el riesgo de incidentes de seguridad. Los datos indican que, dos semanas antes de que un empleado deje la empresa voluntariamente, los incidentes de filtración de datos aumentan un 83.1%. Además, el 68.7% de las filtraciones ocurren antes de que se notifique oficialmente la partida del empleado.
12 | La ciberseguridad es costosa
Dejamos para el final uno de los mitos sobre la seguridad en internet más comunes y peligrosos. Pero para desmentirlo, solo basta hacer una comparación.
Según un estudio, el costo promedio de un ciberataque en Latinoamérica oscila entre US$ 2.8 millones y US$ 3 millones, mientras que a nivel global, este costo alcanza los US$ 4.3 millones por incidente. Anteriormente, también mencionamos que las pequeñas empresas pueden perder 155.000 USD por incidente.
Por otro lado, en México los costos de servicios de ciberseguridad pueden comenzar desde menos de $8,000 pesos, dependiendo del alcance del servicio, el número de equipos y servidores, la cantidad de usuarios, entre otros factores.
¿Mucho más accesible de lo que se pensaba no?
Conclusión
Parte de los esfuerzos de ciberseguridad incluyen una capacitación constante y consciente. Por eso hemos investigado qué hay detrás de los principales mitos de la seguridad en internet más usados en esta época.
¿Piensas qué falta alguno? ¿Estas en desacuerdo con alguno de ellos? Dejanos tu opinión.
