¿Qué es una superficie de ataque humana?
Se presta mucha atención a las superficies de ataque de redes y endpoints, pero existe otra superficie de ataque que a menudo se pasa por alto: la superficie de ataque humana. Esto podría explicar por qué el 74 % de las brechas analizadas para el Informe de investigación de brechas de datos de 2023 (DBIR) de Verizon implicaron un elemento humano.
Las superficies de ataque humanas se forman por el incumplimiento, por parte de usuarios o administradores, de las prácticas recomendadas de seguridad. Estos fallos consisten principalmente en personas que caen en ataques de ingeniería social. Según el informe de Verizon, el phishing y el pretexting —que a menudo se utiliza junto con el phishing— son los dos tipos de ingeniería social que causan más víctimas. No sorprende que el 43 % de las organizaciones encuestadas para el Press Reset: informe sobre el estado de la ciberseguridad 2023 hayan sufrido un ataque de phishing en los últimos dos años.
Otros componentes que conforman una superficie de ataque humana pueden incluir:
- No aplicar parches a los sistemas de forma periódica.
- Uso de contraseñas débiles y reutilizadas.
- Asignación incorrecta de privilegios de usuario.
- Dejar abierta la puerta de un edificio de oficinas.
- Permitir que personas no autorizadas entren a rebufo o se cuelen detrás en un espacio seguro.
- No eliminar fallos de diseño de la red.
- Permitir el robo de información confidencial mediante observación por encima del hombro.
- Caer en un ataque de señuelo al conectar una unidad USB desconocida a un ordenador.
- Desechar datos confidenciales de forma inadecuada.
La lista es interminable. Y aunque los ejemplos compartidos hasta ahora suelen ser actos involuntarios atribuibles a la ingenuidad y la negligencia, las superficies de ataque humanas también incluyen las acciones deliberadas de usuarios internos maliciosos. Según la Cybersecurity & Infrastructure Security Agency (CISA), una amenaza intencionada es «la posibilidad de que una persona interna utilice su acceso autorizado o su conocimiento de una organización para perjudicar a dicha organización».
Tenga en cuenta que distintos vectores de ataque pueden considerarse parte de varios tipos de superficies de ataque. Por ejemplo, la puerta dejada abierta podría considerarse parte tanto de una superficie de ataque humana, ya que la dejó abierta una persona, como de una superficie de ataque física, porque la puerta es un objeto físico que ofrece entrada a una ubicación física. Lo verdaderamente importante no es el tipo de superficie de ataque al que se atribuye un vector de ataque, sino que usted identifique, gestione y, cuando sea posible, elimine dicho vector.
Más información: Descubrimiento de la superficie de ataque: cómo identificar la superficie de ataque de su organización