Lo que muchas organizaciones no ven, hasta que ya es demasiado tarde, es que el origen de un ciberataque no siempre es un fallo técnico, sino una persona mal informada.
Por Daniela Álvarez de Lugo
Imagine que llega un nuevo empleado a la compañía. Como parte del proceso de incorporación, le asignan sus accesos, lo integran a los canales de comunicación y, por supuesto, recibe una herramienta clave para su trabajo diario: un computador.
Tal vez es un equipo corporativo que ya viene configurado con ciertos controles. O quizás, como ocurre en muchas organizaciones hoy, se le permite trabajar desde su propio dispositivo.
Aquí puedes leer el artículo "Desconocimiento, la puerta de entrada al cibercrimen".
En ambos casos, la empresa confía en que ese colaborador protegerá la información, seguirá buenas prácticas digitales y no asumirá riesgos innecesarios.
Pero, ¿cuántos de sus empleados saben realmente qué políticas de seguridad deben seguir? ¿Cuántos entienden las consecuencias de abrir un archivo sospechoso, ignorar una actualización o conectarse a una red pública?
Lo que muchas organizaciones no ven, hasta que ya es demasiado tarde, es que el origen de un ciberataque no siempre es un fallo técnico, sino una persona mal informada.
Hoy, casi el 40% de los trabajadores en América Latina desconoce las políticas de seguridad digital de su empresa. Y ese desconocimiento no es un dato menor: es una vulnerabilidad crítica. Empleados bien intencionados pueden convertirse, sin saberlo, en el punto más frágil de toda la estrategia de ciberseguridad. No por negligencia, sino porque nunca recibieron la orientación necesaria para actuar con seguridad.
Una reciente investigación de Kaspersky, titulada Lenguaje Digital, revela un dato inquietante: el 17% de los trabajadores en América Latina no sabe si su empresa cuenta con políticas de seguridad digital, y un 21% afirma que existen, pero desconoce su contenido.
¿Eso qué implica en la práctica? Comportamientos ‘cotidianos’ que, aunque parezcan inofensivos, suman riesgos importantes: conectarse a redes Wi-Fi abiertas, usar contraseñas débiles, descargar archivos sin verificar su origen o abrir cualquier correo y hacer clic en enlaces sospechosos.
El 28% de los empleados en la región utiliza su computador personal para tareas laborales, y más de la mitad admite que realiza actividades personales, como acceder a redes sociales, hacer compras o revisar su banco, desde equipos corporativos. En un entorno donde las fronteras entre lo personal y lo laboral se mezclan, cualquier descuido puede convertirse en una brecha crítica.
La situación se vuelve aún más compleja con el uso masivo de herramientas de inteligencia artificial. El 46% de los encuestados ya utiliza servicios de IA como parte de sus tareas laborales, lo cual es positivo en términos de eficiencia y de actualización tecnológica, pero también abre nuevos vectores de riesgo: entrada de datos sensibles en plataformas no autorizadas, descargas automáticas, o incluso la generación de contenido que podría comprometer la reputación de la empresa.
Y aunque muchas compañías ya cuentan con políticas de seguridad, tener un documento no es suficiente si nadie lo conoce ni lo entiende.
La ciberseguridad no vive en una infografía ni en un manual: debe ser explicada, enseñada y puesta en práctica; porque la mejor política es aquella que se asume como parte de la rutina diaria y se convierte en cultura organizacional. Para lograrlo, se necesita mucho más que normas: hace falta capacitación constante, comunicación clara y, sobre todo, un liderazgo que predique con el ejemplo.
Los ciberdelincuentes ya no necesitan vulnerar sistemas altamente protegidos cuando pueden engañar a una persona.
El phishing sigue siendo uno de los métodos más efectivos para robar credenciales y acceder a infraestructuras corporativas, según el más reciente Informe de Respuesta a Incidentes de Kaspersky. Y no se limita a grandes empresas, pues el 43% de las pequeñas y medianas empresas (PyMEs) en América Latina también fue víctima de este tipo de ataque.
Revertir esta situación implica asumir que la ciberseguridad es una responsabilidad compartida. No es un asunto exclusivo del área de TI, sino una tarea transversal que involucra a todas las personas dentro de una organización. Por eso, es fundamental capacitar al personal con una formación integral que vaya más allá de lo técnico y promueva la conciencia, el criterio y la responsabilidad.
Parte de esa formación implica crear una cultura donde la prevención forme parte de la rutina diaria. Acciones como activar la autenticación en dos pasos (2FA), saber identificar correos sospechosos o participar en simulacros de ataques, como campañas de phishing, ayudan a transformar la teoría en práctica. Solo con entrenamiento real, podrán identificar las señales de alerta.
Pero ninguna estrategia funcionará si no hay liderazgo comprometido. La cultura organizacional se construye desde arriba. Cuando los líderes dan el ejemplo, establecen prioridades claras y se involucran activamente en temas de ciberseguridad, el resto del equipo tiende a adoptar ese mismo enfoque.
Lo que se refuerza desde la dirección, se replica con mayor fuerza en el resto de la empresa. Porque confiar en sus empleados es importante, pero prepararlos para proteger la empresa es indispensable.
Este artículo es de la autoría de Daniela Álvarez de Lugo, quien es gerente general para la región norte de América Latina en Kaspersky.
Las opiniones expresadas en este artículo son única responsabilidad de su autora y nada tiene que ver con la posición de Forbes República Dominicana.