Análisis de los principales ataques cibernéticos a las empresas italianas y papel de la formación en ciberseguridad para reducir el riesgo humano
En 2024 se registraron 14.895 incidentes cibernéticos contra las empresas italianas: más del 60% afectó al sector manufacturero y al financiero/asegurador.
El phishing, malware y la ingeniería social siguen explotando el factor humano como punto débil.
Este análisis explica por qué la formación en concienciación sobre ciberseguridad awareness — basada en un programa que proporciona contenidos clave mediante microintervenciones regulares, breves y específicas, simulaciones de ataque y actualizaciones continuas — es el enfoque más eficaz para reducir el riesgo cibernético.
Un informe reciente encargado por Aused y realizado por Certego, que se basa en una muestra representativa de 1.200.000 activos IT de empresas italianas, ha analizado 14.895 incidentes registrados y gestionados para delinear el estado de la ciberseguridad en las empresas del país.
Los datos, como era previsible, no son precisamente alentadores: entre los sectores más afectados está el manufacturero, con el 32,4% de los ataques (4.827), seguido del sector finanzas/seguros, con un porcentaje del 29,2% (4.355 intentos de ataque).
En resumen, parece una paradoja pero aquellos que deberían asegurarnos contra los daños están entre los que más riesgo corren en el frente de los ataques.
El malware es la tipología de ataque más extendida, seguida del phishing y la ingeniería social, lo que subraya, una vez más, cuánto el factor humano sigue siendo el elemento más débil de la cadena de seguridad y, por tanto, aquel en el que hay que trabajar más.
Además, a estas preocupantes previsiones “hay que añadir l” a adopción por parte de los cibercriminales de “la inteligencia artificial, un elemento que está transformando el panorama de las amenazas porque los ataques son cada vez más sofisticados, se adaptan a la víctima elegida y son difíciles de detectar. Según Gartner, para 2025, al menos el 30% de los ataques estará potenciado por l” a IA, con técnicas como phishing automatizado, malware dinámico y detección en tiempo real de vulnerabilidades en los sistemas empresariales.
No sorprende, por tanto, que cada vez más gestores de TI busquen responder a los atacantes usando su misma arma. Gartner subraya, de hecho, que el 34% de las organizaciones ya está utilizando o implementando herramientas de seguridad de aplicaciones de inteligencia artificial para mitigar los riesgos asociados a la IA generativa.
Una solución eficaz, siempre que estas herramientas estén respaldadas por verificaciones y actualizaciones continuas capaces de hacer frente a la velocidad con que evoluciona el crimen informático, que utiliza la misma IA para atacar de forma cada vez más sutil y despiadada. Por tanto, incluso los propios usuarios humanos de la tecnología no deben quedarse nunca atrás.
Se vuelve, por tanto, siempre ahí, al “factor humano” que, echado por la puerta y sustituido con herramientas que no cometen errores, debe volver a entrar por fuerza por la ventana porque sigue siendo un elemento imprescindible de la cadena de seguridad.
Por eso una cultura de concienciación empresarial será cada vez más determinante, en todos los sectores, en particular para aquellos que registran los datos más altos de ataques, así como lo será una formación permanente que prevea programas capilares, continuos, construidos a medida para cada usuario, que estén siempre actualizados sobre las últimas novedades de un crimen que muta continuamente y, sobre todo, que prevean ejercicios y entrenamientos continuos.
También porque la seguridad informática delinea un proceso continuo, que requiere un compromiso constante en el cual deben estar todos involucrados y desempeñar su papel con gran responsabilidad. Basta poco, de hecho, para abrir de par en par las puertas a los criminales: un clic de más, una verificación no realizada, un momento de distracción por parte de cualquiera, desde las figuras directivas hasta las más ejecutivas.
En un instante se puede desatar el infierno y ser puestos en jaque por alguna banda de criminales que será luego, la mayoría de las veces, imposible rastrear e identificar.
Un buen desafío, por tanto, el que en los años venideros las empresas deberán afrontar, que pide empezar a equiparse desde ya, sin dilaciones.
Estamos atravesando años cruciales en el frente de las nuevas tecnologías y quedarse atrás puede representar un serio riesgo de sufrir daños tanto económicos como reputacionales. Al fin y al cabo, basta mirar las crónicas diarias, llenas de noticias de ataques que no perdonan ni siquiera a las personas más astutas.
Al margen, por tanto, de las herramientas tecnológicas de protección, ya imprescindibles, la formación sigue siendo un pilar necesario para fortalecer las fronteras de empresas y organizaciones. Sin la correcta postura digital de empleados y colaboradores, de hecho, incluso el sistema protector más avanzado podría derrumbarse.
Naturalmente hablamos, como ya se ha mencionado, de una formación adecuada al desafío, diferenciada en las herramientas, actualizada constantemente a las últimas novedades en materia de riesgo cibernético, que prevea sesiones breves pero diarias y ejercicios prácticos específicos. Pero que esté sobre todo organizada según el nivel de conocimiento personal de cada usuario. Cada uno debe ser puesto en condiciones de reconocer desde lejos el «olor» de un ataque y de transformarse en una fortaleza de protección para sí mismo y para la empresa u organización para la que trabaja.
Solo así será posible alejar al cibercriminal de turno que desistirá de sus malévolas intenciones y decidirá, quizás, ir a hacer daños a otra parte, buscando otras víctimas menos preparadas y conscientes.
Fortalecer el factor humano y transformarlo de elemento vulnerable a sólido pilar de seguridad, representa por tanto el disuasorio más eficaz para contener una tipología de crimen que no podrá sino crecer y refinarse en los próximos años.
Artículo publicado en Insurzine a cargo de Maurizio Zacchi
