Por qué hice suplantación de identidad a mi propia empresa

Hace diez meses, estuve a cargo de la tecnología digital en la Casa Blanca, donde la seguridad era la máxima prioridad y era imperdonable bajar la guardia. Hoy tomo decisiones tecnológicas estratégicas y tácticas como director de tecnología de Atlantic Media. En un entorno multimedia, la seguridad suele ser superada por la funcionalidad, la comodidad o el coste. Con frecuencia se considera periférico o incluso un impedimento para las operaciones comerciales.

De hecho, muchas organizaciones se enfrentan a un problema similar: una seguridad más estricta introduce pequeños inconvenientes en los flujos de trabajo, por lo que los empleados no cumplen con las normas. En Informe de investigaciones sobre filtraciones de datos de Verizon, el 97% de las infracciones se podrían haber evitado con controles fáciles y sencillos. Según un estudio, el 91% de todos los ciberataques son el resultado de correos electrónicos de suplantación de identidad, otro ataque que se puede prevenir por completo. Desde mi posición, esas probabilidades son pésimas. Sería culpable de incumplimiento del deber si no tomara medidas para mitigar este riesgo.

Pero, ¿cómo lo haría? Empezaría con educar a los empleados ¿en mi empresa? El problema con esta solución es que las personas son falibles por naturaleza. Cometerán errores, independientemente de la formación de sensibilización. Desafortunadamente, para la mayoría de las personas, el coste de modificar un comportamiento cómodo es demasiado alto. Para el empleado medio, corregir los malos hábitos digitales genera beneficios intangibles y, a menudo, crea molestos inconvenientes.

Otra estrategia consiste en emitir una máxima corporativa anunciando políticas de seguridad más estrictas, aunque probablemente se perciba como draconiana. Esta política sería más eficaz que un llamado a asumir la responsabilidad personal, pero aun así no aborda el hecho de que la mayoría de los empleados no entienden del todo por qué tienen que cambiar sus hábitos. La ingenuidad digital hace que la gente crea que no les van a pasar cosas malas. (Debería presentarles a Matt Honan.)

¿Qué hay de exigir políticas de seguridad más estrictas en sus sistemas, requisitos de contraseña más estrictos, por ejemplo? Aumentar la longitud y la complejidad alfanumérica es más seguro, pero introduce el problema de que los empleados no pueden recordar sus propias contraseñas. Esta solución crea una barrera que se percibirá como un obstáculo para las operaciones diarias. Los empleados recibirán el beneficio (intangible) de la seguridad, lo que, para muchos, parecerá más bien una carga costosa.

Ninguna de estas campañas iba a vender las ventajas de una mayor seguridad, no hasta que los empleados entendieran la realidad de la amenaza. La única manera de lograr un cambio cultural sistémico y duradero en la empresa era asumir el coste de no cambiar los malos hábitos digitales mayor que el coste percibido de cambiarlos.

Para ello, necesitaba demostrar la facilidad con la que se puede estafar a alguien para que entregue su contraseña enviando un correo electrónico de suplantación de identidad falso a toda la empresa. Envié el correo electrónico de suplantación de identidad un viernes por la tarde y, dos horas después, tenía las pruebas empíricas. Casi la mitad de la empresa abrió el correo electrónico y el 58% de esos empleados hicieron clic en el enlace falso y malicioso.

La retórica no repercutiría en las masas. Pero ahora, tenía datos que me respaldaban. Mediante este experimento, aumentamos drásticamente la probabilidad de una violación de datos. El hackeo era ahora un hecho muy caro y probable. Gracias al conocimiento de toda la empresa, el resultado del experimento aumentó de manera efectiva el coste de no mejorar la seguridad personal.

El correo electrónico de seguimiento que envié a toda la empresa fue aleccionador y extremadamente eficaz. Teníamos pruebas irrefutables que respaldaban un próximo cambio de política, que antes se habría considerado restrictivo.

La empresa impondría la verificación en dos pasos en todas las cuentas de correo electrónico de los empleados, que requiere una segunda acción (como introducir un código de seis dígitos de un mensaje de texto) después de introducir la contraseña. Se trata de una forma de seguridad muy superior: aunque alguien le robe la contraseña, no podrá hackear su cuenta sin robarle también el teléfono. Las principales redes sociales, como Facebook, Twitter y LinkedIn, utilizan mecanismos de inicio de sesión similares.

El experimento de suplantación de identidad logró la crucial aceptación de los empleados, ahora que entienden personalmente las peligrosas implicaciones de no siguiendo las normas, están más dispuestos a tomarse la seguridad de los datos en serio. Las personas son más propensas a aprender de una experiencia que a escuchar una recomendación o una política. Al igual que un simulacro de incendio normal en una oficina, la alta dirección debería realizar simulacros de suplantación de identidad aleatorios para darles esa experiencia. Y el aprendizaje experiencial no termina con estos correos electrónicos.

Poner a alguien en un simulacro de ciberataque es la táctica más segura y eficaz para crear la inteligencia de seguridad colectiva de la empresa. Con éxito, abre los ojos de todo el mundo y allana el camino para una conversación seria sobre las iniciativas que he mencionado anteriormente (aumentar la formación, políticas más eficaces) y, esta vez, puede que nuestros empleados escuchen.

Datos bajo asedio
Un HBR Insight Center

• Cómo mantener una conversación sobre los riesgos de TI
• Repensar la seguridad para el Internet de las cosas
• El aumento del costo de la malicia del software
• La ciberseguridad depende de la educación